XACML規則主題

Question

我正在編寫一個策略，其中包含規則的有序許可覆蓋。

規則1允許訪問具有適當安全級別的任何人的所有內容。

規則2允許使用備選憑證訪問某些內容（3資源）給任何人。

規則3拒絕訪問所有其他內容。如果用戶既沒有安全級別，也沒有憑證，這是一個故障安全。

我的問題是，我可以讓我的服務器運行程序和規則1工作正常。對於規則2，如果我給出所需的值，唯一的結果是「拒絕」，如果我留下任何空白，它就是「不確定」。儘管使用了排序許可覆蓋，但我認爲該政策並未運行我的規則2。

我已經嘗試運行規則3註釋掉的腳本，結果只是「不確定」或「不適用」。

在規則1中，我將目標留空。對於規則2，我定義了資源，但沒有定義主題。我是否需要指定主題才能使此規則起作用？還有什麼可能導致我的第一和第三條規則起作用，但不是我的第二條規則。

Answer 1

如果你可以在這裏分享你的政策，這將是很好的，所以我們可以看看。你用什麼來寫和測試政策。

正如你可能知道不確定是由於PDP內部的錯誤，您需要提供一個屬性，但您並未發送該屬性，或者您對缺少的屬性使用了一個字符串（或任何一個且只有一個）的函數。

順便說一句，爲什麼你不使用第一適用作爲組合算法？

檢查出ALFA的Eclipse插件（免費），能夠無需知道XACML語法能夠快速地寫出您的策略：http://www.axiomatics.com/axiomatics-alfa-plugin-for-eclipse.html