Кто использует XACML?

Ответ 1

Я являюсь членом команды IBM, которая строит решение для управления политиками безопасности, включая XACML для политики авторизации; и я был лидером команды для самого компонента времени выполнения XACML. Продукт называется Tivoli Security Policy Manager и определенно находится в активной разработке.

WebLogic был построен BEA, прежде чем они были приобретены Oracle. Я не уверен, что Oracle по-прежнему продает его или нет.

Аксиоматика также имеет решение XACML, как и Иерихонские системы.

Ответ 2

Об этом уже был получен список XACML TC: http://markmail.org/message/w7msffsbi6qzgfoj

XACML используется сегодня в самых разных отраслях. Пытаясь суммировать сказанное

Сегодня существует 2 типа реализаций:

• реализация с открытым исходным кодом Они либо поддерживаются коммерческими организациями, фондами или университетами. К ним относятся:

  • (Sun-backed) SunXACML (http://sunxacml.sourceforge.net/) - очень мертв сам по себе, но используется в других продуктах, таких как WS02 (см. ниже).
  • (Thales & OW2-backed) AuthZForce (http://authzforce.ow2.org) с API-интерфейсом многопользовательского REST и реализованным несколькими профилями OASIS.
  • (R & D-backed) SICSACML (http://www.sics.se/node/2465) при поддержке SICS, Шведского института компьютерных наук, и теперь вверх по Axiomatics (www.axiomatics.com)
  • (поддерживаемый университетом) Heras AF (http://www.herasaf.org/heras-af-xacml.html): Orange использует свой продукт. Orange является одним из ведущих телекоммуникационных провайдеров в Европе.
  • WS02 - компания, которая родилась из проекта Apache Synapse и успешно расширена в различные области, включая XACML, используя начальную реализацию SunXACML (http://wso2.org/library/identity-server/user-management/xacml). Я не уверен, что у них есть клиенты, использующие XACML сегодня.
• Предприятие XACML (http://code.google.com/p/enterprise-java-xacml/), но не обновляется почти через год

• Брэд Кокс также аккуратный подход к реализации XACML, как описано в его блоге и документе на http://bradjcox.blogspot.com/

  2. Коммерческие продукты

     • Oracle OES обеспечивает реализацию XACML 2.0 на основе SunXACML. Трудно узнать, используют ли клиенты OES функции XACML.
     • Диспетчер политик безопасности IBM Tivoli
     • Сервер Axiomatics Policy Server взял SICSACML и продал его в 2006 году - их продукт полностью реализует XACML 3.0. Их клиенты включают "один из крупнейших в мире банков", Paypal, Bell Helicopter, шведскую национальную службу здравоохранения, SOS Alarm и DATEV eG, перечисленные на сайте www.axiomatics.com/customers.html.

Существуют другие производители, такие как Jericho Systems и Nextlabs, которые предлагают XACML. Также Securent (позже купленный CISCO) имел предложение XACML.

Наконец, я рекомендую вам посетить XACML TC (http://www.oasis-open.org/committees/xacml/), где вы можете увидеть его вкладчиков. К ним относятся Oracle, Axiomatics, Boeing, Администрация ветеранов, EMC, которые являются постоянными участниками.

Ответ 3

WSO2 Identity Server (http://wso2.org/) - это механизм с открытым исходным кодом, основанный на sunxacml. WSO2 Identity Server содержит хороший редактор политик интерфейса XACML, который можно легко использовать для создания сложных политик XACML. Существует слой PIP для подключения к нему любого модуля поиска атрибутов. Таким образом, вы можете найти свой атрибут из любой базы данных, магазина пользователей LDAP, веб-служб и многих других... Также есть кеширование решений, кэширование политик и кэширование атрибутов уровня PIP для повышения производительности. Вы можете отсылать исходный код реализации здесь [1]

[1] https://svn.wso2.org/repos/wso2/branches/carbon/3.2.0/components/identity/org.wso2.carbon.identity.entitlement/

Ответ 4

XACML-реализации (Sun, XEngine и EnterpriseXACML) в настоящее время являются интерпретаторами, что затрудняет отладку решения, поскольку отладчики показывают внутренний код интерпретатора, а не сама политика.

Я написал компилятор для DOD/DISA, который напрямую преобразует XACML в Java-код. Цель заключалась в том, чтобы упростить понимание политик, а не скорость, но приятно, что скомпилированные политики занимают примерно десятую часть пространства и времени в качестве интерпретатора Sun.

Теперь компилятор проверен, используя те же тесты соответствия Oasis, которые использует интерпретатор Sun. Из ~ 400 тестов он проходит все, кроме 8. Текущие проблемные области - это случаи, когда стандарт не ясен; Тематические категории и PolicySet IdReferences для обозначения двух.

Я провожу его в качестве сервиса SAML-P в эти выходные. Планы релизов еще не окончательны, но мы, скорее всего, выпустим его как open source на forge.mil, как только версия SOA стабилизируется.

Примечание добавлено: есть ссылка на бумагу AFCEA об этом на http://bradjcox.blogspot.com/2011/03/compiling-xacml-to-java-source.html

Ответ 5

DATEV (немецкий поставщик ИТ-услуг w 5800 сотрудников) объявил в 2010 году, что они будут использовать XACML. Шведская софтверная компания Axiomatics разработает версию решения для управления идентификационными данными Datev.

Ответ 6

BiTKOO (http://bitkoo.com) имеет XACML 3.0, интегрированный в семейство продуктов управления авторизацией Keystone. Я архитектор основных технологий BiTKOO XACML (PDP, PAP, PEP).

В настоящее время различные организации используют XACML-решения для управления авторизацией. Большинство из них - крупные организации - государственные учреждения (иностранные, отечественные, военные и государственные), университеты, медиа-компании, промышленные компании и т.д.

Ответ 7

Я знаю, что эти вопросы были опубликованы несколько лет назад, но теперь это может быть актуально для людей, ищущих реализации XACML с открытым исходным кодом.

Проект AuthZForce обеспечивает реализацию XACML 3.0 с открытым исходным кодом с использованием API REST с несколькими арендаторами и API на основе Java. Он также предоставляет XACML SDK.

AuthZForce доступен в github, в репозитории OW2 и контейнере докеров, а также в пакете debian

• http://github.com/authzforce
• https://tuleap.ow2.org/projects/AuthzForce/

Я являюсь одним из основных разработчиков проекта, поэтому не стесняйтесь обращаться ко мне, если у вас есть какие-либо вопросы.

Ответ 8

Это может быть не полезно, поскольку это не продукт COTS, но он может представлять интерес для вас или для других.

Существует реализация XACML с открытым исходным кодом в http://code.google.com/p/enterprise-java-xacml/, который я использовал недавно. Он охватывает всю спецификацию и имеет довольно приличную оценку политики, учитывая, что она не оптимизирована.

Ответ 9

Вы можете посмотреть http://www.herasaf.org/. Это высокоразвитый проект с открытым исходным кодом (хотя я не знаю, с какой лицензией они находятся). Я выгляжу очень многообещающим, но по-прежнему много работы.

Ответ 10

Если вы ищете альтернативу Sun XACML, вам действительно нужно взглянуть на HERAS-AF (www.herasaf.org). Это очень активный проект, и их поддержка очень хорошая и быстрая реакция (например, forum.herasaf.org). Код в хорошем качестве, и он обеспечивает очень много точек расширения. API ясен и очень прост в использовании. Посмотрите руководство по началу работы. Он разработан и опубликован под лицензией Apache2.

Ответ 11

OpenAM, управление доступом с открытым исходным кодом и веб-решение Single Sign On, ранее известное как OpenSSO, предоставляет PDP и поддерживает XACML 3.0 для импорта и экспорта политик. Дополнительная информация на сайте openam.forgerock.org.

Ответ 12

PicketBoxXACML, ранее JBossXacml также завершает реализацию SunXacml и предоставляет обновленный PDP. Там нет много документации, но с открытым исходным кодом.

Ответ 13

Привет, вы также можете взглянуть на Решения идентификации ViewDS (см. http://www.viewds.com). ViewDS имеет два решения XACML. Access Sentinel, который предоставляет внешние услуги авторизации с PDP/PIP и двумя PAP (DortNet и Java) и множеством PIPS. Их продукт также поддерживает Делегирование, управление ролями и обязательства. Решения ViewDS Identity Solutions также имеют LDAP-каталог с собственным интегрированным механизмом поиска и сопоставления и XACML поддерживает каталог. То есть они используют XACML для предоставления системы авторизации на основе политик для доступа к информации Справочника через Интернет.

Ответ 14

Здесь интересная дискуссия в блоге Forrester http://blogs.forrester.com/andras_cser/13-05-07-xacml_is_dead, которая фактически обновляет состояние XACML по состоянию на 2013 год. Обязательно прочитайте комментарии как хорошо.