ГОСТ ISO/TS 22600-3—2013
Элемент условия <Condition> может накладывать дополнительное условие на применимость политики,
заданную целью target. Если правило rule должно быть применимо ко всем объектам определенного типа данных, то
соответствующийобъектудаляетсяизцепи target. Тонка принятия решенияополитике проверяет.что элементы,
описанные в цели target, соответствуют субъектам subjects, ресурсу resource, действию action и атрибутам среды
environment, содержащимся в контексте запроса context. Определения цели target являются дискретными, чтобы
применяемые правила rule могли быть эффективно идентифицированы точкой принятия решения о политике. Эле
мент цели <Target> может быть не указан а правиле <Rute>. В этом случае цепь правила <Rute> считается той же. что
указана в родительском элементе политики <Policy>.
Возникают следующие вопросы: как точка принятия решения о политике должна интерпретировать имя.
идентифицирующее комплекс субъектов или ресурсов, когда оно появляется в политике или в контексте запроса?
Предназначено ли это имя для идентификации только узладерева объектов или онопредназначенодля идентифи
кации всего поддерева этого узла?
Эффект effect правила rule описывает, какие последствия предполагаетсоставитель правила в случае, когда
результат его вычисления имеет значение вИстина» (True). Эффект может иметь два значения. «Разрешить»
(Permit) и «Отказать» (Deny).
Условие condition представляет собой булевское выражение, которое дополнительно ограничивает приме
нимость правило сверх той проверки, которая проводится по содержанию цели target. Поэтому оно может отсут
ствовать.
А.9.13 Передача политик, представленных на языке XACML
В инфраструктуре управления привилегиями может потребоваться передача политики от одного субъекта к
другому. Далее приведено несколько примеров подобных ситуаций:
- точка принятия решения о политике обрабатывает политику, содержащую ссылку на имя другой политики.
Эта политика при необходимости может быть получена с помощью запроса к точке управления политиками;
- точке принятия решения ополитике можетпонадобиться получение «корневой» политики отточки управле
ния политиками предприятия, чтобы учесть некоторые настройки системы:
- может потребоваться передача ресурса из одной зоны безопасности в другую, и источник ресурса может
вместе с ним передать политику его защиты, которая должна применяться в зоне безопасности получателя;
- в целях повышения производительности распределенной системы, в которой точки принятия решения о
политике размещены локально, может потребоваться применение общего комплекса политик. В этом случае цен
тральной точке управления политиками необходимо передавать из каждой точки принятия решения о политике.
Язык XACML. в основном, предназначен для описания политик, но его конструкции рассчитаны на примене
ние в компонентах всей системы авторизации. Для этого необходимы другие компоненты, предоставляющие сре
дства проверки, что экземпляры политик предоставлены доверенной точкой управления политиками,
защищающие целостность и конфиденциальность экземпляров политик и реализующие протоколы запросов
экземпляров политик и получения ответов на запросы. Для обеспечения выполнения этих функций конструкции на
языке XACML можно интегрировать в сообщения языка разметки объявлений безопасности SAML версии 2.0, раз-
работанные организацией OASIS.Этопозволяетзащищать нетолько атрибуты информации контролядоступа, но и
политики. Интеграция сообщений на языке SAML и конструкций на языке XACML иллюстрируется рисунком А.2.
Как показано на этом рисунке, когда точке применения политиктребуется получить решение об авторизации,
она посылает запрос (1) точке принятия решения ополитике, которая по этомузапросу обрабатываетдоступные ей
политики и атрибуты, принимает решение об авторизации (2) и возвращает его точке применения политик. Эта точ ка
применения политикможет либо получитьнеобходимые атрибуты непосредственно от онлайнового ОА (3). либо
извлечь их из хранилища атрибутов (4). в которое ОА заранее переслали атрибуты (5). Точка принятия решения о
политике также может получить необходимые атрибуты от онлайнового ОА (6) либо извлечь их из хранилища атри
бутов (7).
Решение об авторизации, принятое точкой принятия решения ополитике, основано на информации о полити
ках. полученной от точки управления политиками (8) либо извлеченной из онлайнового хранилища политик(9). Это
хранилище служит кэшем политик, ранее сохраненных точкой управления политиками (10).
Запрос XACMLPolicyOuery сформирован на языке SAML. определен в этом профиле и может использоваться
для запроса политик у точки управления политиками, осуществляемого по имени политики или по применимости
политики к определенному запросу авторизации. Требуемая информация в формате XACMLPollcyStatement воз
вращается в ответе на языке SAML. Эта информация может быть заверена электронной подписью и может быть
привязана к издателю информации, срокуее действия идругим атрибутам.
Можно определить несколько политик. Они могут применяться отдельно друг от друга или совместно.
41