XACML 资源 ID 格式或结构的标准?

Standard(s) for XACML resource-id format or structure?

IdAM 产品供应商正在积极使用的资源标识符 (urn:oasis:names:tc:xacml:1.0:resource:resource-id) 的格式/结构是否有标准或经批准的配置文件?我已经针对 Oracle Entitlements Server (OES)、ForgeRock OpenAM 和 WSO2 Identity Server (WSO2IS) 等产品开发原型代码大约一年了,资源标识符在本质上似乎是特定于供应商的。例如,根据我的经验:

在 OES 中,资源标识符采用 /应用程序名称/[= 的形式27=]资源类型/资源元素以斜杠分隔

在 OpenAM 中,资源标识符的形式为 /realm/应用程序名称/资源元素以斜杠分隔

在 WSO2IS 中似乎没有强制执行特定格式,至少没有通过管理 GUI

在 Axiomatics Policy Server 中,用户可以选择自己喜欢的格式。

我查看了 Hierarchical Resource Profile,但我没有看到(或没有看到)上述供应商具体支持此配置文件的地方。 (我也不是 100% 确定它是否适用于我要问的具体问题,这就是我提到它的原因。)

一个具体的关注领域是对由充当 PEP 角色的应用程序保护的资源进行建模,因为似乎确实有一定数量的特定于供应商/实现的信息是资源标识符建模的一部分。我们的客户强烈希望保持供应商/提供商中立,这是他们对基于标准的 (XACML) 实施感兴趣的主要原因之一。

如能提供有关此主题的任何指导或参考资料,我们将不胜感激。

在 XACML 中,您可以自由选择结构。没有预定义的结构。 OES 和 WSO2 都将您硬塞进一个结构中,以便更轻松地使用他们的管理工具,正如您指出的那样,将您锁定在这些供应商中。

有 - 你指出 - 一个称为分层资源配置文件的配置文件,它定义了如何创建自己的资源 ID。我检查了绿洲委员会的技术列表,据我所知只有 SunXACML 和 Axiomatics 实现了它。

如果您查看纯粹的 XACML 3.0 实现,例如Axiomatics Policy Server 您将看到您可以定义自己的属性、您自己的分类法和策略结构。您不受制于供应商的世界观。