XACML - eXtensible Access Control Markup Language


XACML steht als Abkürzung für eXtensible Access Control Markup Language (manchmal auch nur verkürzt Extensible Access Control Language - XACL) und ist ein OASIS-Standard, der eine sehr freingranulare, attributsbasierte Zugriffskontroll-Policy-Sprache, eine Architektur und ein Verarbeitungsmodell beschreibt, wie ein Zugriff basierend auf in Policies definierten Regeln stattfindet.

XACML Struktur

XACML setzt sich strukturell aus drei Teilen zusammen:
  1. Policy Set
  2. Policy
  3. Rule

Policy Set

Ein Policy Set besteht aus einer oder mehreren Policies, selbst aus einer oder mehr Policy Sets und einem Target, also wann das Policy Set angewandt werden soll. Optional kann ein Policy Set noch einen Satz von Auflagen (Obligations) oder Hinweise (Advices) besitzen.

Policy

Eine Policy besteht aus einer oder mehrere Rules und einem Target. Optional kann eine Policy noch einen Satz von Auflagen (Obligations) oder Hinweise (Advices) besitzen.

Rule

Eine Rule besteht aus einem Target (wann soll die Regel angewandt werden?), einem Effekt (wenn die Regel erfüllt wurde gib permit aus, sonst deny) und Conditions (die Regel ist erfüllt, wenn … – boolsche Entscheidungsfindung). Optional kann eine Rule noch einen Satz von Auflagen (Obligations) oder Hinweise (Advices) besitzen.

Wichtige Bestandteile

Folgende wichtige Bestandteile sind für XACML relevant:
  • PEP – Policy Enforcement Point
  • PDP – Policy Decision Point
  • PIP – Policy Information Point
  • PAP – Policy Administration Point

PEP – Policy Enforcement Point

Punkt der eine Zugriffsanfrage eines Users unterbricht und eine Entscheidungsanfrage an den PDP macht, um je nach Antwort des PDPs den Zugriff zu erlauben oder zu verweigern.

PDP – Policy Decision Point

Der PDP überprüft auf Basis der Informationen vom PIP ob der gewünschte Zugriffs erlaubt oder verboten ist.

PIP – Policy Information Point

Der PIP ist die Systementität, die als Quelle für die Attributwerte gilt und vom PDP für die Entscheidungsfindung herangezogen wird.

PAP – Policy Administration Point

Der PAP verwaltet die Zugriffsautentisierungs-Policies

Vereinfachter Ablauf

Ablauf von XACML
Nachfolgend noch ein englisches Video, dass den Ablauf noch einmal mit Erklärung zeigt:

Quellen und Verweise



Artikel vom 08.03.2017

Kommentare zum Artikel

comments powered by Disqus