XACMLプロファイルとは何ですか？

Question

私はXACML（eXtensible Access Control Markup Language）が新しく、ちょっと混乱しています。 私はプロファイルが何であるか分かりません。たとえば、RBACまたはSAMLプロファイル。

どのような違いがありますか？構造と要素が常に同じではありませんか？ AttributeIdは、特定の情報のために使用すべきである、と政策が取るべき具体的な構造：

は2つのXACMLプロファイルが指定するものがあります

Answer 1

を助け、あなたのためにありがとうございます。

XACMLは、主に柔軟性があるため強力ですが、この柔軟性は、組織間でポリシーを交換する場合にはコストがかかります。たとえば、ある組織が識別子「login-id」を使用してユーザーのアカウント名を指定し、別の組織が「username」を使用する場合があります。プロファイルは、この属性のよく知られた識別子を定義できます。

上位の管理インターフェイスが特定のポリシーの上に構築されている場合は、構造を指定すると便利です。ポリシーから情報を抽出してユーザーに提示する必要があり、プロファイル内の構造を限定することは、期待されることを文書化する方法になります。

プロファイルは、「XACMLでこのユースケースを実行する方法」として使用することもできます。これにより、顧客とベンダーはホイールを再実装する必要がなくなります。

Answer 2

XACMLに考慮すべきプロファイルの2種類があります、このような輸出管理、知的財産保護、およびロールベースとして明確に定義されたシナリオを表現するためにXACMLを使用する方法についてのベストプラクティスを定義

1. プロファイルは、アクセス制御。これらはCraigが言及しているプロファイルです。これらのプロファイルは、コアXACML 2.0/3.0言語以外のXACMLエンジンに代わって特別な技術的実装を必要としません。彼らは共通の属性のセット、その識別情報、可能な値、および可能なポリシーにおけるその使用を定義する。例として、ここでIP保護プロファイルを参照してください：http://docs.oasis-open.org/xacml/3.0/ipc/xacml-3.0-ipc-v1-spec-cs-01-en.pdf。これらのプロファイルは、共通の要件を表現する相互運用可能な方法を定義することを目指しています。
2. XACML 2.0/3.0の技術的な使用範囲を拡張するプロファイル。このようなプロファイルには、使用されるエンジンの代わりに技術的な実装が必要です。このようなプロファイルには、XACMLのSAMLプロファイル、複数の決定プロファイル、および管理委任プロファイルが含まれます。たとえば、複数の決定プロファイルは、ポリシー実施ポイントが単一の全体的なXACML要求内で複数の認証要求を送信する方法を定義します。これらのプロファイルは、XACMLの技術範囲を拡張することを目的としています。

これは、 さんのお役に立てば幸いです。