我想在 Orion Context Broker NGSI API 级别提供访问控制,以确保真正的数据隔离。我想确保租户只能查询/更新他们的上下文,而不是其他租户的上下文。
为此,我开始放置一个 Wilma PEP Proxy 的实例。在 Orion Context Broker 面前。然后我根据官方IdM Keyrock配置了自己的Identity Manager keyrock GE实例docker 镜像和我自己的授权 PDP GE 基于官方 AuthzForce docker 形象。
经过几天的配置和多次尝试,我终于可以让这三个安全通用启动器正常工作,使用 对 Orion Context Broker NGSI API 的请求进行身份验证和授权PEP 代理级别 2 .
但是,2级授权不足以保证我想要的,因为服务(租户)和子服务(应用程序路径)信息都在请求的头部。特别是在 Fiware-Service 和 Fiware-ServicePath header 中。为了构建基于 header 的授权策略,您需要使用 3级 : XACML 授权。
问题是我在 Fiware 的官方文档中进行了一些挖掘,但找不到任何 XACML 策略示例。除了 Wilma PEP Proxy 的官方文档(参见 here),您可能需要修改 PEP Proxy 源代码才能获得此级别的授权。
As this case is thought to check advanced parameters of the request such us the body or custom headers, it depends on the specific use case. So the programmer should modify the PEP Proxy source code in order to include the specific requirements.
有那么可能吗?
我真的需要修改 PEP 代理源代码来实现租户只能访问他的数据这样简单的事情吗?
最佳答案
很好的问题。有替代的 GE 可以完美地支持您所指的用例。请检查此演示文稿
https://es.slideshare.net/FI-WARE/building-your-own-iot-platform-using-fiware-geis
谢谢,最好
关于authorization - 如何在 Orion NGSI API 中配置访问控制以使用 Wilma PEP 代理和 IdM Keyrock 进行租户隔离?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44834629/