このトピックでは、XACML 文書の作成方法について説明します。
サンプルで使用される XACML 文書は、IBM® Tivoli® Security Policy Manager ポリシー・エディターで作成されますが、このような文書を任意のテキスト・エディターや XML エディターを使用して作成することができます。
既存の XACML ポリシーを構成または変更するには、OASIS 仕様 (
https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml) を参照してください。
サンプルで使用される XACML セキュリティー・ポリシーは、
storeSWPXACML.xml および
storePrivateDataXACML.xml に収められています。
これらのポリシーを使用して、「ポリシー決定ポイント (PDP) (policy decision point (PDP))」に着信した要求を評価することができます。
要求は、次の 4 つの主要なエレメントで構成されます。
- 「サブジェクト (Subjects)」セクション - 要求呼び出し元の識別名の詳細と、呼び出し元の属しているグループが含まれます。
- 「リソース (resource)」セクション - 呼び出し元がアクセス権限を取得する文書が含まれます。
このサンプルでは、2 つのタイプのリソースが使用されます。1 つ目のタイプは Web サービスにおける操作であり、2 つ目のタイプは応答のデータ (この場合は priceInfo リソース) に対する許可です。
- 「環境 (Environment)」セクション - 要求の環境に関する情報が含まれます。
- 「アクション (action)」- 許可された素材でユーザーが何を行うか。
編集シナリオでは、アクションは単純に priceInfo データを表示することです。