本文详细介绍了WSO2身份服务如何使用XACML进行访问控制和权限管理,包括XACML的系统架构、策略语言结构和应用场景。XACML作为一种标准的策略语言,支持基于属性的访问控制,提供了更灵活和细粒度的授权解决方案,解决了传统授权系统的问题。
今天,企业应用程序寻求加强安全性的方法,允许适当的人在企业策略的限制下访问适当的资源。身份和权限管理系统作为一个整体,试图解决这些安全问题。这些系统帮助企业架构师和开发人员实现他们的应用程序需求,并试图显著降低安全相关实现的成本。这些身份和权限管理系统遵循行业标准规范,因此很容易支持异构应用程序的安全需求。
访问控制的类型
下表描述了不同类型的访问控制。
| 访问控制类型 | 描述 |
| Access Control Lists | 访问控制列表是最古老和最基本的访问控制形式。这种类型主要用于操作系统。访问控制列表维护了一组映射关系。记录用户和可在资源上执行的操作。由于使用了映射,所以比较容易实现。然而,面对更大的用户群这种方式不可扩展,并且可能变得难以管理。 |Role-based Accewss Control|基于角色的访问控制(RBAC)是一种基于角色限制授权用户访问的方法。RBAC是一种提供访问控制的静态权限模型。大多数用户超过500的企业都在使用它。当用户被分为不同的角色时,可以采用这种控制方法。角色定义了被分配给该角色的用户可以访问资源。这些用户和角色也可以通过用户存储具象化。角色需要小心的管理。同一个用户可以分配给不同的角色。RBAC属于ABAC的子集。 |
| Role-based Accewss Control | 基于角色的访问控制(RBAC)是一种基于角色限制授权用户访问的方法。RBAC是一种提供访问控制的静态权限模型。大多数用户超过500的企业都在使用它。 当用户被分为不同的角色时,可以采用这种控制方法。角色定义了被分配给该角色的用户可以访问资源。这些用户和角色也可以通过用户存储具象化。角色需要小心的管理。同一个用户可以分配给不同的角色。RBAC属于ABAC的子集。 通过更新WSO2身份服务的权限树可以给不同的角色授予权限 |
| Attribute-based-Access Contro | 基于属性的访问控制(ABAC)定义了一种新的访问控制范式,通过使用将属性组合在一起的策略授予用户访问权限。 基于属性的授权相比基于角色的授权粒度更细。授权可以基于用户、环境甚至资源本身的属性。和基于角色的权限控制结合使用时可以更加灵活。在授权之前不需要了解用户。 |
| Policy-based Access Control | 这种类型的访问控制满足了具有更统一的访问控制机制的要求。这有助于大型企业对大量的组织单元进行统一的访问控制。这在执行安全审核时很有用。 这是最复杂的访问控制方式。这需要企业使用XACML和授权的属性源明确地指定策略。基于策略的访问控制(PBAC)(也称为基于规则的访问控制)是ABAC的扩展,其中属性用于编写策略。 |
- 许多软件的设计者和开发者缺少对XACML的特性、重要性以及有点缺少了解
- 与传统JDBC方案
最低0.47元/天 解锁文章
扫一扫
1351
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
