OASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication



Documents pareils
DESCRIPTION DU COMPOSANT

Plan. Exemple: Application bancaire. Introduction. OCL Object Constraint Language Le langage de contraintes d'uml

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

UNIVERSITÉ DU QUÉBEC EN OUTAOUAIS VÉRIFICATION ET ANALYSE DES POLITIQUES DE CONTRÔLE D ACCÈS : APPLICATION AU LANGAGE XACML

Chapitre 1 : Introduction aux bases de données

PLAN DE CLASSIFICATION UNIFORME DES DOCUMENTS DU MSSS

Diagramme de classes

Bases de Données. Plan

Learning Object Metadata

Préparer la synchronisation d'annuaires

RECUEIL POLITIQUE DES

Responsable du cours : Héla Hachicha. Année Universitaire :

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

Le modèle de sécurité windows

Sage CRM. 7.2 Guide de Portail Client

Politique sur l accès aux documents et sur la protection des renseignements personnels

STATUT DU TRIBUNAL INTERNATIONAL DU DROIT DE LA MER. Article premier Dispositions générales SECTION 1. ORGANISATION DU TRIBUNAL. Article 2 Composition

Langage HTML (2 partie) <HyperText Markup Language> <tv>lt La Salle Avignon BTS IRIS</tv>

Le rôle Serveur NPS et Protection d accès réseau

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

Licences Windows Server 2012 R2 dans le cadre de la virtualisation

Module 6 : Gestion de données à l'aide du système de fichiers NTFS

Contrôle d accès basé sur les rôles et négociation dans un environnement multi cercles de confiance

Didacticiel de mise à jour Web

NOTE D'APPLICATION CONCERNANT LA MISE EN SERVICE DE MATERIELS SUR RESEAU IP

plate-forme PaaS (Autorisation)

Gestion des Identités et des Autorisations: Modèle générique

Université du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r.

PRODIGE V3. Manuel utilisateurs. Consultation des métadonnées

WebDAV en 2 minutes. Tous ces objectifs sont complémentaires et ils sont atteints grâce au seul protocole WebDAV. Scénarii

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Formation à l'administration de votre site E-commerce Page 1 sur 15

Savoirs associés DROIT

Contrôle interne et organisation comptable de l'entreprise

R E G L E M E N T I N T E R I E U R

Service d'installation et de démarrage de la solution de stockage réseau HP StoreEasy 1000/3000

Politique de gestion documentaire

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

DES GOUVERNEMENTS DES ETATS MEMBRES Secrétariat CONF 3980/96

Systèmes de transport public guidés urbains de personnes

Cours admin 200x serveur : DNS et Netbios

Les Stratégies de Groupes

CONTRÔLES D'ACCÈS PHYSIQUE AUTOMATISÉS

Cours (7) de statistiques à distance, élaboré par Zarrouk Fayçal, ISSEP Ksar-Said, LES STATISTIQUES INFERENTIELLES

Analyse tarifaire en ligne (TAO) de l'omc

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

1. LA GESTION DES BASES DE DONNEES RELATIONNELLES

Gestion des Clés Publiques (PKI)

Sécurisation des architectures traditionnelles et des SOA

SOUTIEN INFORMATIQUE DEP 5229

Spécifications de l'offre Surveillance d'infrastructure à distance

Programmation Objet - Cours II

LES TECHNOLOGIES DU WEB APPLIQUÉES AUX DONNÉES STRUCTURÉES

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Bourse de Casablanca. Arrêtés relatifs aux titres de créance n é g o c i a b l e s

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Auguria_PCM Product & Combination Manager

Cours 20411D Examen

SAML et services hors web

Stratégie de groupe dans Active Directory

Chapitre 2. Classes et objets

MEDIAplus elearning. version 6.6

Architecture de sécurité dynamique et souple

InfraCenter Introduction

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

N de convention Audencia/MAE à rappeler pour toute candidature : 97/08

Introduction aux services Active Directory

basée sur le cours de Bertrand Legal, maître de conférences à l ENSEIRB Olivier Augereau Formation UML

Chapitre 07 Le modèle relationnel des données

Politique d exécution des ordres

contact@nqicorp.com - Web :

Contenu attendu des guides nationaux de bonnes pratiques d hygiène GBPH

Guide d'intégration à ConnectWise

Juillet 2013 Recommandations de l ASB et de la COPMA relatives à la gestion du patrimoine conformément au droit de la protection des mineurs et des

Exemples et tutoriels Version 7.5. Tutoriel de l'exemple Recrutement de personnel pour IBM Process Designer

Chapitre 10. Architectures des systèmes de gestion de bases de données

TEXT MINING von 7

Sécurité. Objectifs Gestion de PKI Signature Cryptage Web Service Security

Utiliser Access ou Excel pour gérer vos données

Installation et configuration de Vulture Lundi 2 février 2009

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

2 Grad Info Soir Langage C++ Juin Projet BANQUE

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

Évaluation de la conformité Certification des produits OEM (mise à jour : octobre 2010)

Open data : les données libérées doivent-elles être gratuites?

Documentation de produit SAP Cloud for Customer (novembre 2013) Nouveautés de SAP Cloud for Customer pour les administrateurs

PROSOP : un système de gestion de bases de données prosopographiques

INTRODUCTION : Données structurées et accès simplifié

Les bases de données Page 1 / 8

A. À propos des annuaires

Modèle conceptuel : diagramme entité-association

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

Le Conseil des Ministres

Pourquoi l apprentissage?

À l'intention des parents

Transcription:

Statut du Committee Working Draft document Titre XACML Language Proposal, version 0.8 (XACML : XML Access Control Markup Language) Langage de balisage du contrôle d'accès Mot clé Attestation et sécurité Source OASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication 10 janvier 2002 Nombre de pages 37 Langue Anglais Lien avec autres normes Fonctionnement en tandem prévu des s de contrôle d'accès en XACML avec les énoncés et messages en SAML Situation actuelle Description XACML est un langage pour les s de contrôle d'accès : on veut permettre l'application de contraintes multiples. Trois modèles servent à comprendre le fonctionnement de XACML : la circulation des données, le langage de, l'administration. Modèle 1 : Circulation des données selon les étapes générales suivantes : 1- Un ou des Points d'administration alimentent un Centre de rassemblement de qui doit s'assurer de rassembler toutes les règles faisant partie de la applicable; en cas de conflit de, il demande l'intervention d'un Centre de médiation de pour obtenir comme résultat une applicable cohérente. 2- Le Seuil d'application de envoie une demande de décision au Centre de décision de sous forme d'une requête d'autorisation SAML. Cette requête de décision comprend un, quelques-uns ou tous les attributs requis par le Centre de décision pour prendre une décision, en conformité avec la. 3- Le Centre de décision formule une demande d'instance de applicable au Centre de rassemblement de. La formulation dépend de la classification de la ressource et de l'action concernée. 4- Le Centre de rassemblement de répond au Centre de décision avec la applicable complète sous forme d'une instance XACML. 5- Le Centre de décision de examine la demande de décision qu'il avait envoyée ainsi que la applicable obtenue pour vérifier qu'il y a toutes les valeurs d'attribut requises pour que soit rendue une décision d'autorisation. Si ce n'est pas le cas, il envoie des demandes d'attributs SAML à des Sources d'information de pertinentes. 6- La Source d'information (possiblement une Autorité d'attribut SAML) peut éventuellement s'adresser à des sources externes aux rôles prévus par XACML, et il doit retourner au Centre de décision des réponses contenant des énoncés SAML d'attribut. 7- Le Centre de décision évalue l'instance de et effectue les postconditions internes s'il s'en trouve dans cette. 8- Si la est évaluée comme VRAI, une fois que les post-conditions internes ont été exécutées, le Centre de décision retourne une décision d'autorisation sous forme de réponse SAML d'autorisation au Seuil d'application; cette réponse contient la décision «permettre» pour un attribut et toute post-condition externe. Modèle 2 : Langage de qui comprend six parties : 1- Attributs de titre et de rôle : une demande d'attribut se fait à propos d'un seul

titre. Les instances de XACML peuvent référer aux attributs d'un titre particulier ou à un rôle assigné à ce titre. Ce sont les énoncés SAML d'attribut qui servent au Centre de décision de pour confirmer qu'un titre occupe un rôle spécifié dans la. Des attributs peuvent être associés soit à des titres soit à des rôles par diverses Autorités d'attribut. La vérification des sources d'autorité relève de la responsabilité du Centre de décision. 2- Attributs de ressource et de classification : une demande d'autorisation a trait à une seule ressource. Les instances de XACML peuvent référer aux attributs d'une ressource particulière ou à une classification de la ressource. C'est le Centre de décision qui est responsable de vérifier que la ressource occupe la classification exigée et de résoudre les références d'attribut de la XACML, ainsi que les sources d'énoncés d'attribut. Si la ressource est un document XML, la classification de la ressource peut être un attribut ou un élément de la ressource elle-même. Dans d'autres cas, ce peut être des énoncés SAML provenant d'autorités d'attributs. 3- Attributs d'environnement : les instances de XACML peuvent référer à des attributs qui ne sont pas directement associés avec un titre ni avec une ressource. On les appelle des attributs d'environnement, par exemple la date et l'heure. Les attributs d'environnement sont distribués comme des énoncés SAML provenant d'autorités appropriées (responsabilité de vérification par le Centre de décision). 4- Classification, action, ressource et cible : les instances de sont associées à des paires classification-action. Le Centre de décision s'en sert pour vérifier que l'action identifiée dans la demande d'autorisation est bien celle qui se trouve dans l'instance de, et que la ressource identifiée appartient bel et bien à la classification identifiée dans l'instance de. L'algorithme pour apparier un nom de ressource à un nom de classification est identifié par un URI. 5- Politique, règle, pré-condition, prédicat : les instances de XACML sont bâties par la combinaison de règles. Chaque règle comporte une précondition et une ou plusieurs post-conditions. Une pré-condition est un opérateur logique ou un prédicat. Un prédicat est un énoncé à propos d'attributs qui peuvent être vérifiés pat le Centre de décision de. Si l'instance de applicable à une demande d'autorisation évalue à VRAI, et si toutes les post-conditions internes ont été satisfaites, alors le Centre de décision peut retourner une décision d'autorisation d'attribut avec la valeur «permettre» au Seuil d'application de. 6- Post-condition : les post-conditions sont les actions spécifiées dans l'instance de XACML. Les post-conditions sont de deux types, les internes qui doivent être satisfaites avant l'émission d'une décision d'autorisation avec la valeur «permettre», et les externes que le Centre de décision transmet au Seuil d'application de. 7- Identification d'attribut : Le nom de l'autorité source et le nom du type de l'attribut forment ensemble l'identification de l'attribut. Le Centre de décision doit vérifier que la demande identifie une autorité reconnue dans une liste de référence. Modèle 3 : Administration Il est essentiel que les instances de XACML ne contiennent de référence qu'à des attributs et des post-conditions qui sont accessibles au Centre de décision et au Seuil d'application. Ceci oblige à ce que chaque autorité d'attribut SAML fournisse une interface grâce à laquelle les Points d'administration de peuvent découvrir les types d'attribut qui y sont accessibles.

Syntaxe de - Politique applicable : élément de niveau supérieur, il contient un élément cible qui indique les ressources auxquelles une s'applique) et un élément qui contient la elle-même. - Type de cible : élément qui contient une description des cibles sous forme d'éléments de «classification de ressource» et de «SAML:Actions». Le Centre de décision doit se baser sur la cible pour sélectionner la bonne instance de et traiter une demande SAML d'autorisation : ce qui est demandé doit être inclus dans ce qui est permis. - Type de : élément qui regroupe des règles et les interrelie par des opérations logiques, et les accompagne facultativement de post-conditions. - Signature : élément conforme à XML Dsig. - Type de règle : élément dérivé de type de règle abstrait en restreignant le nombre d'éléments à seulement un des choix, de manière que les prédicats soient reliés par des opérateurs logiques et non simplement listés : type ET, type OU, type PAS. - Type de règle abstrait : élément qui contient soit un opérateur logique soit un prédicat. - Prédicat : comparaison avec égal, plus grand ou égal, plus petit ou égal, sousensemble de, sur-ensemble de, forme appariée, ensemble non nul d'intersection; outre une comparaison, le prédicat peut référer à une fonction externe (une définition WSDL). Quelques autres définitions complètent cette syntaxe. Il est prévu de décrire des profils de XACML pour des classes générales de problèmes, de décrire le sous-ensemble de SAML pertinent, un profil de XML Dsig, et un schéma LDAP pour les cas où LDAP sera utilisé pour distribuer XACML. Remarque Le texte contient encore beaucoup de questions ouvertes, de nombreuses précisions restent à apporter. Lexique anglais-français Access control Contrôle d'accès Exercice du contrôle d'accès en accord avec une applicable Access Accès Pouvoir exercer une action sur une ressource Note : accès ne se limite pas ici au franchissement d'un seuil, il porte aussi sur les actions possibles effectuées sur les ressources accédées Applicable policy Politique applicable L'ensemble complet des règles qui déterminent l'accès à une ressource spécifique. Action Action Opération qui peut être effectuée sur la ressource Attribute Attribut Caractéristique d'un titre, d'une ressource ou d'un environnement qui peut être référencée par une précondition Dans le vocabulaire XACML, le terme attribut est utilisé à la place de termes jugés équivalents comme

Attribute specifiers Authorization decision Déterminants d'attribut Décision d'autorisation privilège, permission, droit, autorisation, et habilitation. Nom d'autorité source et nom du type de l'attribut forment l'ensemble constituant l'identification de l'attribut. Le résultat de l'application de la applicable. Il s'agit d'une fonction de portée booléenne et, facultativement, un ensemble de post-conditions Classification Classification Un ensemble d'attributs pertinents à une ressource Context Contexte L'usage voulu d'une information tel que révélé comme un résultat de l'accès Decision request Demande de décision La demande adressée par un seuil d'application de à un centre de décision de Environment Environnement L'ensemble des attributs qui peuvent être référencés par des pré-conditions et qui sont indépendantes d'un titre et d'une ressource en particulier Information request Demande d'information Pattern match Forme appariée Résultat de comparaison La demande adressée par un centre de décision à une source d'information de pour un ou plusieurs attributs d'environnement Permit Permettre Valeur de décision pour un attribut dans une réponse d'autorisation administration point (PAP) Point d'administration de Entité de système qui crée la applicable. «point» respecte l'idée de dispersion des sources conflict Conflit de L'état qui existe quand deux ou plusieurs pré-conditions faisant partie de la applicable, conduisent chacune à des résultats interférant l'un avec l'autre decision point (PDP) enforcement point (PEP) information point (PIP) mediation point (PMP) Centre de décision de Seuil d'application de Source d'information de Centre de médiation Entité de système qui évalue la applicable. «centre» traduit l'aspect sommatif, portant sur l'information complète de la décision Entité de système qui effectue le contrôle d'accès, en permettant ou non les opérations selon la applicable. «seuil» traduit l'idée que le franchissement peut être permis ou empêché Entité de système qui agit comme lieu d'obtention d'information sur les attributs d'environnement. «source» caractérise le rôle de bibliothèque de référence de cette entité Entité de système qui résout les conflits de. «centre» traduit le caractère nécessairement intégrateur d'un arbitrage entre énoncés contradictoires

retrieval point (PRP) Centre de rassemblement de Entité de système qui garantit que la applicable est complète «centre» traduit le caractère nécessairement sommatif et intégrateur du caractère complet à assurer Post-condition Post-condition Un processus spécifié dans une règle qui doit être complété en conjonction avec l'accès. Il y a deux types de post-condition : soit qu'une post-condition interne doive être exécutée par le centre de décision de avant d'émettre sa réponse «permettre», soit qu'une post-condition externe doive être exécutée par le seuil d'application de avant de permettre l'accès. Predicate Prédicat Énoncé à propos d'attributs dont on peut évaluer la valeur en termes de vrai ou faux Pre-condition Pré-condition Un prédicat ou un ensemble logiquement combiné de prédicats Principal Titre Une entité de système pouvant être référencée par une pré-condition. Un titre rattache une entité à une clé cryptographique (son secret), capable de générer une signature numérique. Équivalent de «sujet» ou d'un utilisateur. Note terminologique : en droit, un titre est un acte écrit, une pièce authentique qui sert à établir un droit, une qualité. Resource Ressource Composant de données, de service ou de système. Terme équivalent à Objet tel que souvent utilisé. Role Rôle Un ensemble d'attributs pertinents à un titre. En XACML, un «groupe» est traité comme s'il était un rôle parce qu'il n'y a pas de différence du point de vue de la décision d'accès. Rule Règle La combinaison d'une pré-condition ainsi que d'une ou plusieurs post-conditions Target Cible L'ensemble des ressources et actions auxquelles une applicable s'applique Rédacteur : Richard Parent Organisation source : Secrétariat du Conseil du trésor Date de publication : 27 mars 2002 Raison d'être : Connaissance technologique Programme gouvernemental : Inforoutes et ressources informationnelles Nom du modificateur : Date de dernière modification : Note numéro : 121

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back