security - ¿Quién usa XACML?

Aquí hay una interesante discusión en el blog de Forrester http://blogs.forrester.com/andras_cser/13-05-07-xacml_is_dead que realmente actualiza el estado de XACML a partir de 2013. Asegúrese de leer los comentarios también.

BiTKOO (http://bitkoo.com) tiene XACML 3.0 integrado en su familia de productos de administración de autorizaciones Keystone. Soy el arquitecto de las tecnologías centrales XACML de BiTKOO (PDP, PAP, PEP).

Una amplia variedad de organizaciones están utilizando soluciones basadas en XACML para la gestión de autorizaciones. La mayoría son organizaciones grandes: agencias gubernamentales (extranjeras, nacionales, militares y estatales), universidades, empresas de medios de comunicación, empresas industriales, etc.

Esto puede no ser útil ya que no es un producto COTS, pero puede ser de interés para usted o para otros.

Hay una implementación de código abierto de XACML en http://code.google.com/p/enterprise-java-xacml/ que he usado recientemente. Cubre la especificación completa y tiene un rendimiento de evaluación de políticas bastante decente, considerando que no está optimizado.

Esto ya se ha respondido en la lista de XACML TC: http://markmail.org/message/w7msffsbi6qzgfoj

XACML se utiliza en una amplia variedad de industrias en la actualidad. Tratando de resumir lo que se ha dicho.

Hay 2 tipos de implementaciones hoy:

• Implementaciones de código abierto Están respaldadas por organizaciones comerciales, fundaciones o universidades. Éstos incluyen:

  • (Respaldado por Sun) SunXACML ( http://sunxacml.sourceforge.net/ ): está bastante muerto por sí solo pero se usa en otros productos como la oferta de WS02 (ver más abajo)
  • (Con respaldo de Thales y OW2) AuthZForce ( http://authzforce.ow2.org ) con una API REST multiusuario y un perfil OASIS múltiple implementado.
  • (Con I + D respaldado) SICSACML ( http://www.sics.se/node/2465 ) respaldado por SICS, el Instituto Sueco de Ciencias de la Computación, y ahora ocupado por Axiomatics (www.axiomatics.com)
  • (Con respaldo de la universidad) Heras AF ( http://www.herasaf.org/heras-af-xacml.html ): Orange está usando su producto. Orange es uno de los proveedores de telecomunicaciones líderes en Europa.
  • WS02 es una empresa que nació del proyecto Apache Synapse y se expandió a diferentes áreas con éxito, incluyendo XACML utilizando la implementación inicial de SunXACML ( http://wso2.org/library/identity-server/user-management/xacml ). No estoy seguro de que tengan clientes utilizando XACML hoy.
• Enterprise XACML ( http://code.google.com/p/enterprise-java-xacml/ ) pero no se actualiza en casi un año

• Brad Cox también tiene un enfoque ordenado para implementar XACML como se describe en su blog y artículo en http://bradjcox.blogspot.com/

  2. Productos comerciales

     • Oracle OES proporciona una implementación de XACML 2.0 basada en SunXACML. Es difícil saber si los clientes de OES están utilizando las características de XACML.
     • IBM Tivoli Security Policy Manager
     • Axiomatics Policy Server tomó SICSACML y lo comercializó en 2006, su producto implementa completamente XACML 3.0. Entre sus clientes se incluyen "uno de los bancos más grandes del mundo", Paypal, Bell Helicopter, Swedish National Healthcare, SOS Alarm y DATEV eG como se indica en www.axiomatics.com/customers.html

Hay otros proveedores como Jericho Systems y Nextlabs que ofrecen XACML. También Securent (más tarde comprado por CISCO) tuvo una oferta de XACML.

Por último, te recomiendo que visites el XACML TC ( http://www.oasis-open.org/committees/xacml/ ) donde puedes ver sus miembros contribuyentes. Entre ellos se incluyen Oracle, Axiomatics, Boeing, Veterans Administration, EMC, que son colaboradores habituales.

Hola, es posible que también desee ver las soluciones de identidad de ViewDS (consulte http://www.viewds.com ). ViewDS tiene dos soluciones XACML. Acceda a Sentinel, que proporciona servicios de autorización externalizados con un PDP / PIP y dos PAP (DortNet y Java) y una variedad de PIPS. Su producto también soporta Delegación, Gestión de roles y obligaciones. Las Soluciones de Identidad de ViewDS también tienen un Directorio LDAP con su propio motor integrado de búsqueda y coincidencia y tienen el XACML habilitado para el Directorio. Es decir, utilizan XACML para proporcionar el sistema de autorización basado en políticas para acceder a la información del directorio a través de la web.

Las implementaciones de XACML (Sun, XEngine y EnterpriseXACML) son actualmente intérpretes, lo que dificulta la depuración de cómo se tomó una decisión, ya que los depuradores muestran el código interno del intérprete, no la política en sí.

He escrito un compilador para DOD / DISA que transforma XACML directamente en código Java. El objetivo era hacer que las políticas sean más fáciles de entender, no la velocidad, pero es gratificante que las políticas compiladas se ejecuten en una décima parte del espacio y el tiempo como intérprete de Sun.

El compilador ahora se ha verificado utilizando las mismas pruebas de cumplimiento de Oasis que utiliza el intérprete de Sun. De ~ 400 pruebas, pasa todas menos 8. Las áreas con problemas actuales son casos en los que el estándar no está claro; Categorías de asunto y PolicySet IdReferences para nombrar dos.

Lo estoy conectando como un servicio SAML-P este fin de semana. Los planes de lanzamiento aún no son definitivos, pero probablemente lo lanzaremos como código abierto en forge.mil tan pronto como la versión SOA se estabilice.

Nota agregada: hay un enlace a un documento de AFCEA al respecto en http://bradjcox.blogspot.com/2011/03/compiling-xacml-to-java-source.html

OpenAM, una solución de acceso de fuente abierta y web de inicio de sesión único, anteriormente conocida como OpenSSO, ofrece un PDP y es compatible con XACML 3.0 para importar y exportar políticas. Más información en openam.forgerock.org.

Puedes echar un vistazo a http://www.herasaf.org/ . Es un proyecto de código abierto altamente desarrollado (aunque no sé de qué licencia están bajo), me parece muy prometedor, pero todavía hay mucho trabajo por hacer.

Si está buscando una alternativa a Sun XACML, debería echar un vistazo a HERAS-AF ( http://www.herasaf.org/ ). Es un proyecto muy activo y su apoyo es muy bueno y de rápida respuesta (por ejemplo, forum.herasaf.org). El código es de buena calidad y proporciona muchos puntos de extensión. La API es clara y muy fácil de usar. Echa un vistazo a la guía de inicio . Está desarrollado y publicado bajo licencia Apache2.

Soy consciente de que esta pregunta se publicó hace unos años, pero puede ser relevante en este momento para las personas que buscan implementaciones XACML de código abierto.

El proyecto AuthZForce proporciona una implementación XACML 3.0 de código abierto con una API REST multiusuario junto con una API basada en Java. También proporciona un SDK de XACML.

AuthZForce está disponible en github, en el repositorio OW2 y hay disponible un contenedor docker y un paquete Debian

• http://github.com/authzforce
• https://tuleap.ow2.org/projects/AuthzForce/

Soy uno de los principales desarrolladores del proyecto, así que no dude en contactarme si tiene alguna pregunta.

Soy miembro del equipo de IBM que crea una solución de administración de políticas de seguridad, que incluye XACML para la política de autorización; y solía ser el líder del equipo para el propio componente de tiempo de ejecución XACML. El producto se llama Tivoli Security Policy Manager y definitivamente se encuentra en desarrollo activo.

WebLogic solía ser construido por BEA, antes de que fuera adquirido por Oracle. No estoy seguro de si Oracle todavía lo vende o no.

Axiomatics también tiene una solución XACML, al igual que Jericho Systems.

WSO2 Identity Server (http://wso2.org/) es un motor de asignación de derechos de código abierto que se basa en el sunxacml. WSO2 Identity Server contiene un agradable editor de políticas de XACML UI que puede usarse fácilmente para crear políticas complejas de XACML. Hay una capa PIP para conectar cualquier módulo del buscador de atributos. Por lo tanto, puede encontrar su atributo en cualquier base de datos, almacén de usuarios de LDAP, servicios web y muchos más ... También hay caché de decisiones, caché de políticas y caché de atributos de nivel PIP para mejorar el rendimiento. Puede consultar el código fuente de la implementación desde aquí [1]

[1] https://svn.wso2.org/repos/wso2/branches/carbon/3.2.0/components/identity/org.wso2.carbon.identity.entitlement/

DATEV (un proveedor alemán de servicios de TI con 5800 empleados) announced en 2010 que utilizará XACML. La compañía sueca de software Axiomatics desarrollará una versión Datev de su solución de gestión de identidad.

PicketBoxXACML , anteriormente JBossXacml también envuelve la implementación de SunXacml y proporciona un PDP actualizado. No hay mucha documentación, pero es de código abierto.