XACML是否仍在維護中

Question

目前我在一家在線支付公司工作，我需要實施一個訪問控制系統。兩年前，我使用XACML作爲實驗目的，並將其用於管理系統（基於Balana的XACML實現）。我注意到自2013年1月以來，XACML第3版規範尚未更新，我不知道此規範是否仍在維護中。如果沒有，有沒有人知道任何替代？

Answer 1

是的，XACML仍然非常活躍。這個標準在版本3中已經很成熟了，現在沒有人正在使用XACML 4.0。鑑於XACML 3.0是一個標準，不會對3.0進行更改。要麼我們去3.1或4.0。我們正在考慮針對4.0版本的增強功能，但這不是現在的重點。

重點是配置文件，包括技術配置文件（如JSON profile of XACML）和業務配置文件（例如XACML的導出控制配置文件）。

免責聲明：我爲領先的XACML實施Axiomatics工作。我也是XACML技術委員會的成員。

我們看到，尤其是在金融市場和醫療保健

Answer 2

什麼大衛說是正確的屬性的訪問控制和XACML越來越多的要求。此外，OASIS XACML技術委員會（TC）剛剛投票通過了對勘誤表XACML 3.0的公開評論。審查應在幾天內開始。更正很小，但它確實表明我們正在維護文檔並從現場獲得輸入。

儘管目前還沒有人在研究他們，但還是有幾個未完成的個人資料我希望看到完成。一種是擴展XACML的JSON格式以涵蓋策略語言。它目前僅涵蓋決策請求協議。另一種是ALFA策略語言，它是一種更加用戶友好的，類似JSON的語言，最初由Axiomatics開發，並得到TC的認可。

對於想要使用XACML的人，除了幾個優秀的商業產品之外，除了上面提到的WS02-Balana之外，還有至少兩個其他開源實現。 Forgerock有一個，另外還有一個是ATT自己開發的。後者爲Apache孵化器做出了貢獻，但未能獲得牽引力並被封存。然而，原始代碼仍然可以在Apache許可下免費獲得。

最後我應該提一下，我提出了各種方法來將XACML與基於令牌的授權方案（如OAuth）集成。然而，這還沒有超過研究階段。