FIWARE Idm 中的高级 XACML 规则示例
Example of advanced XACML rule in FIWARE Idm
我在 IDM 中创建动态资源时遇到问题,已回答相关问题 here。
但我无法找到使用 costume XCAML 创建高级策略的明确示例。关于这个主题的文档非常不清楚和难以理解,没有一些例子。
所以我的问题是,是否有人能够使用我上面描述的方法创建一些动态资源。
对于高级 XACML 规则,您可以从 XACML Rule template in the IDM source code as example, which is used to generate a basic Rule (for a static resource path); then you can customize it (besides removing/replacing the template code <%...%>) but beware that in the Rule, you can only use XACML attributes that can be retrieved by the PEP. If you use FIWARE PEP proxy Wilma as PEP, you can check the list of usable XACML attributes by looking at the Pep's Authzforce client code 开始(搜索 AttributeId)。目前,它们是以下(为简洁起见缩短的名称):resource-id、sub-resource-id、action-id、subject-role(检查代码以获取完整的属性名称)。因此,如果您想在规则中使用基于用户 ID 的 XACML 主题 ID 属性,例如,您必须修改我刚才提到的 Pep 代码,即从 userInfo 变量中提取用户 ID 并添加请求中相应的 XACML 属性 (subject-id)。
我在 IDM 中创建动态资源时遇到问题,已回答相关问题 here。
但我无法找到使用 costume XCAML 创建高级策略的明确示例。关于这个主题的文档非常不清楚和难以理解,没有一些例子。
所以我的问题是,是否有人能够使用我上面描述的方法创建一些动态资源。
对于高级 XACML 规则,您可以从 XACML Rule template in the IDM source code as example, which is used to generate a basic Rule (for a static resource path); then you can customize it (besides removing/replacing the template code <%...%>) but beware that in the Rule, you can only use XACML attributes that can be retrieved by the PEP. If you use FIWARE PEP proxy Wilma as PEP, you can check the list of usable XACML attributes by looking at the Pep's Authzforce client code 开始(搜索 AttributeId)。目前,它们是以下(为简洁起见缩短的名称):resource-id、sub-resource-id、action-id、subject-role(检查代码以获取完整的属性名称)。因此,如果您想在规则中使用基于用户 ID 的 XACML 主题 ID 属性,例如,您必须修改我刚才提到的 Pep 代码,即从 userInfo 变量中提取用户 ID 并添加请求中相应的 XACML 属性 (subject-id)。