Control de acceso: XACML, SAMLceleste/docencia/doctorado/2006/AC-XACML.pdf · 1 Control de acceso:...

Control de acceso:XACML, SAML

Computación Ubicua. Curso de doctoradoAndrés Marín López amarin@it.uc3m.es

Marzo 2005

Índice

Introducción al control de accesoXACMLSAML

Introduction to Access Control

John quiere acceso a “PatientRecord1.doc”

Authentication Authorization

(Access Control)

File Server

“PatientRecord1.doc”

…Soy John,

Mi contraseña es X#$@!

Quiero “PatientRecord1.doc”

1. Es usuario válido

2. Es contraseña válida

1. Puede John acceder a

<John(X#$@>), “PatientRecord1.doc”, R>

<John, “PatientRecord1.doc”, R>

<Bob, “PatientRecord2.doc”, R>

<Bill, “PatientRecord1.doc”, W>

Definiciones

{Request}

<John, “PatientRecord1.doc”, R>

<Bob, “PatientRecord2.doc”, R>

<Bill, “PatientRecord1.doc”, W>

{Policy or Access Control List (ACL)}

Permit

{Response}VS

<S, O, A>

{Request}

<S, O, A>*

{Access Control List (ACL)}

{Response}VS

S – Subject, O – Object, A – Action, D - Decision

Autenticación, gestión de indentidad(Version 2.0)

OASIS SAML (SecurityAssertion Markup Language)

Gestión de relaciones de confianzaWS-Trust (Web Services Trust Language)

Gestión de identidadWS-Federation (Web Services Federation

Language)

Integridad, no repudio, Confidencialidad(mensajes)

OASIS Web Services Security

Authorización/Control de accesoXACML (Extensible Access Control Markup Language)

Integridad, no repudio, confidencialidad(sesiones)

WS-SecureConversation(Web Services Secure

Conversation Language)

Gestión de identidadThe Liberty Alliance

Requisitos de seguridadEspecificación

Introducción a XACMLXACML schema.XACML framework.Instalación y uso del paquete XACML Detalles de XACMLEjemplosExtensiones de usuario a XACML

Introducción a XACML

John quiere acceder a “PatientRecord1.doc”Request Context XACML Policy Response Context

</subject>

<resource> <value>PatientRecord1.doc</value>

</resource>

</action>

</target>

</rule>

</subject>

<resource> <value>PatientRecord1.doc</value>

</resource>

</action>

</request>

<value>Permit</value>

</decision>

</response>

Introduction to XACML contd.

Authorization

Server

0. XACML Policy Repository

2. Request

XACML Compliant3. Response

1. Authenticated Request

PEP – Policy Enforcement Point

PDP – Policy Decision Point

4. Decision Enforcement

How does XACML Work?

XACML Schemas

Policy SchemaRequest Schema Response Schema

PolicySet (Combining Alg)

Policy* (Combining Alg)

Rule* (Effect)

Subject*

Resource*

Action

Condition*

Obgligation*

Request

Subject

Resource

Action

Response

Decision

Obligation*

XACML Framework (Data flow model)

XACML Framework (Policy Language Model)

Instalación y uso de XACML

Implementaciones disponiblesSun Microsystems (http://sunxacml.sourceforge.net/)

necesita “ant” (http://ant.apache.org)incluir sunxacml.jar en el class path.

Jiffy Software (http://www.jiffysoftware.com/)

Uso de la implementación de XACML

http://sunxacml.sourceforge.net/guide.html#usingDescripción de APIsConstrucción de un PDP básicoConstrucción de un PEP básicoValidación de políticas y peticiones

Detalles de XACML

Combinaciones de políticas y reglasMúltiples sujetosAtributosCondicionesObligacionesFuncionesEvaluaciónDelegación

Combinación de políticas y reglas

Algoritmos:Permit Overrides:

Si una regla permite una solicitud, el resultado del PDP es Permit, independientemente del resto de las reglas

Deny Overrides:Si una regla prohibe una solicitud el resultado es Deny

First Applicable:El resultado es el de la primera regla aplicable

Only-one-applicable:Si dos reglas con distintos efectos se pueden aplicar, el resultado es indeterminado

Múltiples sujetos

A menudo es necesario plantear requisitos sobre múltiples sujetos al control de acceso

Una transacción financiera puede requerir la aprobación de distintos individuosXACML propone el atributo subject-category

En ocasiones el control de acceso se hace en función de alguna caracteritica del individuo distinta de su identidad

rfc822Name, patientID, etc.XACML propone el atributo SubjectAttributeDesignator

Atributos

Permiten diferenciar instancias distintas de elementosLos operadores los utilizan para aplicar las reglasHay conjuntos de atributos (Set)Cuando queremos recuperar atributos podemos encontrar con enumeraciones que contengan múltiples valores por atributo, para esto utilizamos los bags

Condiciones

Utilización de expresiones booleanasUtilización de variables de contexto: tiempo, etc.

John puede acceder a patientrecord1.doc desde las 9am hasta las 4pm.

Obligaciones

Operaciones que deben ser realizadas de acuerdo a una política o conjunto de políticas para poder llegar(enforce) a una decisión de autorización

ObligationIDFulfillOnAttributeAssignment

Las obligaciones quedan a elección de la autoridadEnviar un correo informando de la decisiónPresentar un certificado de atributosEtc.

Funciones de XACML

Predicados de igualdadAritméticas y predicados aritméticosConversión de StringsConversión de tipos de números (float, double, etc.)LógicasFechas y tiemposSetEtc.

Evaluación target

“Indeterminate”“Indeterminate”Don't careDon't careDon't care

“Indeterminate”Don't care“Indeterminate”Don't careDon't care

“Indeterminate”Don't careDon't care“Indeterminate”Don't care

“Indeterminate”Don't careDon't careDon't care“Indeterminate”

“No match”“No match”“Match” or “No match”

“Match” or “No match”

“No match”“Match” or “No match”

“No match”

“Match”“Match”“Match”“Match”“Match”

Target valueEnvironments value

Actions valueResources value

Subjects value

Evaluación subject

“No match”All “No match”

“Indeterminate”None matches and at least one “Indeterminate”

“Match”At least one “Match”

<Subjects> Value<Subject> values

Evaluación rule

“Indeterminate”Don’t care“Indeterminate”

“NotApplicable”

Don’t care“No-match”

“Indeterminate”“Indeterminate”

“Match”

“NotApplicable”

“False”“Match”

Effect“True”“Match”

Rule ValueConditionTarget

Evaluación policy

“NotApplicable”Don’t care“No-match”

Specified by the rule-combining algorithm

At least one rule value is “Indeterminate”

“Match”

“NotApplicable”All rule values are “NotApplicable”

“Match”

Specified by the rule-combining algorithm

At least one rule value is its Effect

“Match”

Policy ValueRule valuesTarget

Evaluación policy set

“NotApplicable”Don’t care“No-match”

Specified by the policy-combining algorithm

At least one policy value is “Indeterminate”

“Match”

“NotApplicable”All policy values are “NotApplicable”

“Match”

Specified by the policy-combining algorithm

At least one policy value is its Decision

“Match”Policy Set ValuePolicy valuesTarget

Delegación

XACML permite delegación dinámica (versión 2.0)Para ello incluye administración de políticasPermite crear políticas dinámicamente que expresen:

Si yo estoy autorizado a hacer algo, puedo delegarlo en alguienSi yo puedo delegar algo, siempre puedo hacerlo creando la política que se refiere a mí

Las políticas pueden incluir un PolicyIssuer, si no lo hacen se sobreentiende el trusted issuer

Ejemplo

Cuatro políticas:1. Trusted issuer, un empleado puede

imprimir, Carol puede crear nuevas políticas para delegar en administradores

2. Carol, un empleado puede imprimir, Bobpuede delegar en cualquiera

3. Mallory, Alice puede imprimir4. Bob, Alice puede imprimir

Ejemplo<PolicySet>

<SubjectMatchMatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">

<AttributeValueDataType=http://www.w3.org/2001/XMLSchema#string

>employee</AttributeValue><SubjectAttributeDesignator

AttributeId="group" DataType="http://www.w3.org/2001/XMLSchema#string"/>

</SubjectMatch></Subject>

</Subjects><Resources>

<Resource><ResourceMatch

MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"><AttributeValue

DataType="http://www.w3.org/2001/XMLSchema#string">printer</AttributeValue><ResourceAttributeDesignator

AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id"DataType="http://www.w3.org/2001/XMLSchema#string"/>

</ResourceMatch></Resource>

</Resources><Actions>

<Action><ActionMatch

DataType="http://www.w3.org/2001/XMLSchema#string">print</AttributeValue><ActionAttributeDesignator

AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id"DataType="http://www.w3.org/2001/XMLSchema#string"/>

</ActionMatch></Action>

</Actions>

<DelegateMatchMatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"><AttributeValue

DataType="http://www.w3.org/2001/XMLSchema#string">Carol</AttributeValue><DelegateAttributeDesignator

AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string"/>

</DelegateMatch></Delegate>

</Delegates></Target>

<IndirectDelegatesConditionFunctionId="urn:oasis:names:tc:xacml:1.0:function:string-equal"

AttributeId="group"DataType="http://www.w3.org/2001/XMLSchema#string"><AttributeValue

DataType="http://www.w3.org/2001/XMLSchema#string"

>administrator</AttributeValue></IndirectDelegatesCondition>

</Condition></Rule>

</Policy>

RuleCombiningAlgId urn:oasis:names:tc:xacml:1.0:rule combining algorithm:permit overrides ><PolicyIssuer>

<AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string">

<AttributeValue>Carol</AttributeValue></Attribute>

</PolicyIssuer><Target>

<SubjectMatchMatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">

<AttributeValueDataType="http://www.w3.org/2001/XMLSchema#string"

>employee</AttributeValue><SubjectAttributeDesignator

AttributeId="group" DataType="http://www.w3.org/2001/XMLSchema#string"/>

</Subjects><Resources>

<Resource><ResourceMatch

</Resources><Actions>

<Action><ActionMatch

</ActionMatch>

<DelegateAttributeDesignatorAttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string"/>

</DelegateMatch></Delegate>

</Delegates></Target><Rule RuleId="Rule1" Effect="Permit"><Target/>

</Rule></Policy>

<AttributeValue>Mallory</AttributeValue></Attribute>

</PolicyIssuer><Target><Subjects><Subject><SubjectMatchMatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"><AttributeValue

DataType="http://www.w3.org/2001/XMLSchema#string">Alice</AttributeValue><SubjectAttributeDesignatorSubjectCategory="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string"/>

</Subjects><Resources><Resource><ResourceMatchMatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"><AttributeValue

DataType="http://www.w3.org/2001/XMLSchema#string">printer</AttributeValue><ResourceAttributeDesignatorAttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id"DataType="http://www.w3.org/2001/XMLSchema#string"/>

</Resources><Actions><Action><ActionMatchMatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"><AttributeValue

DataType="http://www.w3.org/2001/XMLSchema#string">print</AttributeValue><ActionAttributeDesignatorAttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id"DataType="http://www.w3.org/2001/XMLSchema#string"/>

</ActionMatch></Action>/A ti

<Subject><SubjectMatch

DataType="http://www.w3.org/2001/XMLSchema#string">Alice</AttributeValue><SubjectAttributeDesignator

SubjectCategory="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string"/>

</SubjectMatch></Subject></Subjects>

<ResourceMatchMatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"><AttributeValue

</ResourceMatch></Resource></Resources>

<Actions><Action><ActionMatch

</ActionMatch></Action></Actions></Target>

Alice quiere imprimir<Request><Subject

SubjectCategory="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"><Attribute

AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string">

<AttributeValue>Alice</AttributeValue></Attribute><Attribute

AttributeId="group"DataType="http://www.w3.org/2001/XMLSchema#string">

<AttributeValue>employee</AttributeValue></Attribute>

</Subject><Resource>

<AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id"DataType="http://www.w3.org/2001/XMLSchema#string">

<AttributeValue>printer</AttributeValue></Attribute>

</Resource><Action>

<AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id"DataType="http://www.w3.org/2001/XMLSchema#string">

<AttributeValue>print</AttributeValue></Attribute>

</Action>

</Request>

Las reglas 3 y 4 lo permiten…

… pero hay que reducirlas al trusted issuer

Reduciendo la 3: se genera la Administrative request

<Request><Subject

SubjectCategory="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"><Attribute

AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string"><AttributeValue>Alice</AttributeValue>

</Attribute><Attribute

AttributeId="group"DataType="http://www.w3.org/2001/XMLSchema#string"><AttributeValue>employee</AttributeValue>

</Attribute></Subject><Resource>

<AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id"DataType="http://www.w3.org/2001/XMLSchema#string"><AttributeValue>printer</AttributeValue>

</Attribute></Resource><Action>

<AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id"DataType="http://www.w3.org/2001/XMLSchema#string"><AttributeValue>print</AttributeValue>

</Attribute></Action><Delegate>

<AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string"><AttributeValue>Mallory</AttributeValue>

</Attribute></Delegate>

</Request>

Reduciendo la 3…

Access Request

Policy 1Trusted: N/A

Policy 2Carol: N/A

Policy 3Mallory: Permit

Policy 4Bob: Permit

Adminstrative Request 1

Policy 2Carol: N/A

Policy 4Bob: N/A

PolicySet

Sin éxito, No aplicable

Reduciendo la 4: se genera la Administrative request

<Request><Subject

SubjectCategory="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"><AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"DataType="http://www.w3.org/2001/XMLSchema#string">

<AttributeValue>Alice</AttributeValue></Attribute> <Attribute

<AttributeValue>employee</AttributeValue></Attribute>

</Subject><Resource>

<AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id"DataType="http://www.w3.org/2001/XMLSchema#string">

<AttributeValue>printer</AttributeValue></Attribute>

</Resource><Action>

<AttributeAttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id"DataType="http://www.w3.org/2001/XMLSchema#string">

<AttributeValue>print</AttributeValue></Attribute>

</Action><Delegate>

<AttributeValue>Bob</AttributeValue></Attribute><Attribute

<AttributeValue>administrator</AttributeValue></Attribute>

</Delegate></Request>

Reduciendo la 4

Bien! Carol puede hacerlo. Seguimos reduciendo la 2

Reduciendo la 2

Ya tenemos un Trusted!

Y el resultado es que se autoriza

Access Request

Policy 2Carol: N/A

Policy 3unauthorized

Policy 4Trusted: Permit

PolicySet

Extensiones de usuario

http://sunxacml.sourceforge.net/guide.html#extending

AtributosFuncionesAlgoritmos de combinación de políticas y reglasMódulos para encontrar reglas y políticas.

XACML necesita de un protocolo que tranporte sus solicitudes y respuestasSAML define un protocolo válido, en el que realizar las aserciones de autenticación y autorización, y un mecanismo para acompañarlasXACML se utiliza entonces para definir las reglas necesarias para tomar las decisiones de autorización

SAML SSO

Un usuario quiere acceder a un recurso de un sitio B

El usuario se autentica en su propio sitio (A)Desde A el usuario solicita el recurso de BA redirige al usuario a B con un tokenEl PEP de B examina la solicitud con su PDPEl PDP de B puede pedir autenticación SAML (aserción) pasando el token de vuelta a AA devuelve la prueba de autenticación B devuelve el recurso solicitado al usuario

Perfil de SAML 2.0 para XACML 2.0

Referencias

www.oasis-open.orgXACML SpecificationEspecificación de SAML 2.0

Sun’s XACML Implementationhttp://www.ibm.com/developerworks/xml/library/x-xacml/

XML Security“The Current and Emerging State of Web Services Standards” J. Chiusano“XACML”, Kailash Bhoopalam

Control de acceso: XACML, SAMLceleste/docencia/doctorado/2006/AC-XACML.pdf · 1 Control de acceso:...

Documents

Transcript of Control de acceso: XACML, SAMLceleste/docencia/doctorado/2006/AC-XACML.pdf · 1 Control de acceso:...

2 eXtensible Access Control Markup Language 3 …docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0...2 eXtensible Access Control Markup Language 3 (XACML) Version 2.0 4 OASIS

XACML Intellectual Property Control (IPC) Profile Version 1docs.oasis-open.org/xacml/3.0/ipc/v1.0/os/xacml-3.0-ipc... · 2015-01-19 · XACML Intellectual Property Control (IPC) Profile

04 Fn42434en80gla0 Xacml Examples

XACML v3.0 Core and Hierarchical Role Based …docs.oasis-open.org/xacml/3.0/rbac/v1.0/cs02/xacml-3.0...Core and hierarchical role based access control (RBAC) profile of XACML v2.0.

OASIS XACML Update

OAuth 2.0 Integration Patterns with XACML

SAML 2.0 Profile of XACML 2.0 v2 - OASISdocs.oasis-open.org/xacml/3.0/xacml-profile-saml2.0-v2-spec-cs-01-en.pdfthis profile: 1) use of SAML 2.0 Attribute Assertions with XACML, including

ACCESO A LA SECRETARÍA VIRTUAL DEL ESTUDIANTADO · 2016. 11. 8. · IV JORNADA DE BIENVENIDA A ESTUDIANTES DE DOCTORADO Rocío Castro Viñuelas Doctoranda del Programa de Doctorado

XACML Briefing for PMRM TC

JSON Profile of XACML 3.0 Version 1 - OASISdocs.oasis-open.org/xacml/xacml-json-http/v1.0/... · 4 The XACML architecture promotes a loose coupling between the component that enforces

eXtensible Access Control Markup Language (XACML) Version ...docs.oasis-open.org/xacml/3.0/errata01/os/xacml-3... · xacml-3.0-core-spec-errata01-os-complete 12 July 2017 Standards

eXtensible Access Control Markup Language (XACML) …docs.oasis-open.org/xacml/3.0/xacml-3.0-core-spec-cs-01-en.pdf · xacml-3.0-core-spec-cs-01-en 10 August 2010 , , , , . . . .

Web Services Profile of XACML (WS-XACML) Version 1

XACML-Grid and XACML-NRP Attributes and Policy Profiles · XACML-Grid and XACML-NRP Attributes and Policy Profiles and Policy Obligations Handling Overview by Yuri Demchenko On behalf

TOWARDS AUTOMATIC REPAIR OF XACML POLICIES

eXtensible Access Control Markup Language (XACML) Version ...docs.oasis-open.org/xacml/access_control-xacml-2_0-core-spec-cd-0… · 10/11/2004 · access_control-xacml-2.0-core-spec-cd-04

XACML Gyanasekaran Radhakrishnan. Raviteja Kadiyam.

XACML MAP Authorization Profile Version 1 - OASISdocs.oasis-open.org/xacml/xacml-map-authz/v1.0/csprd01/xacml-ma… · John Tolbert (john.w.tolbert@boeing.com), The Boeing Company

SAML 2.0 profile of XACML - OASISdocs.oasis-open.org/xacml/access_control-xacml-2.0-saml... · 2004. 12. 10. · This profile defines how to use SAML 2.0 to protect, transport, and

REST Profile of XACML v3.0 Version 1.0docs.oasis-open.org/xacml/xacml-rest/v1.0/csprd01/xa… · Web viewTitle REST Profile of XACML v3.0 Version 1.0 Author eXtensible Access Control