Skip to main content

Algoritmo de combinación de reglas XACML

https://bookstack.soffid.com/books/xacml/page/xacml-rule-combining-algorithm

Definition

El algoritmo de combinación de reglas define un procedimiento para llegar a una decisión de autorización dados los resultados individuales de la evaluación de un conjunto de reglas.

Los algoritmos de combinación de reglas XACML se encargan de combinar las decisiones producidas por diferentes hijos de una política padre (o conjunto de políticas) en una única decisión.

Políticas

Soffid implementa las siguientes políticas:

Deny overrides

El algoritmo de denegación o anulación está pensado para aquellos casos en los que una decisión de denegación debe tener prioridad sobre una decisión de permiso.

Permit overrides

El algoritmo está pensado para aquellos casos en los que una decisión de permiso debe tener prioridad sobre una decisión de denegación.

First applicable

El algoritmo de primera aplicación está pensado para evaluar cada regla en el orden en el que está listada en la política. El algoritmo recorre todas las reglas hasta que en una el objetivo coincide y la condición a evaluar es verdadera. Si no existe ninguna regla más en el orden, la política se evaluará como «No aplicable».

Only one applicable

El algoritmo de sólo una aplicable tiene tres casos:

  • Si sólo hay una política aplicable, el resultado será el resultado de evaluar la política.
  • Si no hay políticas aplicables el resultado será denegado.
  • Si hay más de una política aplicable el resultado será denegado.

Ordered deny overrides

El comportamiento de este algoritmo es idéntico al del algoritmo de combinación de políticas Deny overrides con una excepción. El orden en el que se evalúa la colección de políticas debe coincidir con el orden que aparece en el conjunto de políticas.

Ordered permit overrides

El comportamiento de este algoritmo es idéntico al del algoritmo de combinación de políticas Permit overrides, con una excepción. El orden en el que se evalúa la colección de políticas debe coincidir con el orden que aparece en el conjunto de políticas.

https://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf

 

Back to top