¿Existe una hoja de cálculo / plantilla para el Mapeo de Reglas de Autorización de Servicios Web?

6

Estoy buscando una hoja de cálculo / plantilla que permita mapear, visualizar y analizar las reglas de negocios (es decir, 'quién tiene acceso a qué').

En el pasado, he creado un par de estos (algunos incluso con automatización utilizando la O2 Platform ), pero los NDA me impidieron compartir . Entonces mientras ayudamos con un conjunto de scripts de Python para probar los servicios web de TeamMentor, Me tomé el tiempo para crear un modelo que creo que salió bastante bien.

Puede leer sobre esto aquí: Crear una hoja de cálculo con las Asignaciones de Autorización de WebService y esto es lo que parece:

enlace

Acontinuación,voyaintegrarestocon O2 a continuación, es más fácil cambiarlo a un formato / estándar mejor ahora (vs más tarde).

También creo que deberíamos tener un par de estas plantillas en un formato fácil de consumir en el Wiki de OWASP (he perdido la cuenta la cantidad de veces que he tratado de explicar la necesidad de "tales tablas de autorización / mapeos" sin tener buenos ejemplos a la mano).

¡Tenga en cuenta que crear estas asignaciones es solo una parte del rompecabezas! También es importante la capacidad de mantenerlo bien actualizado, actualizado y relevante.

    
pregunta Dinis Cruz 04.05.2012 - 11:49
fuente

2 respuestas

1

Oh uggh! Es un problema interesante, ya que algunos de los proveedores de LDAP más grandes (¡ese es su AD!) Ni siquiera reconocen los servicios como elementos de seguridad y en mi humilde opinión deberían hacerlo. rastree una gran cantidad de ofertas de proveedores de herramientas para ayudarlo en esto. La conclusión es que no renueve su propia autorización, intente incorporarse a un proveedor LDAP existente en el que puede configurar unidades organizativas, grupos, etc. usar cadenas de herramientas estándar para monitorear / reportar esto Otro punto: intente crear las tablas a las que se refieren las personas en el momento en que las solicitan, no guarde copias obsoletas: la gente va y viene, las aplicaciones van y vienen, las autorizaciones cambian

    
respondido por el Mark Mullin 12.10.2012 - 18:50
fuente
0

También debe consultar los estándares de autorización basados en políticas, como XACML . XACML le permite definir la autorización utilizando los atributos de usuario y recurso expresados juntos en un conjunto de políticas.

    
respondido por el David Brossard 12.11.2013 - 14:58
fuente

Lea otras preguntas en las etiquetas