Entwicklung und Implementierung einer ... - GeoBranchen
Entwicklung und Implementierung einer ... - GeoBranchen
Entwicklung und Implementierung einer ... - GeoBranchen
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
70<br />
4.2.2 Varianten zur Weiterleitung der globalen Zugriffsentscheidungsanfrage<br />
zu <strong>einer</strong> hierarchischen Ressource durch den Context Handler<br />
an den PDP<br />
Der Context Handler, der den vom PEP erzeugten globalen XACML Request Context entgegennimmt,<br />
kann die Zugriffsentscheidungsanfrage auf mehrere Arten an den PDP weiterleiten.<br />
Nachfolgend werden zwei sinnvolle Alternativen diskutiert.<br />
Variante A:<br />
Der Context Handler erzeugt auf Basis des globalen XACML Request Contexts für die durch<br />
resource-id <strong>und</strong> scope spezifizierten Knoten individuelle Zugriffsentscheidungsanfragen<br />
(eine je Knoten), die einzeln an den PDP geschickt werden.<br />
Der PDP kann durch das scope Attribut ermitteln, für welche Knoten eine individuelle<br />
Zugriffsanfrage erzeugt werden soll. Dies geschieht relativ zu dem Knoten, der durch das<br />
resource-id Attribut der globalen Zugriffsentscheidungsanfrage selektiert wird. Mögliche<br />
scope Werte sind descendants, entire hierarchie <strong>und</strong> children 25 .<br />
Bei descendants wird für jeden Knoten unterhalb des durch resource-id bestimmten<br />
Knotens eine individuelle Zugriffsentscheidungsanfrage an den PDP übergeben. Nach Behandlung<br />
der individuellen Zugriffsentscheidungsanfragen (diese beziehen sich auf genau einen<br />
Knoten) werden die individuellen Zugriffsentscheidungsantworten (entspricht der<br />
Zugriffsentscheidung für diesen Knoten) einzeln vom PDP an den Context Handler gesendet<br />
<strong>und</strong> unverändert an den PEP weitergeleitet.<br />
Bei entire hierarchie wird ebenfalls je Knoten eine individuelle Zugriffsentscheidungsanfrage<br />
an den PDP übergeben. Im Unterschied zum scope Wert descendants<br />
merkt sich der Context Handler die Ergebnisse der individuellen Zugriffsentscheidungsantworten<br />
<strong>und</strong> übergibt nur ein Gesamtergebnis für alle individuellen Knotenanfragen an den<br />
PEP. Dieses lautet nur dann permit, wenn alle Antworten auf die individuellen Request Contexts<br />
permit ergaben. Der entire hierarchie Attributwert impliziert eine Zugriffskontrolle<br />
nach dem „alles oder nichts“ Prinzip. Gr<strong>und</strong>stein für eine Zugriffskontrolle nach dem<br />
„so viel wie geht“ Prinzip ist daher ein scope Wert von descendants, da dadurch je Knoten<br />
im angeforderten Dokument eine individuelle Zugriffsentscheidungsantwort generiert<br />
wird.<br />
Zu erwähnen ist, dass die Erzeugung individueller Zugriffsentscheidungsanfragen nicht im<br />
PEP geschehen sollte, da die PEPs <strong>und</strong> PDPs räumlich verteilt liegen können <strong>und</strong> diese Vorgehensweise<br />
daher zu einem enormen Mehraufwand an Kommunikation führen würde. Die<br />
25 Der Wert children wird für die Ausführungen in dieser Arbeit nicht benötigt <strong>und</strong> wird daher nicht weiter<br />
erläutert, da alle Knoten des XML Dokumentes auf Zugriffsrechte überprüft werden müssen.