Definitivamente iré por una autorización externa. No significa que será más lento. Significa que tiene un control de acceso claramente separado de la lógica comercial.
Descripción general XACML es un buen camino a seguir. El TC es muy activo y las empresas como Boeing, EMC, la Administración de Veteranos, Oracle y Axiomatics son todos miembros activos.
La arquitectura XACML garantiza que puede obtener el rendimiento que desea. Dado que la aplicación (PEP) y el motor de decisión (PDP) están ligeramente acoplados, puede elegir cómo se comunican, qué protocolo utilizan, si se utilizan múltiples decisiones, etc. Esto significa que usted tiene la opción de elegir la integración que se adapta a sus necesidades de rendimiento.
También hay una interfaz PDP estándar definida en el perfil SAML para XACML. Eso garantiza un control de acceso "a prueba de futuro" en el que no está bloqueado en ninguna solución de proveedor en particular.
Control de acceso para aplicaciones web Usted puede caer simplemente en un PEP para aplicaciones web .NET utilizando HTTP Filtros de ISAPI y ASP.NET. Axiomatics tiene uno disponible para eso.
implementaciones actuales Si marca la página de clientes Axiomática, verá que tienen Paypal, Bell Helicopter, y mucho más. Por lo tanto, XACML es una realidad y puede abordar despliegues muy grandes (cientos de millones de usuarios).
Además, Datev eG, un proveedor líder de servicios financieros está utilizando la implementación .Net PDP de Axiomatics para sus servicios/aplicaciones. Como el .Net PDP está integrado en ese caso, el rendimiento es óptimo.
De lo contrario, siempre puede elegir entre los PEP disponibles para .Net que se integran con cualquier PDP, por ejemplo, un servicio de autorización XACML basado en SOAP.
Los altos niveles de rendimiento con XACML julio pasado en la conferencia Gartner "catalizador", Axiomática anunció el lanzamiento de su último producto, el Axiomática consulta inversa, que le ayuda a hacer frente a la 'mil millones desafío registro'. Se dirige al control de acceso para las fuentes de datos, así como RIA. Utiliza una solución XACML pura para que siga siendo interoperable con otras soluciones.
Como cuestión de hecho, Kuppinger Cole será el anfitrión de un seminario sobre el tema muy pronto: http://www.kuppingercole.com/events/n10058
leer el comunicado de prensa Axiomática ARQ también aquí: http://www.axiomatics.com/latest-news/216-axiomatics-releases-new-reverse-query-authorization-product-a-breakthrough-innovation-for-authorization-services.html
¿Pueden los permisos de acceso expresarse como políticas (una regla general que cubre muchas situaciones) o las decisiones de compartir entre usuarios son básicamente arbitrarias? – kgilpin
@kgilpin: los permisos de acceso pueden ser tanto generales como específicos. General como en "solo el grupo A puede leer facturas" y específico como en "el usuario X tiene acceso de lectura a la cuenta Alpha". – kaptan
Creo que actualmente hay cierta confusión sobre qué es realmente el control de acceso basado en roles (RBAC). En su visión formal, RBAC es muy capaz de hacer lo que usted desea. Usted ha descrito dos roles: "lectores de facturas" y "lectores de cuenta Alpha". Abajo hay dos respuestas que provienen de proveedores de control de acceso basado en atributos, pero las reglas que describes anteriormente no me parecen basadas en atributos. Existe la percepción de que "RBAC no puede hacer esto", porque las personas confunden la formalidad de RBAC con algunas implementaciones bastante débiles de RBAC. – kgilpin