Tôi chắc chắn sẽ cho phép ủy quyền bên ngoài. Nó không có nghĩa là nó sẽ chậm hơn. Điều đó có nghĩa là bạn đã tách biệt kiểm soát truy cập khỏi logic nghiệp vụ.
Tổng quan XACML là một cách hay để thực hiện. TC rất tích cực và các công ty như Boeing, EMC, Quản trị Cựu chiến binh, Oracle và Axiomatics đều là thành viên tích cực.
Kiến trúc XACML đảm bảo bạn có thể nhận được hiệu suất bạn muốn. Kể từ khi thực thi (PEP) và công cụ quyết định (PDP) được kết hợp lỏng lẻo, bạn có thể chọn cách họ giao tiếp, giao thức nào họ sử dụng, cho dù sử dụng nhiều quyết định, v.v. Điều này có nghĩa là bạn có sự lựa chọn phù hợp với nhu cầu hiệu suất của bạn.
Ngoài ra còn có giao diện PDP chuẩn được xác định trong cấu hình SAML cho XACML. Điều đó đảm bảo bạn kiểm soát truy cập 'tương lai-proof', nơi bạn không bị khóa vào bất kỳ giải pháp nhà cung cấp cụ thể.
Kiểm soát truy cập cho các ứng dụng web Bạn chỉ cần thả PEP cho các ứng dụng web .Net bằng cách sử dụng Bộ lọc HTTP trong ISAPI và ASP.NET. Axiomatics đã có một off-the-shelf cho điều đó.
Triển khai hiện tại Nếu bạn kiểm tra trang khách hàng của Axiomatics, bạn sẽ thấy họ có Paypal, Bell Helicopter và hơn thế nữa. Vì vậy XACML thực sự là một thực tế và nó có thể giải quyết các triển khai rất lớn (hàng trăm triệu người dùng).
Ngoài ra, Datev eG, nhà cung cấp dịch vụ tài chính hàng đầu đang sử dụng triển khai .P PDP của Axiomatics cho các dịch vụ/ứng dụng của nó. Kể từ khi PDP .Net được nhúng trong trường hợp đó, hiệu suất là tối ưu.
Nếu không, bạn luôn có thể chọn từ PEP có sẵn cho .Net tích hợp với bất kỳ PDP nào - ví dụ dịch vụ ủy quyền XACML dựa trên SOAP.
mức cao hiệu suất với XACML Tháng Bảy năm ngoái tại Gartner "Catalyst" hội nghị, Axiomatics công bố việc phát hành sản phẩm mới nhất của họ, Reverse Query Axiomatics giúp bạn giải quyết những 'tỷ kỷ lục thách thức'. Nó nhắm mục tiêu kiểm soát truy cập cho các nguồn dữ liệu cũng như RIA. Nó sử dụng một giải pháp XACML thuần túy để nó vẫn tương thích với các giải pháp khác.
Như một vấn đề của thực tế, Kuppinger Cole sẽ tổ chức một hội thảo trên web về chủ đề này rất sớm: http://www.kuppingercole.com/events/n10058
Kiểm tra các Axiomatics ARQ thông cáo báo chí quá ở đây: http://www.axiomatics.com/latest-news/216-axiomatics-releases-new-reverse-query-authorization-product-a-breakthrough-innovation-for-authorization-services.html
Quyền truy cập có thể được thể hiện dưới dạng chính sách (quy tắc chung bao gồm nhiều tình huống) hay là quyết định chia sẻ của người dùng giữa nhau và về cơ bản tùy ý? – kgilpin
@kgilpin: Quyền truy cập có thể vừa là chung và cụ thể. Nói chung như trong "chỉ nhóm A có thể đọc hóa đơn" và cụ thể như trong "người dùng X đã đọc quyền truy cập vào tài khoản Alpha". – kaptan
Tôi nghĩ rằng có một số nhầm lẫn những ngày này về những gì dựa trên vai trò kiểm soát truy cập (RBAC) thực sự là. Trong hình dung chính thức của nó, RBAC là rất nhiều khả năng làm những gì bạn mong muốn. Bạn đã mô tả hai vai trò: "người đọc hóa đơn" và "người đọc của tài khoản Alpha". Bạn có hai câu trả lời dưới đây là từ các nhà cung cấp kiểm soát truy cập dựa trên thuộc tính, nhưng các quy tắc bạn mô tả ở trên không có thuộc tính dựa trên thuộc tính đối với tôi. Có một nhận thức rằng "RBAC không thể làm điều này", bởi vì mọi người nhầm lẫn hình thức của RBAC với một số triển khai khá yếu của RBAC. – kgilpin