嗨,我只想知道如何将来自 PEP 的 XACML 3.0 请求与使用 PDP 存储在策略存储中的策略进行匹配。我将如何根据策略存储中存储的多个策略评估特定请求。
XACML 请求与存储在 PDP 策略存储中的策略的"目标"元素匹配。策略的目标元素匹配后,将根据策略顺序评估匹配的策略(适用的策略),并根据策略存储的策略组合算法组合结果。如果PEP想知道这一点;对于给定的 XACML 请求,哪些 PEP 策略匹配,PEP 可以将具有"ReturnPolicyIdList"属性的 XACML 请求作为"true"发送。
<Request xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" CombinedDecision="false" ReturnPolicyIdList="true">
然后,XACML 响应将在 XACML 响应中返回匹配的策略。
除了 Asela 的回答之外,我还想补充一点,"策略存储"是特定于实现的。
Asela 描述它的方式本质上意味着策略存储使用组合算法而不是目标来执行策略集。
添加我使用 WSO2 身份服务器作为 PDP 的经验
因此,您可以在 IS 中添加多个策略文件。但是您必须为每个策略文件提供排名。
所以我认为,这些策略按照我们提供的排名顺序进行验证,对于目标元素首先匹配的任何策略,首先进行评估。