XACML

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 9 de diciembre de 2014; las comprobaciones requieren 10 ediciones .

XACML ( lenguaje de marcado de  control de acceso extensible  - lenguaje de marcado de control de acceso extensible ) es un estándar desarrollado por OASIS que define un modelo y un lenguaje para describir las políticas de control de acceso basadas en XML y cómo se procesan.

Uno de los objetivos de XACML es promover la terminología común y la interoperabilidad entre las implementaciones de control de acceso de múltiples desarrolladores. XACML es un estándar de control de acceso basado en atributos (ABAC) donde los atributos asociados con un usuario, acción o recurso se ingresan para decidir si un usuario determinado puede acceder a un recurso determinado de una manera particular. El control de acceso basado en roles (RBAC) también se puede implementar en XACML como una especialización de ABAC.

Historia

La versión 1.0 fue aprobada por la organización de estándares OASIS en 2003.

La versión 2.0 fue aprobada por la organización de estándares OASIS el 1 de febrero de 2005.

La primera especificación XACML 3.0 se publicó el 10 de agosto de 2010 [1] . La última versión, XACML 3.0, se estandarizó en enero de 2013 [2] .

Modelo de lenguaje

Los componentes principales de un modelo de lenguaje son una regla, una política y un conjunto de políticas.

Regla

Una regla es la unidad más simple de un modelo. La regla debe estar incluida en la póliza, no es una unidad independiente.

Componentes principales de la regla:

Objetivo

El objetivo define las consultas a las que se aplica la regla, en forma de expresiones booleanas en los atributos de la consulta. La solicitud contiene atributos del sujeto que solicita acceso, atributos del recurso al que se solicita acceso y atributos de la acción que el usuario desea realizar. La solicitud también puede contener otros atributos, como atributos de entorno. Si no hay un objetivo en la regla, se hereda del elemento principal (política).

Condición

Las condiciones son una forma extendida de objetivos que pueden usar una gama más amplia de funciones y, lo que es más importante, se pueden usar para comparar dos o más atributos, como subject-id == doctor-id (objeto id igual a doctor id).

Efecto

El efecto puede tomar dos valores: "habilitar" o "prohibir". El efecto de la regla se activa si la regla se evalúa positivamente (si tanto el destino como la condición se evalúan como verdaderos).

Compromiso

Un compromiso describe lo que se debe hacer antes o después de que se confirme el acceso. Si no se pueden realizar las acciones descritas, el acceso aprobado no puede ni debe implementarse.

Ejemplo:

Permitir el acceso al recurso MedicalJournal con el atributo ID del paciente=x si el asunto coincide con DesignatedDoctorOfPatient y se lee la acción con obligación en Permiso: doLog_Inform (ID del paciente, Asunto, hora) en Denegar: doLog_UnauthorizedLogin (ID del paciente, Asunto, hora)

Recomendación

Realiza las mismas funciones que la obligación, pero, a diferencia de ésta, puede ser ignorada.

Política

Se utiliza para combinar reglas.

Los principales componentes de la política:

  • Objetivo
  • Algoritmo de combinación de reglas
  • Conjunto de reglas
  • Compromiso
  • Recomendación

Algoritmo de combinación de reglas

Se utiliza para resolver conflictos. Por ejemplo, si una de las reglas se evalúa como "verdadero" y la otra como "falso", el algoritmo de combinación de reglas determina qué valor tomará la política en sí.

Conjunto de políticas

Se necesita un conjunto de políticas para combinar un grupo de políticas a fin de filtrarlas más rápidamente en función del propósito general especificado en el objetivo del grupo de políticas.

Componentes principales:

  • Objetivo
  • Algoritmo de combinación de políticas
  • Conjunto de políticas
  • Compromiso
  • Recomendación

Modelo de autorización

Principales componentes del modelo

Nombre Traducción Descripción
PAP (Punto de Administración de Políticas) Punto de gestión de políticas Objeto del sistema que gestiona las políticas de autorización
PDP (punto de decisión de política) Solicitar punto de decisión Un objeto del sistema que compara las solicitudes de acceso con las políticas de autorización antes de tomar una decisión de acceso
PEP (Punto de Aplicación de Políticas) Punto de aplicación de políticas Un objeto del sistema que intercepta la solicitud de un usuario para acceder a un recurso, realiza una solicitud de decisión al PDP para obtener una decisión de acceso (es decir, se aprueba o deniega el acceso al recurso) y actúa sobre la decisión.
PIP (Punto de Información de Políticas) Punto de Información de Políticas Un objeto del sistema que actúa como fuente de valores de atributo.
PRP (Punto de recuperación de pólizas) Punto de almacenamiento de políticas Un objeto del sistema que almacena políticas de autorización de acceso XACML. Suele ser una base de datos o un sistema de archivos.
controlador de contexto Controlador de contexto Un objeto del sistema que traduce las solicitudes de autorización al formato XACML, se coordina con PIP para agregar valores de atributos a la solicitud y traduce la decisión de autorización XACML a su propio formato de respuesta.

Los componentes del modelo interactúan entre sí a través de solicitudes y respuestas en formato XACML. La solicitud contiene atributos. La respuesta contiene el resultado del cálculo de la política (tiene 4 valores: "permitir", "denegar", "no aplicable", "no definido"). Además, la respuesta puede contener obligaciones que deben cumplirse si se permite o deniega el acceso.

Proceso de autorización [3]

  1. PAP reenvía políticas y conjuntos de políticas al PDP .
  2. El usuario envía una solicitud de autorización al PEP .
  3. El PEP envía la solicitud al controlador de contexto.
  4. El controlador de contexto crea una solicitud en formato XACML.
  5. El PDP solicita atributos adicionales del controlador de contexto .
  6. El controlador de contexto solicita atributos del PIP .
  7. PIP obtiene los atributos requeridos.
  8. PIP devuelve los atributos solicitados al controlador de contexto .
  9. El controlador de contexto envía los atributos PDP solicitados . El PDP calcula las políticas.
  10. El PDP devuelve la respuesta al controlador de contexto .
  11. El controlador de contexto traduce la respuesta del formato XACML al formato de respuesta PEP nativo .
  12. (No se muestra) Con base en el resultado de la evaluación de políticas recibido de la respuesta, el PEP toma una decisión de acceso y cumple con sus obligaciones. Si se permite el acceso, el PEP permite el acceso al recurso, de lo contrario lo niega.

Ejemplos de políticas

Autorización de fecha y hora XACML

Esta regla deniega el acceso a los usuarios que no han iniciado sesión durante 30 días.

En pseudocódigo: Denegar si time_now > last_access_time + 30 días.

<xacml3:Rule RuleId= "f6637b3f-3690-4cce-989c-2ce9c053d6fa" Effect= "Deny" > <xacml3:Description> Úselo o piérdalo: esta política deniega el acceso si lastLogin está a más de 30 días de la fecha de hoy < /xacml3:Descripción> <xacml3:Objetivo/> <xacml3:Condición > <xacml3:Apply FunctionId= "urn:oasis:names:tc:xacml:1.0:function:any-of" > <xacml3:Function FunctionId= "urn :oasis:names:tc:xacml:1.0:function:dateTime-mayor-que" /> <xacml3:Apply FunctionId= "urn:oasis:names:tc:xacml:3.0:function:dateTime-add-dayTimeDuration" > < xacml3:Apply FunctionId= "urn:oasis:names:tc:xacml:1.0:function:dateTime-one-and-only" > <xacml3:AttributeDesignator Category= "urn:oasis:names:tc:xacml:1.0:subject- categoría:asunto-de-acceso" AttributeId= "com.acme.user.lastLogin" DataType= "http://www.w3.org/2001/XMLSchema#dateTime" MustBePresent= "false" /> </xacml3:Apply> < xacml3:AttributeValue DataType= "http://www.w3.org/2001/XMLSchema#dayTimeDuration" > P30D </xacml3:AttributeValue> </xacml3:Apply> <xacml3:Attribute Designator Category= "urn:oasis:names:tc:xacml:3.0:attribute-category:environment" AttributeId= "urn:oasis:names:tc:xacml:1.0:environment:current-dateTime" DataType= "http:// www.w3.org/2001/XMLSchema#dateTime" MustBePresent= "false" /> </xacml3:Aplicar> </xacml3:Condición> </xacml3:Regla>

Autorización basada en tiempo en XACML

Esta regla otorga al sujeto acceso al recurso si la hora actual es entre las 9:00 a. m. y las 5:00 p. m.

<xacml3:Rule RuleId= "c01d7519-be21-4985-88d8-10941f44590a" Effect= "Permit" > <xacml3:Description> Permitir tiempo entre 9 y 5 </xacml3:Description> <xacml3:Target> <xacml3:AnyOf > <xacml3:AllOf> <xacml3:Match MatchId= "urn:oasis:names:tc:xacml:1.0:function:time-greater-than" > <xacml3:AttributeValue DataType= "http://www.w3.org /2001/XMLSchema#time" > 09:00:00 </xacml3:AttributeValue> <xacml3:AttributeDesignator Category= "urn:oasis:names:tc:xacml:3.0:attribute-category:environment" AttributeId= "urn:oasis :names:tc:xacml:1.0:environment:current-time" MustBePresent= "false" DataType= "http://www.w3.org/2001/XMLSchema#time" /> </xacml3:Match> </xacml3 :AllOf> </xacml3:AnyOf> <xacml3:AnyOf> <xacml3:AllOf> <xacml3:Match MatchId= "urn:oasis:names:tc:xacml:1.0:function:time-less-than" > <xacml3: AttributeValue DataType= "http://www.w3.org/2001/XMLSchema#time" > 17:00:00 </xacml3:AttributeValue> <xacml3:AttributeDesignator Category= "urn:oasis:names:tc:xacml:3.0 :atributo-categoría:entorno " AttributeId= "urn:oasis:names:tc:xacml:1.0:environment:current-time" MustBePresent= "false" DataType= "http://www.w3.org/2001/XMLSchema#time" /> </ xacml3:Coincidir> </xacml3:Todos> </xacml3:CualquieraDe> </xacml3:Objetivo> </xacml3:Regla>


Ejemplos de solicitudes y respuestas XACML

Solicitud XACML

Solicitud: Alice quiere ver el documento #123.

<xacml-ctx:Request ReturnPolicyIdList= "true" CombinedDecision= "false" xmlns:xacml-ctx= "urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" > <xacml-ctx:Attributes Category= "urn:oasis:names:tc:xacml:3.0:attribute-category:action" > <xacml-ctx:Attribute AttributeId= "actionId" IncludeInResult= "true" > <xacml-ctx:AttributeValue DataType= "http: //www.w3.org/2001/XMLSchema#string" > ver </xacml-ctx:AttributeValue> </xacml-ctx:Attribute> </xacml-ctx:Attributes> <xacml-ctx:Attributes Category= "urn :oasis:names:tc:xacml:3.0:attribute-category:resource" > <xacml-ctx:Attribute AttributeId= "resource-id" IncludeInResult= "true" > <xacml-ctx:AttributeValue DataType= "http:// www.w3.org/2001/XMLSchema#string" > doc#123 </xacml-ctx:AttributeValue> </xacml-ctx:Attribute> </xacml-ctx:Attributes> <xacml-ctx:Attributes Category= "urn :oasis:names:tc:xacml:1.0:subject-category:access-subject" > <xacml-ctx:Attribute AttributeId= "user.identifier" IncludeInResult= "true" > <xacml-ctx:AttributeValue DataTyp e= "http://www.w3.org/2001/XMLSchema#string" > Alicia </xacml-ctx:Valor del atributo> </xacml-ctx:Atributo> </xacml-ctx:Atributos> </xacml-ctx :Solicitud>

El primer elemento <Attributes>contiene los atributos de la acción (leer), el segundo elemento <Attributes>contiene los atributos del recurso al que el sujeto desea aplicar la acción especificada (documento #123), el tercer elemento <Attributes>contiene el nombre del sujeto (Alice) .

Respuesta XACML

Ejemplo de respuesta XACML

Respuesta: No aplica

<xacml-ctx:Respuesta xmlns:xacml-ctx= "urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" > <xacml-ctx:Resultado> <xacml-ctx:Decisión> No aplicable < /xacml-ctx:Decision> <xacml-ctx:Status> <xacml-ctx:StatusCode Value= "urn:oasis:names:tc:xacml:1.0:status:ok" /> </xacml-ctx:Status> < /xacml-ctx:Resultado> </xacml-ctx:Respuesta>

El elemento <Decision>contiene el resultado de la evaluación de políticas (no aplicable).

Un ejemplo de respuesta XACML con un compromiso

Respuesta: Permitir, confirmar con el índice "logAccess" (acceso al registro)

<xacml-ctx:Respuesta xmlns:xacml-ctx= "urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" > <xacml-ctx:Resultado> <xacml-ctx:Decisión> Permitir < /xacml-ctx:Decision> <xacml-ctx:Status> <xacml-ctx:StatusCode Value= "urn:oasis:names:tc:xacml:1.0:status:ok" /> </xacml-ctx:Status> < xacml-ctx:Obligations> <xacml-ctx:Obligation ObligationId= "logAccess" > </xacml-ctx:Obligation> </xacml-ctx:Obligations> <xacml-ctx:PolicyIdentifierList> <xacml-ctx:PolicyIdReference Version= " 1.0" > http://www.axiomatics.com/automatic-unique-id/18a9eae9-c92b-4087-b2ac-c5a33d7ff477 </xacml-ctx:PolicyIdReference> </xacml-ctx:PolicyIdentifierList> </xacml-ctx: Resultado> </xacml-ctx:Respuesta>

El elemento <Decision>contiene el resultado de la evaluación de políticas (habilitar). El elemento <Obligations>contiene las obligaciones a aplicar. En este caso, <Obligations>contiene un elemento <Obligation>con el identificador "logAccess" (acceso al registro).

Implementaciones XACML

Nombre Versión

XACML

Tecnología Licencia
AuthzForce (OW2) [4] / ( GitHub ) XACML 3.0 Java GPL
balaná [5] XACML 3.0, 2.0, 1.1 y 1.0 Java apache 2.0
ndg-xacml [6] XACML 2.0 Pitón BSD
XACML de AT&T [7] XACML 3.0 Java MIT
Servidor de derechos de Oracle [8] XACML 3.0 Java , .NET Propiedad
Herramienta de política de seguridad [9] XACML 3.0, 2.0 Java Propiedad

Literatura

  • Gertz, M. y Jajodia, S. 4.2 HACML // Manual de Seguridad de Bases de Datos: Aplicaciones y Tendencias. - Springer, 2007. - 591 págs. — ISBN 9780387485331 .
  • Bertino, E. and Martino, L. and Paci, F. and Squicciarini, A. Seguridad para Servicios Web y Arquitecturas Orientadas a Servicios. - Springer, 2009. - P. 67-75, 170. - 230 p. — ISBN 9783540877424 .


Enlaces

  1. ^ Lenguaje de marcado de control de acceso extensible de OASIS (XACML) TC | OASIS . www.oasis-open.org. Consultado el 4 de diciembre de 2019. Archivado desde el original el 29 de diciembre de 2019.
  2. Extensible Access Control Markup Language (XACML) V3.0 aprobado como OA . listas.oasis-open.org. Fecha de acceso: 4 de diciembre de 2019. Archivado desde el original el 4 de diciembre de 2019.
  3. Lenguaje de marcado de control de acceso extensible (XACML) Versión 3.0 . docs.oasis-open.org. Consultado el 11 de diciembre de 2019. Archivado desde el original el 11 de septiembre de 2019.
  4. OW2 - Principal - AuthZForce (Edición comunitaria) . authzforce.ow2.org. Consultado el 14 de diciembre de 2019. Archivado desde el original el 12 de diciembre de 2019.
  5. Contribuya al desarrollo de wso2/balana creando una cuenta en GitHub . — 2019-12-12. Archivado desde el original el 8 de diciembre de 2020.
  6. Felipe Kershaw. ndg-xacml: implementación de XACML 2.0 para NERC DataGrid .
  7. Implementación de AT&T de la especificación OASIS XACML 3.0 . — 2021-09-04. Archivado desde el original el 4 de septiembre de 2021.
  8. Servidor de derechos de Oracle . www.oracle.com. Consultado el 14 de diciembre de 2019. Archivado desde el original el 12 de diciembre de 2019.
  9. Herramienta de política de seguridad: una herramienta para editar, modelar, probar y verificar políticas de seguridad para evitar fugas de control de acceso . securitypolicytool.com. Consultado el 14 de diciembre de 2019. Archivado desde el original el 12 de diciembre de 2019.

Enlaces externos

 Normas OASIS