XACML义务

Question

我们如何使用XACML中的义务？任何引用都将是有帮助的场景是义务应该引用PIP并将结果返回给PEP

谢谢

作者评论中的示例：

<ObligationExpressions>
    <ObligationExpression ObligationId="EmailObligation" FulfillOn="Permit">
        <AttributeAssignmentExpression AttributeId="urn:oasis:names:tc:xacml:3.0:example:attribute:text">
            <AttributeDesignator MustBePresent="false" Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject" AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id" DataType="w3.org/2001/XMLSchema#string"/>
        </AttributeAssignmentExpression>
    </ObligationExpression> 
</ObligationExpressions>

Answer 1

XACML中的义务(以及XACML 3.0中引入的建议)用于丰富授权流。

典型的XACML响应只包含一个决定(允许、拒绝、不适用或不确定)。但是，如果您想要告诉用户访问被拒绝的原因呢？如果你想实现一个“打碎玻璃”的场景呢？

这就是义务和建议派上用场的地方。这里有几个例子：

乔·豪斯拒绝艾丽斯访问文档D+义务:向她的经理鲍勃发送电子邮件，让他知道艾丽丝试图访问文档D。

• 拒绝医生豪斯查看病历的权限+义务:告诉医生豪斯他可以“打破玻璃”访问医疗记录。

• 允许乔查看文档D，但在将文档返回给之前，请先在文档上添加水印

在XACML 3.0中，义务和建议可以有可变的部分，例如-在上面的示例中-经理的电子邮件。可以从PIP中检索这些部件。