我一直在研究有关身份、PKI 和访问控制的各种研究,试图将其归结为 IAM(身份和访问管理)的简化方法。
在很多地方出现的一件事是基于能力的访问控制,例如:您当前的权限在请求之后被编码在票证或证书中。许多当代研究都指出这是值得关注的,因为这意味着给予临时授权来执行某项交易。授权交易通常比建立身份更重要。
在我看来,SAML 足够灵活,可以处理这样的用例,将能力编码为 SAML 属性。我还认为,在联合场景中,能力比角色更适合,因为尝试在组织之间同步角色定义(甚至身份)似乎是徒劳的。
但是,我几乎没有发现关于结合 SAML 和功能的研究、产品甚至原型。
我已经开始关注XPOLA,但我想知道:
我不熟悉 XPOLA,但这里有一些关于在 Web 上使用基于能力的授权的资源,您应该阅读:
惠普实验室的Alan Karp正是在这个领域开展工作:基于能力的 Web 服务安全性,包括使用 SAML 和类似标准。看看他的作品。例如,参见他的以下论文:
解决面向服务架构的传递访问问题(讨论使用 SAML 证书实现基于能力的安全性)
面向服务架构的基于授权的访问控制(更多关于 SAML 证书使用的讨论)
Webkeys为网络带来了基于能力的安全性。它是关于如何将 URL 用作能力以及如何在此基础上构建 Web 服务的详细的、已制定的建议。
Waterken服务器是一种基于能力的 Web 安全方法,它允许使用对象能力作为安全模型在实体之间部署非平凡的计算和协调。例如,参见Tyler Close 的一些谈话。
cap-talk 邮件列表是能力人员闲逛并共享有关基于能力的安全方法(包括 Web 安全)的信息的主要场所。
有关基于能力的系统的更多背景信息,请阅读 Wikipedia 关于对象能力的条目,Jonathan Shapiro 关于什么是能力的文章,无论如何?. 另请参阅Kragen Sitaker 对功能和网络的咆哮,或 Doug Crockford 最近关于基于能力的安全性和网络的演讲(它更多地关注细粒度的共享,包括 Web 端,而不是我认为的 Web 服务设计你更专注)。
在这个领域有一个标准可以实现基于属性的访问控制 (ABAC)。该标准是XACML(可扩展访问控制标记语言)。它也是 OASIS 的一部分,与 SAML 完全一样,并且部分设计为在许多 IAM 场景中与 SAML 一起使用。
这绝对不是研究了。有很多公司在使用 XACML,例如波音、Documentum、政府、美国银行......这个领域有几个供应商,比如我工作的那个 - Axiomatics - 或 IBM、甲骨文...... 最后,有一个非常活跃的开源社区(过去的 SunXACML - ForgeRock 和 OpenAM,以及今天的 WSO2...)
最后,NIST 一直致力于基于属性的访问控制。他们的工作可以在这里找到。这是开始环顾四周的好地方。