Definitivamente farei l'autorizzazione esternalizzata. Non significa che sarà più lento. Significa che il controllo degli accessi è separato in modo pulito dalla logica aziendale.
Panoramica XACML è un buon modo per andare. Il TC è molto attivo e aziende come Boeing, EMC, Veterans Administration, Oracle e Axiomatics sono tutti membri attivi.
L'architettura XACML garantisce di ottenere le prestazioni desiderate. Dal momento che l'enforcement (PEP) e il motore decisionale (PDP) sono accoppiati liberamente, puoi scegliere come comunicare, quale protocollo utilizzare, se utilizzare più decisioni, ecc. Ciò significa che hai la possibilità di scegliere l'integrazione che si adatta alle tue esigenze di prestazioni.
C'è anche un'interfaccia PDP standard definita nel profilo SAML per XACML. Ciò garantisce un controllo degli accessi "a prova di futuro" laddove non si è bloccati in una particolare soluzione del fornitore.
controllo dell'accesso per le webapps quest'ultimo può essere eliminato in un PEP per webapps .NET utilizzando filtri HTTP in ISAPI e ASP.NET. L'Axiomatics ha una soluzione pronta per questo.
implementazioni attuali Se si seleziona la pagina clienti di Assiomatica, vedrete che hanno Paypal, Campana elicottero, e altro ancora. Quindi XACML è davvero una realtà e può affrontare implementazioni molto estese (centinaia di milioni di utenti).
Inoltre, Datev eG, uno dei principali fornitori di servizi finanziari sta utilizzando l'implementazione PDP .Net di Axiomatics per i suoi servizi/app. Dal momento che il PDP .Net è incorporato in quel caso, le prestazioni sono ottimali.
Altrimenti, è sempre possibile scegliere PEP off-the-shelf per .Net che l'integrazione con qualsiasi PDP, ad esempio un servizio di autorizzazione XACML basato su SOAP.
Alti livelli di prestazioni con XACML Lo scorso luglio in occasione della conferenza di Gartner "Catalyst", Assiomatica ha annunciato l'uscita del loro ultimo prodotto, l'assiomatica Reverse Query che aiuta a affrontare la 'sfida miliardi di record'. Mira al controllo degli accessi per le origini dati e RIA. Usa una soluzione XACML pura in modo che rimanga interoperabile con altre soluzioni.
È un dato di fatto, Kuppinger Cole ospiterà un webinar sul tema molto presto: http://www.kuppingercole.com/events/n10058
Controllare il comunicato stampa Assiomatica ARQ anche qui: http://www.axiomatics.com/latest-news/216-axiomatics-releases-new-reverse-query-authorization-product-a-breakthrough-innovation-for-authorization-services.html
Le autorizzazioni di accesso possono essere espresse come politiche (una regola generale che copre molte situazioni) o sono le decisioni di condivisione prese tra gli utenti tra di loro e sostanzialmente arbitrarie? – kgilpin
@kgilpin: le autorizzazioni di accesso possono essere sia generali che specifiche. Generale come in "solo il gruppo A può leggere fatture" e specifico come in "utente X ha accesso in lettura all'account Alpha". – kaptan
Penso che oggigiorno ci sia una certa confusione su cosa sia realmente il controllo degli accessi basato sui ruoli (RBAC). Nella sua visione formale, RBAC è in grado di fare ciò che desideri. Hai descritto due ruoli: "lettori di fatture" e "lettori di account Alpha". Di seguito sono riportate due risposte che provengono da fornitori di controllo degli accessi basati sugli attributi, ma le regole che descrivi sopra non mi sembrano basate sugli attributi. Esiste la percezione che "l'RBAC non può farlo", perché le persone confondono la formalità di RBAC con alcune implementazioni piuttosto deboli di RBAC. – kgilpin