Certificado de atributo para modelar sujeto-objeto-acción para control de acceso

1

Estoy usando Certificado de atributo (junto con X509 PKC) para el control de acceso. Lo que realmente quiero modelar es un control de acceso semántico donde un sujeto tiene un privilegio para realizar cierta acción en cierto objeto . Un ejemplo sería resource1 quiere fetch-profile de resource2 . Aquí resource1 es el tema y fetch-profile es la acción. Mientras que resource2 es el objeto en este caso en el que alguna otra entidad debe realizar alguna acción.

El sujeto y las partes de acción son fácilmente alcanzables con certificados de atributo. El sujeto es el sujeto de la AC y estoy modelando la acción usando el atributo Role. Sin embargo, no estoy seguro de cómo o si es posible lograr lo que quiero con la entidad objeto. Realmente agradecería cualquier ayuda en este asunto.

Nota: una aplicación típica en la que el sujeto asume la identidad del objeto dentro de ciertos ámbitos (por ejemplo, con oAuth2) no es realmente aplicable en mi caso. Quiero que el sujeto mantenga su propia identidad y realice alguna acción en alguna otra entidad. Y quiero modelar este criterio de acceso usando certificados de atributo.

    
pregunta Chayan Ghosh 23.08.2018 - 11:07
fuente

1 respuesta

0

Por lo que describe, parece que está buscando un Control de acceso basado en roles (RBAC).

El certificado se puede usar para identificar (autenticar) el sujeto, mientras que el modelo RBAC manejaría la autorización. Esto significaría que tendría que hacer cumplir las reglas RBAC dentro de su software (lo cual no es algo raro).

Tenga en cuenta que las reglas para los modelos RBAC pueden, si así lo desea, administrarse fuera de su software. Solo la llamada hasAccess($subject, $action, $object); necesita implementarse en su software.
El certificado proporciona el subject , el software debe saber qué action sobre el cual se solicita object .

    
respondido por el Jacco 23.08.2018 - 13:16
fuente

Lea otras preguntas en las etiquetas