体系结构 – XACML作为现有应用程序中的演进步骤

我已经开始对XACML和外部授权进行一些研究.现在我有一个现有的应用程序,它使用RBAC模型.然而,实现有很多缺点(角色不容易定义,角色太粗糙).

XACML是一个很好的选择吗?是否存在从RBAC源切换到XACML的任何现有应用程序?有什么缺点吗?

免责声明:我是IBM的开发人员,我正在开发广泛使用XACML的产品(Tivoli安全策略管理器).我对XACML有点偏见.

我认为XACML是一个很好的选择,主要是因为它几乎可以支持任何安全模型.我建议在XACML中建模现有的RBAC解决方案(参见the profile),然后将其扩展到包含更细粒度的访问控制,以满足您的业务需求.

将授权代码外部化为策略具有额外的优势,即无需重新编译即可修改应用程序的安全模型.

Are there any exisitng applications which have switched to XACML from an RBAC origin?

不幸的是,我不知道任何特定的例子,至少是我可以公开谈论的例子.有一个内部IBM项目分配了一个月来实现他们的授权模块,但是通过使用我们的XACML实现将其外部化,在一周内就完成了.这显然与您的示例不同,因为它是一个“绿色领域”开发项目,但强调了您正在考虑的一般方法可以带来好处.

相关文章
相关标签/搜索