ГОСТ ISO/TS 22600-3—2013
Доступ к целевому объекту разрешается, если идентификатор запрашивающей стороны совпадает с одним
из элементовсписка,указанного в полеwho (по имени,роли,группе илиорганизационной единице)и если значения,
переданные в сертификате атрибута запрашивающей стороны, совпадают со всеми ограничениями, указанными в
атрибуте информации контроля доступа целевого объекта. Эти значения должны содержаться в
атрибуте constraints сертификата запрашивающей стороны.
А.9.12 Способы указания политик
Хотя настоящее приложение ине предъявляет требованийкпредставлению политике конечной системе, тем
не менее можно рекомендовать применение языка XACML в качестве стандартного средства описания политик.
Очевидны следующие несколько сценариев.
Два субъекта могут нуждаться в определении, являются ли их политики авторизации совместимыми, что
нередко требуется в среде, использующей веб-сервисы. Если их политики совместимы, то может потребоваться
задание специфичных переменных, описывающих эти попитикииприемлемыхдля обоих субъектов.Для этого мож
но создать объявление XACMLAuthzAssertion, структура которого описана в документе «XACML Profile for Web
Services (WS-XACML)». Такое объявление может быть включено в экземпляр веб-политики или предоставлено в
форме независимых метаданных.
Объявление XACMLAuthzAssertion может также использоваться поставщиком веб-сервисов для публикации
политики авторизации потенциальным клиентам. Публикация политик авторизации приемлема не для всех реали
заций. но публикация некоторых аспектов политики авторизации можетбыть полезнойдаже в том случае, если пуб
ликация всей политики признана нецелесообразной по причинам безопасности.
Управпение политикой безопасности может включать в себя следующие шаги или некоторую их часть:
составление, пересмотр, тестирование, утверждение, публикация, комбинирование, анализ, модификация,
прекращение действия, поиск и применение политики.
Полная политика, применимая к конкретному запросу решения, может состоять из ряда отдельных правил
или политик. Например, в приложении, обеспечивающем конфиденциальность, субъект персональных данных,
получающиймедицинскую помощь, может задатьодни аспекты политики раскрытия егоданных, в то время какорга
низация,обладающая этими данными, может задать некоторыедругиеаспекты. Чтобы принятьрешениеобавтори
зации. должна быть возможность образования одной политики из этих двух, применимых к запросу.
В языке XACML определены три верхнеуровневых элемента политики: <Rule> (правило). <Pollcy> (политика)
и <PolicySet> (комплекс политик). Элемент <Rule> содержитбулевское выражение, которое может быть вычислено
изолированно, но его результат не предназначен для изолированного использования точкой принятия решения о
политике. Это выражение существуетотдельно толькодля точки доступа кполитике, которая может рассматривать
его как базовую единицу управления и повторно использовать в нескольких политиках.
Элемент политики <Policy> содержит совокупность элементов правил <Rule> и заданную процедуру сочета
ния результатов применения этих правил. Он представляет собой базовую единицу политики, используемую точ
кой принятия решения ополитике,и.следовательно,предназначенслужитьосновойдля решения об авторизации.
Элемент комплекса политик <PollcySet> содержит совокупность элементов политик <Ро1юу> или другие ком
плексы политик <PolicySet>. а также заданную процедуру сочетания результатов применения этих политик и ком
плексов политик. Это стандартный способ образования одной комбинированной политики путем сочетания
отдельных политик.
Вязыке XACML определено несколько алгоритмов сочетания политик, которые могут быть указаны в атрибу
тах RuleCombinmgAtgld или PollcyCombmmgAlgld элементов <Policy> или <Pol»cySet> соответственно. Алгоритм
сочетания политикопределяет процедуру вычисления решения об авторизации поотдельным результатам вычис
ления комбинации правил.
Определены следующие стандартные алгоритмы сочетания:
- перекрытие отказом (упорядоченное и неупорядоченное) (deny-overrldes);
- перекрытие разрешением (упорядоченное и неупорядоченное) (permit-overrides);
- выбор первого применимого правила (first-applicable);
- выбор только одного применимого правила (only-one-applicable).
Правило rule может вычисляться на основе его содержания. Основными компонентами правила rule
являются:
- цель (target);
- эффект (effect):
- условие (condition).
Цель target включает в себя совокупность следующих элементов:
- ресурсы (resource).
- субъекты (subjects).
- действия (action).
- среда (environment).
40