authorization - 为什么同时需要PolicySet和Policy？

Question

我已阅读 3.0 规范并有一个问题:

我发现PolicySet和Policy有很多相似之处，比如组合算法等。并且为了容纳更多的级别，PolicySet也可以是self -可控制的。如果是这样，为什么不将PolicySet和Policy合并为一个名为Policy的概念，并使Policy包含其他策略和规则？

---

更新:

说到Rule，其实Rule与Policy也没有太大区别，只不过Rule有条件和效果并且没有组合算法。我现在想到的是将PolicySet、Policy、Rule这三个概念合并为一个新的Policy。本政策是独立的，可以有其条件和效果。如果其组合算法返回Intermediate，则使用其自己的Effect。如果其自身的条件不符合要求，则整个政策不适用。我个人认为这种单一概念的模型比PolicySet、Policy和Rule更简洁、清晰。

例如，对于四级策略(如果大企业有四级策略的需求)，XACML将表示为:

策略集 -> 策略集 -> 策略 -> 规则

我的修改是:

策略 -> 策略 -> 策略 -> 策略

相比XACML的两级PolicySets和一级Policy and Rule，我认为直接的四级Policies会更清晰吗？

Answer 1

两者都存在的事实是语言的一个怪癖。您可以想象一种具有叶元素(规则)和分支(策略)的语言。

Policy 和 PolicySet 非常相似。在 XACML 中建模时，您可以吸收它们。

您的策略可以包含其他策略异或规则，但不能同时包含两者

编辑

根据 OP 的编辑，这里有更多背景信息。

XACML 结构元素

XACML 引入了 3 个结构元素:

• 策略集 (PS)
• 政策 (P)
• 规则 (R)

正如OP所述，PolicySet可以包含Policy和PolicySet，从而允许作者想要的深度的整体树(PS --> PS --> PS ... --> P --> R)。

PolicySet、Policy 和 Rule 的内容

所有三个元素(PS、P、R)都可以包含:

• 目标元素:目标定义了元素的范围。目标由 AND/OR/AND 结构和属性匹配组成，例如角色=='经理'或角色=='编辑'。
• 义务和建议:义务和建议是随 PDP(政策决策点)的决定一起返回给 PEP(政策执行点)的声明

组合算法

由于PolicySet和Policy元素可以包含子元素，因此它们需要一种机制来解决子元素之间的冲突。该机制称为组合算法。因此，PolicySet 元素和Policy 元素都具有组合算法属性。由于PolicySet包含其他PolicySet和/或Policy元素，因此PolicySet中的组合算法称为策略组合算法。由于Policy元素只包含Rules，因此组合算法称为规则组合算法。

XACML 的另一个怪癖是策略的组合算法列表几乎与规则的组合算法列表相同。显着的差异是:

• only-one-applicable 仅适用于政策。
• on-permit-apply-second 仅适用于政策。

这是 ALFA 中的列表表示法(ALFA 是 Axiomatics 开发的一种伪语言，用于简化 XACML 策略编写):

namespace System {
    ruleCombinator denyOverrides = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-overrides"
    ruleCombinator permitOverrides = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:permit-overrides"   
    ruleCombinator firstApplicable = "urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:first-applicable"
    ruleCombinator orderedDenyOverrides = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:ordered-deny-overrides"
    ruleCombinator orderedPermitOverrides = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:ordered-permit-overrides"
    ruleCombinator denyUnlessPermit = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-unless-permit"
    ruleCombinator permitUnlessDeny = "urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:permit-unless-deny"

    policyCombinator denyOverrides = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:deny-overrides"
    policyCombinator permitOverrides = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:permit-overrides"
    policyCombinator firstApplicable = "urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:first-applicable"
    policyCombinator onlyOneApplicable = "urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:only-one-applicable"
    policyCombinator orderedDenyOverrides = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:ordered-deny-overrides"
    policyCombinator orderedPermitOverrides = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:ordered-permit-overrides"
    policyCombinator denyUnlessPermit = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:deny-unless-permit"
    policyCombinator permitUnlessDeny = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:permit-unless-deny"
    policyCombinator onPermitApplySecond = "urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:on-permit-apply-second"
}

目标和条件

目标

如前所述，Target 元素可以存在于任何 PolicySet、Policy 和 Rule 中。目标具有 AND/OR/AND 元素的集合结构，用于将属性匹配组合在一起，即给定属性与给定值的比较。 XACML 提供了一长串可以使用的函数。

在目标中，只能使用采用 2 个原子值并返回 bool 值的函数，例如==(或 urn:oasis:names:tc:xacml:1.0:function:string-equal)。其他功能例如无法使用 sum (urn:oasis:names:tc:xacml:1.0:function:integer-add)。

条件

特别是，有一件真正有用的事情 Target 元素无法做到:比较两个属性，即建立关系。想象一下，例如您想要编写一个策略，其中指出:

Doctors can view the medical record of a patient they are assigned to.

或者换句话说，如果 userId == allowedDoctorId 则允许。

这就是 Condition 元素发挥作用的地方。 Condition 是可以使用 XACML 中任何可用函数的表达式。 Condition 的整体结果必须是 bool 值，但现在您可以执行诸如 sum(age, limit)>5 或 userId ==signedDoctorId 之类的操作。

还有另一个怪癖:条件元素只能在规则元素内使用。因此，如果您想在 XACML 中表达一种关系，您将需要至少一个规则。因为规则元素不能独立存在。您必须至少拥有一个策略元素。

所以最小可能的 XACML 策略是(使用 ALFA):

namespace example{
    policy policyExample{
        apply denyOverrides
        rule allowAll{
            permit          
        }
    }
}

生成的 XACML XML 代码是:

<?xml version="1.0" encoding="UTF-8"?>
 <!--This file was generated by the ALFA Plugin for Eclipse from Axiomatics AB (http://www.axiomatics.com). 
 Any modification to this file will be lost upon recompilation of the source ALFA file-->
<xacml3:Policy xmlns:xacml3="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17"
    PolicyId="http://axiomatics.com/alfa/identifier/example.policyExample"
    RuleCombiningAlgId="urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-overrides"
    Version="1.0">
    <xacml3:Description />
    <xacml3:PolicyDefaults>
        <xacml3:XPathVersion>http://www.w3.org/TR/1999/REC-xpath-19991116</xacml3:XPathVersion>
    </xacml3:PolicyDefaults>
    <xacml3:Target />
    <xacml3:Rule 
            Effect="Permit"
            RuleId="http://axiomatics.com/alfa/identifier/example.policyExample.allowAll">
        <xacml3:Description />
        <xacml3:Target />
    </xacml3:Rule>
</xacml3:Policy>