Combinando el control de acceso basado en capacidades con SAML

6

He estado investigando varias investigaciones sobre identidad, PKI y control de acceso, tratando de reducir a una metodología simplificada para IAM (Identity & Access Management).

Una cosa que aparece en muchos lugares es el control de acceso basado en la capacidad, como en: sus permisos actuales están codificados en un ticket o certificado siguiendo la solicitud. Muchas investigaciones contemporáneas apuntan a esto como algo a lo que mirar, ya que significa otorgar una autorización temporal para realizar una determinada transacción. La autorización de la transacción suele ser más importante que establecer una identidad.

Me parece que SAML es lo suficientemente flexible como para manejar casos de uso, capacidades de codificación como atributos de SAML. También creo que las capacidades son una mejor coincidencia en un escenario federado que en los roles, ya que tratar de sincronizar las definiciones de roles (o incluso la identidad) entre las organizaciones parece inútil.

Sin embargo, he encontrado muy poca investigación, productos o incluso prototipos sobre la combinación de SAML y capacidades.

He empezado a consultar XPOLA , pero me pregunto:

  • ¿Hay alguna otra investigación, documentos, productos o proyectos que debería examinar?
  • ¿Alguno de los productos IAM o federación disponibles en el mercado proporciona alguna funcionalidad basada en capacidades?
pregunta Rolf Rander 10.03.2012 - 15:22
fuente

2 respuestas

2

No estoy familiarizado con XPOLA, pero aquí hay algunos recursos sobre el uso de autorización basada en capacidades en el web que deberías leer:

respondido por el D.W. 13.03.2012 - 23:54
fuente
0

Hay un estándar en este espacio que implementa el control de acceso basado en atributos (ABAC). Ese estándar es XACML (eXtensible Access Control Markup Language). También es parte de OASIS exactamente como SAML y ha sido diseñado en parte para funcionar con SAML en muchos escenarios IAM.

Definitivamente ya no es investigación. Hay muchas empresas que utilizan XACML, como Boeing, Documentum, gobiernos, Bank of America ... Hay varios proveedores en este espacio, como el que trabajo para - Axiomatics - o IBM, Oracle ... Por último, hay un comunidad de código abierto bastante animada (SunXACML en los viejos tiempos - ForgeRock y OpenAM, y WSO2 hoy ...)

Por último, NIST ha estado trabajando en el control de acceso basado en atributos. Su trabajo se puede encontrar en aquí . Es un gran lugar para comenzar a mirar alrededor.

    
respondido por el David Brossard 18.10.2013 - 10:31
fuente

Lea otras preguntas en las etiquetas