Combinando el control de acceso basado en capacidades con SAML

He estado investigando varias investigaciones sobre identidad, PKI y control de acceso, tratando de reducir a una metodología simplificada para IAM (Identity & Access Management).

Una cosa que aparece en muchos lugares es el control de acceso basado en la capacidad, como en: sus permisos actuales están codificados en un ticket o certificado siguiendo la solicitud. Muchas investigaciones contemporáneas apuntan a esto como algo a lo que mirar, ya que significa otorgar una autorización temporal para realizar una determinada transacción. La autorización de la transacción suele ser más importante que establecer una identidad.

Me parece que SAML es lo suficientemente flexible como para manejar casos de uso, capacidades de codificación como atributos de SAML. También creo que las capacidades son una mejor coincidencia en un escenario federado que en los roles, ya que tratar de sincronizar las definiciones de roles (o incluso la identidad) entre las organizaciones parece inútil.

Sin embargo, he encontrado muy poca investigación, productos o incluso prototipos sobre la combinación de SAML y capacidades.

He empezado a consultar XPOLA , pero me pregunto:

¿Hay alguna otra investigación, documentos, productos o proyectos que debería examinar?
¿Alguno de los productos IAM o federación disponibles en el mercado proporciona alguna funcionalidad basada en capacidades?

pregunta Rolf Rander 10.03.2012 - 15:22

fuente

2 respuestas

No estoy familiarizado con XPOLA, pero aquí hay algunos recursos sobre el uso de autorización basada en capacidades en el web que deberías leer:

Alan Karp en HP Labs está trabajando exactamente en esta área: seguridad basada en capacidades para servicios web , incluyendo el uso de SAML y estándares similares. Echa un vistazo a su trabajo. Ver, por ejemplo, los siguientes documentos suyos:
- De ABAC a ZBAC: la evolución de los modelos de control de acceso .
- Solución del problema de acceso transitivo para la arquitectura orientada a servicios (discute el uso de certificados SAML para la seguridad basada en capacidades)
- Control de acceso basado en autorizaciones para la arquitectura orientada a servicios (más información sobre el uso de los certificados SAML)
Webkeys ofrece seguridad basada en capacidades a la web. Es una propuesta detallada y elaborada sobre cómo una URL puede servir como una capacidad y cómo crear servicios web en este sustrato.
El servidor Waterken es un enfoque basado en la capacidad para la seguridad web, que permite la implementación de cálculos y coordinación no triviales entre Entidades que utilizan capacidades de objeto como modelo de seguridad. Consulte, por ejemplo, algunas de las charlas de Tyler Close .
La lista de correo de conversación hablada es el lugar principal donde la gente de la capacidad cuelga compartir y compartir información sobre el enfoque de seguridad basado en la capacidad, incluida la seguridad web.
Para obtener más información sobre los sistemas basados en capacidades, lea la entrada de Wikipedia en capacidades de objetos , el ensayo de Jonathan Shapiro sobre ¿Qué es una capacidad, de todos modos? . Vea también diatriba de Kragen Sitaker sobre capacidades y la web , o la más reciente de Doug Crockford hable sobre seguridad basada en la capacidad y en la web (se centra más en el intercambio de información detallada , incluso en el lado web, en lugar del diseño de servicios web, que creo que está más centrado en).

respondido por el D.W. 13.03.2012 - 23:54

fuente

Hay un estándar en este espacio que implementa el control de acceso basado en atributos (ABAC). Ese estándar es XACML (eXtensible Access Control Markup Language). También es parte de OASIS exactamente como SAML y ha sido diseñado en parte para funcionar con SAML en muchos escenarios IAM.

Definitivamente ya no es investigación. Hay muchas empresas que utilizan XACML, como Boeing, Documentum, gobiernos, Bank of America ... Hay varios proveedores en este espacio, como el que trabajo para - Axiomatics - o IBM, Oracle ... Por último, hay un comunidad de código abierto bastante animada (SunXACML en los viejos tiempos - ForgeRock y OpenAM, y WSO2 hoy ...)

Por último, NIST ha estado trabajando en el control de acceso basado en atributos. Su trabajo se puede encontrar en aquí . Es un gran lugar para comenzar a mirar alrededor.

respondido por el David Brossard 18.10.2013 - 10:31

fuente

Lea otras preguntas en las etiquetas access-control federation identity-management saml capabilities

¿Por qué cambiar a "n-only" ayuda a prevenir ataques en WPS? Dónde colocar archivos privados en un servidor web compartido