PEP 代理可以区分实体吗?
Can PEP proxy discriminate entities?
PEP 代理(与 Idm Keyrock 一起使用)能否仅允许访问 Orion 的某些实体?
示例场景:
- 猎户座上有 2 种类型的实体 Entity_Type:
Kitchen 和 Bathroom
- 用户
Plumber 只能 modify/comsume Bathroom 键入实体。
- 用户
Cook 只能 create/comsume 到 Kitchen 类型的实体。
- 用户
Admin可以修改/create/comsume到所有个实体。
据我所知,PEP 代理 (Wilma) 或 TI+D 版本 (Steelskin) 的参考实现均未提供该功能(尽管不止一次被建议)。
使用标准的 NGSI 操作(updateContext 和 queryContext),很难在 Wilma 中实现(我认为)并且需要修改 Steelskin 中的 Orion 插件。唯一缺少支持细粒度安全性的部分是(在 Steelskin 案例中)将实体信息添加到用于安全性的 FRN。
但是如果您将自己限制在方便的操作(在 URL 中反映它们的 ID 和属性),您可以使用 REST 资源的安全性来基于某些实体特征来限制资源(但这会可能暗示一些与 XACML 等的工作)。在这种情况下,可能两个 PEP 代理都可以使用。
EDIT: Here 你可以找到完整的便利操作集,在那里你可以找到哪些信息可以添加到 URL 中创建安全规则。
PEP 代理(与 Idm Keyrock 一起使用)能否仅允许访问 Orion 的某些实体?
示例场景:
- 猎户座上有 2 种类型的实体 Entity_Type:
Kitchen和Bathroom
- 用户
Plumber只能 modify/comsumeBathroom键入实体。 - 用户
Cook只能 create/comsume 到Kitchen类型的实体。 - 用户
Admin可以修改/create/comsume到所有个实体。
据我所知,PEP 代理 (Wilma) 或 TI+D 版本 (Steelskin) 的参考实现均未提供该功能(尽管不止一次被建议)。
使用标准的 NGSI 操作(updateContext 和 queryContext),很难在 Wilma 中实现(我认为)并且需要修改 Steelskin 中的 Orion 插件。唯一缺少支持细粒度安全性的部分是(在 Steelskin 案例中)将实体信息添加到用于安全性的 FRN。
但是如果您将自己限制在方便的操作(在 URL 中反映它们的 ID 和属性),您可以使用 REST 资源的安全性来基于某些实体特征来限制资源(但这会可能暗示一些与 XACML 等的工作)。在这种情况下,可能两个 PEP 代理都可以使用。
EDIT: Here 你可以找到完整的便利操作集,在那里你可以找到哪些信息可以添加到 URL 中创建安全规则。