Я пытаюсь расширить Wilma PEP Proxy GE для поддержки уровня безопасности 3: авторизация xacml.
Я уже внес необходимые изменения в прокси-сервер PEP, чтобы поддерживать этот уровень авторизации, но у меня возникли проблемы с предоставлением разрешений XACML через интерфейс IdM на основе ответвления OpenStack Horizon. Насколько мне известно, политика xacml создается в базе данных IdM, но не создается в соответствующем домене AuthZForce. Фактически, после теста создания разрешения xacml любое разрешение уровня 2, связанное с одним и тем же приложением, не синхронизируется с AuthZForce.
После небольшого исследования дело стало более сложным. Насколько я вижу, каждый домен в AuthZForce имеет корень PolicySet. В частности, этот PolicySet сопоставил все роли пользователей (роли приложений, кроме Provider и Purchaser) с XACML с соответствующими разрешениями. Фактически уровень безопасности 2 (базовая авторизация) поддерживается политиками XACML.
Итак, мои вопросы:
1) Почему моя политика xacml не синхронизировалась с Authzforce?. Может проблема в IdM?
2) Как должны выглядеть мои разрешения XACML уровня 3, если затем они будут объединены с политиками xacml, связанными с разрешениями уровня 2 других ролей в моем приложении, прежде чем они будут опубликованы в соответствующем домене AuthZForce?
Предложения?
Я использую следующие версии каждого GE:
- IdM GE: v5.4.0
- AuthZForce GE: выпуск 5.4.1
- PEP-прокси Wilma: 5.4