In diesem Abschnitt wird beschrieben, wie XACML-Dokumente erstellt werden.
Die im Beispiel verwendeten XACML-Dokumente wurden mithilfe des Richtlinieneditors von
IBM® Tivoli Security Policy
Manager erstellt. Sie können jedoch einen beliebigen Text- oder XML-Editor zur manuellen Erstellung solcher
Dokumente verwenden. Informationen zum Zusammenstellen oder Ändern
vorhandener XACML-Richtlinien finden Sie in den OASIS-Spezifikationen:
https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml.
Die im Beispiel verwendete XACML-Sicherheitsrichtlinie ist in den Dateien
storeSWPXACML.xml und
storePrivateDataXACML.xml enthalten.
Diese Richtlinien werden zur Auswertung von Anforderungen verwendet, die beim Richtlinienentscheidungspunkt
(PDP) eingehen. Eine Anforderung besteht aus vier Schlüsselelementen:
- Abschnitt 'Subjects' - Enthält die Details des definierten Namens (Distinguished Name, DN) des Aufrufers der Anforderung sowie
die Gruppen, zu denen der Aufrufer gehört.
- Abschnitt 'resource' - Enthält die Dokumente, auf die der Aufrufer Zugriff anfordert. Im Beispiel
werden zwei Typen von Ressourcen verwendet: Der erste Typ ist die Operation im Web-Service und der zweite
die Autorisierung für die Daten in der Antwort, in diesem Fall die Ressource 'priceInfo'.
- Abschnitt 'Environment' - Enthält Informationen zur Umgebung der Anforderung.
- Abschnitt 'action' - Die Aktion, die der Benutzer mit dem autorisierten Material ausführen möchte.
Im Überarbeitungsszenario besteht die Aktion einfach darin, die Preisinformationen (priceInfo) anzuzeigen.