XACML與RABC Profile

1、 XACML與RBACProfile1概述為提高分布式系統(tǒng)間的訪問控制互操作性，2003年OASIS制定了基于XML的XACML（eXtensibleAccessControlMarkupLanguage，可擴展訪問控制標記語言）標準。目前，XACML規(guī)范還在不斷完善并且已經(jīng)被應(yīng)用到一些產(chǎn)品當中如Weblogic9已經(jīng)開始采用XACML進行訪問控制;2007.6IBM,0RACLE,BEA等八家公司共同發(fā)表了XACML的互操作聲明。RBAC（RoleBasedAccessControl，基于角色的訪問控制）是一種靈活、高效的訪問控制方法，它有效地克服了傳統(tǒng)訪問控制（DAC，MAC等）技術(shù)中存在

2、的不足之處，減少了授權(quán)管理的復(fù)雜性和降低管理開銷，已經(jīng)被廣泛應(yīng)用到各種系統(tǒng)當中。因此，如果能將XACML和RBAC結(jié)合起來應(yīng)用于企業(yè)信息系統(tǒng)，將為我們提供一種更加靈活和有效的訪問控制機制。1.1XACML介紹在基于Web的分布式應(yīng)用環(huán)境中，安全策略廣泛使用XACML語言進行表示。XACML（eXtensibleAccessControlMarkupLanguage,可擴展的訪問控制標記語言）是一種基于XML的開放標準語言，它設(shè)計用于描述安全政策以及對網(wǎng)絡(luò)服務(wù)、數(shù)字版權(quán)管理（DRM）以及企業(yè)安全應(yīng)用信息進行訪問的權(quán)限。XACML在2003年2月由結(jié)構(gòu)化信息標準促進組織（OASIS）批準，它開發(fā)用

3、于標準化XML的訪問控制。XACML有時也稱可擴展的訪問控制高標識語言（XACL）。簡單的說，XACML是一種對訪問控制策略和訪問控制請求/響應(yīng)產(chǎn)生過程加以描述的語言，XACML不僅提供了一系列邏輯算法對整個授權(quán)過程進行控制，而且提供了支持定義新功能、數(shù)據(jù)結(jié)構(gòu)、合成邏輯算法等的標準可擴展點?？梢愿鶕?jù)主體、資源、環(huán)境的屬性以及所采取的行為進行控制允許還是拒絕。實際上，返回的結(jié)果有四種：允許、拒絕、無法決定（Indeterminate）和不適用（NotApplicable）。XACML使用XML作為其描述語言。XML元語言的特性、可擴展的語法和語義特性以及廣泛的支持性使其能夠?qū)υL問控制思想實現(xiàn)最好

4、的支持。1.2XACML的作用XACML主要解決以下問題：1）創(chuàng)建一種可移植的、標準的方式來描述訪問控制實體及其屬性。2）提供一種機制，以比簡單地拒絕訪問或授權(quán)訪問更細粒度的控制訪問，也就是說，在“允許”或“拒絕”之前或之后執(zhí)行某些操作。XACML的主要優(yōu)勢：1）標準性。經(jīng)過專家委員會的論證，其定義的一些邏輯標準和算法適應(yīng)絕大多數(shù)的應(yīng)用需要。使得同其他應(yīng)用系統(tǒng)的互操作性在標準性的基礎(chǔ)之上非常容易。2）通用性。不僅僅適用于某一個應(yīng)用系統(tǒng)，而是具有普遍適用性。策略文件適用于多種應(yīng)用系統(tǒng)，而且正由于其通用性，使策略文件的管理變得相對容易。3）支持分布式應(yīng)用。不同的人員和部門可以在不同的地點制定子策略

5、文件，XACML可以根據(jù)指定的合成算法和多個子策略返回一個授權(quán)決定。擴展性。雖然XACML已經(jīng)支持多種數(shù)據(jù)結(jié)構(gòu)、功能和規(guī)則、策略合成算法，但XACML仍然在某些方面支持擴展，以適應(yīng)特殊應(yīng)用領(lǐng)域。OASIS正在致力于XACML對SAML(SecurityAssertionMarkupLanguage)的支持，以及對RBAC的支持等等。1.3XACML與SAML安全斷言標記語言(SecurityAssertionMarkupLanguage,SAML)主要目的在于可移植的信任。即提供一種機制在不同的協(xié)作域之間傳遞關(guān)于實體的信息，同時域又不失去對這些信息的所有權(quán)。交換的信息可以是關(guān)于主體或者驗證信息

6、的斷言。這種方式也稱為單點登錄。XACML體系結(jié)構(gòu)與SAML體系結(jié)構(gòu)是緊密相關(guān)的。它們有很多相同的概念，要處理的問題域也在很大程度上重疊：驗證、授權(quán)和訪問控制。但是在同一問題域中，它們要解決的是不同的問題。SAML要解決的是驗證，并提供一種機制，在協(xié)同實體間傳遞驗證和授權(quán)決策，而XACML則關(guān)注于得到這些授權(quán)決策的方法。因此,SAML和XACML在實際應(yīng)用中需要協(xié)同配合來共同解決驗證、授權(quán)和訪問控制的問題。2XACML的流程模型XACML是一種用于決定請求/響應(yīng)的通用訪問控制策略語言和執(zhí)行授權(quán)策略的框架，它在傳統(tǒng)的分布式環(huán)境中被廣泛用于訪問控制策略的執(zhí)行。在典型的訪問控制框架中,有策略執(zhí)行點P

7、EP(PolicyEnforcementPoint)和策略決定點PDP（PolicyDecisionPoint）。PEP用于表達請求和執(zhí)行訪問控制決定。PDP從PEP處接受請求，評估適用于該請求的策略，并將授權(quán)決定返回給PEP。XACML語言的框架結(jié)構(gòu)如圖1所示。授權(quán)請求到達策略執(zhí)行點（PEP）。PEP創(chuàng)建一個XACML請求并發(fā)送到策略決策點（PDP）,后者評估請求并返回一個響應(yīng)。PDP評估請求中的相關(guān)策略和規(guī)則后會作出決策?？梢詰?yīng)用的策略有多種，PDP并沒有評估所有的策略，而是根據(jù)策略目標選擇相關(guān)的策略進行評估。策略目標包括關(guān)于主體、動作和其他環(huán)境屬性的信息。為了獲得策略，PDP要用到策略訪

8、問點（PAP），PAP編寫策略和策略集，供PDP使用。PDP也可以調(diào)用策略信息點（PIP）服務(wù)檢索與主體、資源或者環(huán)境有關(guān)的屬性值。PDP作出的授權(quán)決策被發(fā)送到PEP。PEP履行義務(wù)，并根據(jù)PDP發(fā)送的授權(quán)決策允許或拒絕訪問。3XACML標準特性XACML在策略表達上結(jié)構(gòu)清晰，將安全規(guī)則表示為主體，客體，行為和約束四個主要屬性的屬性值集合。XACML是基于XML的訪問控制策略指派語言，使用標簽來標識安全策略的各個元素。XACML的標簽規(guī)定了策略名，規(guī)則名及規(guī)則屬性等，種類豐富。XACML通過vPolicy標簽及其屬性值聲明策略ID,策略適用群組和規(guī)則聯(lián)合算法，以對策略做出標識和說明。Polic

9、ylD和PolicyTarget分別用于聲明策略ID和策略適用群組，RuleCombiningAlgld聲明了規(guī)則聯(lián)合算法，規(guī)則聯(lián)合算法的作用是解決安全策略中不同安全規(guī)則可能造成的沖突，以保證每個訪問請求只得到一個最終授權(quán)結(jié)果。策略是由規(guī)則組成的，XACML用標簽v/Rule來標示規(guī)則，在規(guī)則標簽頭中，RuleID是規(guī)則ID，Effect標示該規(guī)則的效用：是一個許可規(guī)則還是拒絕規(guī)則。在規(guī)則體內(nèi)，用vTargetv/Target標示規(guī)則的各屬性，包括主體Subject，客體Resource和行為Action，對每一個屬性，都在相應(yīng)標簽中先標示屬性名稱，如“FileType”，再標示該屬性的屬性值

10、。約束屬性用標簽標示，位于vTarget之后。安全規(guī)則的四個屬性中，如果對某個屬性沒有安全約束限制，則可以省略該屬性的標簽。XACML策略表達舉例見下圖?！?*XACML實例3.1高層結(jié)構(gòu)：策略(Policy)和策略集(PolicySet)所有的XACML訪問控制策略的根是Policy或PolicySet。一個PolicySet是一個可以容納其它Policy或PolicySet的容器，可以通過其引用到非本地的Policy或PolicySet。一個Policy表現(xiàn)為一個單一訪問控制策略的引用，它通過套規(guī)則（Rule）來表現(xiàn)。每一個XACML訪問控制策略文檔都在其XML標簽根部包含了唯一的一個Po

11、licy或PolicySet。因為一個Policy或PolicySet可以包含多個策略或規(guī)則。因為這些策略或規(guī)則會有不同的訪問控制判斷結(jié)果決定，所以XACML需要一個協(xié)調(diào)判斷結(jié)果的方法。這在XACML中是通過一套合并算法（CombiningAlgorithms）來實現(xiàn)。每個算法表示一種不同的合并多判斷結(jié)果到單一判斷結(jié)果的方法。XACML有“策略合并算法/PolicyCombiningAlgorithms（PolicySet采用）和“規(guī)則合并算法/RuleCombiningAlgorithms”（Policy采用）。這當中的一個例子是“DenyOverridesAlgorithm，代表無論其它策

12、略判斷結(jié)果如何，只要其中有一個策略或規(guī)則判斷返回結(jié)果Deny，則最終判斷結(jié)果定為Deny。這些合并算法可以用于構(gòu)建復(fù)雜的策略。策略是基于XACML語言的訪問控制框架中可以交互的最小單元，它由策略管理點產(chǎn)生并維護，策略決策點（PDP）依據(jù)相應(yīng)的策略進行決策判斷。策略包括4個組成部分，即目標、組合算法、規(guī)則集和職責(zé)集。一個策略的目標可以由策略管理人員在策略中明確規(guī)定，也可以從策略、策略集或者規(guī)則集中推導(dǎo)出來。一旦在策略中明確了目標，則所有規(guī)則中的目標都要忽略。組合算法規(guī)定了策略中的規(guī)則組合算法。規(guī)則集即策略中的一條或者多條規(guī)則組合。職責(zé)集在應(yīng)用規(guī)則的過程中由策略決策點（PDP）返回給策略執(zhí)行點（P

13、EP）,除了執(zhí)行相應(yīng)的許可或拒絕操作外。策略執(zhí)行點（PEP）還需要執(zhí)行的一些職責(zé)，如需要記錄相應(yīng)的日志等。把多個策略組合在一起形成一個策略集，在XACML語言中，策略集用來描述同時引用多條策略的情況。3.2目標（Target）和規(guī)則（Rule）PDP要做的一部分工作是根據(jù)一個請求找到對應(yīng)的策略。為了實現(xiàn)這一點，XACML提供另一個被稱為Target的特性。一個Target基本上來說是一套簡化了的在一個請求中Policy、PolicySet、Rule必須遇到的關(guān)于主體（Subject）、動作（Action）、資源（Resource）的條件限制。這些條件限制都使用布爾判斷（將在下一節(jié)作闡述）來比較

14、一個請求中的參數(shù)值和一個Target里面的條件對應(yīng)值。如果一個Target中的所有的條件都符合，該請求就被關(guān)聯(lián)到相應(yīng)的Policy、PolicySet、Rule上作為一種檢查策略適用性的方法，Target的信息中還有一種方法進行策略索引。這在當需要在同一Target中存儲多種策略并且需要快速的審閱這些策略以選擇最合適策略時非常有用。例如，一個Policy可能包含一個只適用于某一特定服務(wù)的Target時。當一個要求訪問該服務(wù)的請求發(fā)生時，PDP就知道到哪兒去找適合判斷該請求的策略。因為策略被基于他們的Target的限制條件進行了索引。注意，Target也可以定義為適用于所有的請求。旦Policy

15、被找到并被用于驗證一個請求，其規(guī)則（Rule）即發(fā)生作用。Policy可以容納任意數(shù)量的Rule，這些Rule中包含一個XACML策略的核心邏輯。絕大多數(shù)的Rule表現(xiàn)為一個條件布爾判斷。當前條件為真時“規(guī)則的結(jié)果/RulesEffect（個根據(jù)規(guī)則判斷的Permit或Deny的結(jié)果）即被返回。條件的判斷結(jié)果也可以為一個錯誤（也即“不明確/Indeterminate）或該條件不適用于判斷請求（即“不適合/NotApplicable）個條件可以非常復(fù)雜，如：由一系列嵌套的非布爾判斷的函數(shù)或?qū)傩詠砼袛?。?guī)則（Rule）是策略語言中一個重要的基本元素。為了更好地理解規(guī)則的含義，首先需要了解規(guī)則的基本

16、組成部分及其之間的相互關(guān)系。規(guī)則包括3個組成部分，即目標（Target）、效用（Effect）和條件（Condition）。目標（Target）表示規(guī)則應(yīng)用的對象，其中包括4個基本元素，即資源（Resource）、主體（Subject）動作（Actions）和環(huán)境（Environment）個目標的基本含義是主體對資源執(zhí)行的某些動作，這些動作是在一定的環(huán)境下執(zhí)行的。在應(yīng)用規(guī)則的時候，根據(jù)請求的主體、資源、動作，以及相關(guān)的環(huán)境因素來查找可以應(yīng)用的規(guī)則。效用表示規(guī)則應(yīng)用后的結(jié)果，包括兩個值，即許可（Permit）和拒絕（Deny）效用的含義是如果某一個決策請求中的要素（包括主體、資源、動作和環(huán)境）和

17、規(guī)則中的目標相同，并且效用是許可，則決策結(jié)果是許可；如果效用是拒絕，則決策結(jié)果是拒絕。同一規(guī)則可能有不同的應(yīng)用環(huán)境，這樣在決策時還需要一些輔助的額外信息，這些額外信息需要條件（Condition）來描述。條件是一些謂詞結(jié)構(gòu)，其結(jié)果是True或者False，通過這些條件可以描述主體、動作、資源，以及環(huán)境的一些屬性和上下文信息（如操作的時間限制要求）。3.3屬性(Attribute)，屬性值(AttributeValue)和函數(shù)(Function)XACML運行時處理的是屬性。屬性是已知類型的有名稱的值，可以包括屬性發(fā)布者的標識或發(fā)布日期時間。特別地，屬性是Subject、Resource、Act

18、ion或訪問請求發(fā)生的環(huán)境的特征值，例如，用戶名、他們組成員、他們要訪問的文件、訪問日期等都是屬性值。當一個請求從PEP被發(fā)送到PDP時，該請求由幾乎是相互排斥的屬性集組成，他們將和策略中的屬性值進行比較，并最終產(chǎn)生訪問判決結(jié)果。Policy以兩種機制來解析來自請求或其它來源中的屬性值：AttributeDesignator(屬性指示器)和Attributeselector(屬性選擇器)。AttributeDesignator讓策略用一個給定的名稱和類型來指定屬性，也可以通過發(fā)布者(issuer)指定屬性(可選)PDP就在請求中尋找該屬性的值，若找不到，可以從其他任何位置尋找(如LDAP服務(wù))

19、。共有4種指示器(designator)，分別對應(yīng)請求中的4種類型的屬性：Subject,Resource,Action,和Environment。Attributeselectors使得一個策略根據(jù)XPathquery的形式查詢個屬性值。只要提供個數(shù)據(jù)類型和XPath表達式，就可以解析請求文檔中的屬性值。AttributeDesignator和AttributeSelector都可以返回多值(因為可能存在一個請求匹配多條件的情況)，所以XACML提供一個特殊的屬性叫“Bag”,Bag是一個無序的集合，并且允許重復(fù)。通常designator和selector都返回bag，甚至當只有單值返回時也

20、是以bag返回。當沒有匹配項是返回空的bag。當然，designator和selector可以設(shè)置一個標記，當這一情況發(fā)生時產(chǎn)生一個錯誤。旦屬性值Bag被獲取時，其值需要和預(yù)期值進行比較來進行訪問控制判決，這些都由強大的系統(tǒng)函數(shù)來完成的。這些函數(shù)判斷任何屬性值的任何組合，并可返回系統(tǒng)支持的任何類型的屬性值。函數(shù)還支持嵌套，你可以用一些函數(shù)操作另一些函數(shù)的輸出。這樣的分級嵌套可以任意復(fù)雜。二次開發(fā)的函數(shù)可以提供更加豐富的語言來表達訪問條件限制。3.4請求（request）和應(yīng)答（response）除了定義了一套標準的策略格式之外，XACML還定義了一套標準訪問來表達請求和應(yīng)答。一個請求可以包含4

21、類屬性：Subject,Resource,Action,andEnvironment（可選）一個request中必須包含且只能包含一個Resource和Action屬性的集合，最多包含一個Environment屬性集合，可以包含多個Subject屬性集合。一個應(yīng)答包含一個或多個結(jié)果（result），每個結(jié)果代表一個評判結(jié)果。多結(jié)果是由于多層次的資源造成的，典型地，一個應(yīng)答中只有一個結(jié)果。每個結(jié)果中包含一個決定（Decision，4種，Permit,Deny,NotApplicable,或Indeterminate），和狀態(tài)信息（如為什么評判失?。?，可選地，有一個或多個義務(wù)（Obligation

22、）（PEP在決定授權(quán)和拒絕之前有義務(wù)做的事情）。請求和響應(yīng)提供了一個和PDP交互的一個標準格式。4組合算法XACML策略語言是一種分布式策略語言，對于同一資源可能由不同的策略管理點(PAP)為其制定不同的策略。這些策略之間有可能存在沖突，如有的規(guī)則可能允許訪問，有的規(guī)則可能不允許，這些沖突必須得到解決。也可能多條策略的執(zhí)行效用一樣，這樣的策略只要執(zhí)行一條即可得到相應(yīng)的策略效用。通過XACML策略語言模型可以看出，一條策略可能包含多條規(guī)則，這些規(guī)則同樣有可能存在沖突或具有相同的效用。因此在XACML語言中需要一個組合算法來解決沖突，并且避免不必要的運算。在XACML語言中，規(guī)定了4種類型的組合算

23、法，即拒絕優(yōu)先算法(Deny-overrides)、許可優(yōu)先算法(Permit-overrides)、首先應(yīng)用算法(First-applicable)和唯一應(yīng)用算法(Only-one-applicable)。在這些算法中，除了唯一應(yīng)用算法只適用于策略組合外，其他適用于規(guī)則組合算法和策略組合算法。拒絕優(yōu)先算法的基本思想是一旦有一條規(guī)則或者策略應(yīng)用得到一個拒絕的結(jié)果，則返回結(jié)果為拒絕(Deny)；如果在處理某一規(guī)則或者策略過程中出現(xiàn)了錯誤，并且這個規(guī)則或者策略的效用(Effect)是拒絕，同時也沒有其他規(guī)則或者策略的應(yīng)用結(jié)果是拒絕，則返回結(jié)果為不確定(Indeterminate);如果在處理過程中

24、沒有規(guī)則或者策略的應(yīng)用結(jié)果為拒絕，并且至少有一條規(guī)則或者策略的應(yīng)用結(jié)果是許可，同時在處理過程中效用為拒絕的規(guī)則或者策略沒有出現(xiàn)錯誤，則返回結(jié)果為許可(Permit);如果應(yīng)用所有的規(guī)則中沒有一條規(guī)則或者策略可以應(yīng)用，則返回結(jié)果為不可應(yīng)用(NotApplicable)拒絕優(yōu)先規(guī)則組合算法的偽代碼如下：DecisiondenyOverridesRuleCombiningAlgorithm(Rulerule)BooleanatLeastOneError=false;BooleanpotentialDeny=false;BooleanatLeastOnePermit=false;for(i=0;ile

25、ngthOf(rules);i+)Decisiondecision=evaluate(rulei);if(decision=Deny)returnDeny;if(decision=Permit)atLeastOnePermit=true;continue;if(decision=NotApplicable)continue;if(decision=Indeterminate)atLeastOneError=true;if(effect(rulei)=Deny)potentialDeny=true;continue;if(potentialDeny)returnIndeterminate;if(

26、atLeastOnePermit)returnPermit;if(atLeastOneError)returnIndeterminate;returnNotApplicable;對應(yīng)的拒絕優(yōu)先策略組合算法的偽代碼如下：DecisiondenyOverridesPolicyCombiningAlgorithm(Policypolicy)BooleanatLeastOnePermit=false;for(i=0;i或者vPolicy和角色繼承vPolicy，角色顯示為一種資源屬性。下面以例子來說明XACML的用法：假定有兩個角色，manager和employee，角色employee擁有創(chuàng)建購物單

27、的權(quán)限。角色manager有簽名購物單的權(quán)限，并且有角色employee的所有權(quán)限。在這里假定存在兩個權(quán)限策略集，一個對應(yīng)manger，另外一個對應(yīng)employee，manager權(quán)限策略集將給任何主體規(guī)定的權(quán)限，即簽名購物單并且繼承employee的權(quán)限策略集。Employee權(quán)限策略集將給任何主題創(chuàng)建購物單的權(quán)限。類似的，將有兩個對應(yīng)的角色策略集。Manager的角色策略集要求包含一個target使主體擁有一個角色屬性，并關(guān)聯(lián)manager的權(quán)限策略集。Employee角色策略集內(nèi)容類似。5.1權(quán)限策略集下面的例子表示manager的權(quán)限策略集PolicySetxmlns=urn:oasi

28、s:names:tc:xacml:2.0:policy:schema:osPolicySetId=PPS:manager:rolePolicyCombiningAlgId=&policycombine;permitoverrides!PermissionsspecificallyforthemanagerrolePolicyPolicyId=Permissions:specifically:for:the:manager:roleRuleCombiningAlgId=&rulecombine;permitoverridesResourcesResourcepurchaseorderResour

29、ceAttributeDesignatorAttributeId=&resource;resourceidDataType=&xml;string/ResourceMatch/Resource/ResourcesActionsActionActionMatchMatchId=&function;stringequalAttributeValueDataType=&xml;stringsign/AttributeValueActionAttributeDesignatorAttributeId=&action;actionidDataType=&xml;string/ActionMatch/Ac

30、tion/Actions/Target/Rule/Policy!IncludepermissionsassociatedwithemployeerolePolicySetIdReferencePPS:employee:role/PolicySetIdReference/PolicySet下面的是employee的權(quán)限策略集PolicySetxmlns=urn:oasis:names:tc:xacml:2.0:policy:schema:osPolicySetId=PPS:employee:rolePolicyCombiningAlgId=&policycombine;permitoverrid

31、es!PermissionsspecificallyfortheemployeerolePolicyPolicyId=Permissions:specifically:for:the:employee:roleRuleCombiningAlgId=&rulecombine;permitoverrides！PermissiontocreateapurchaseorderRuleRuleId=Permission:to:create:a:purchase:orderEffect=PermitTargetResourcesResourceResourceMatchMatchId=&function;

32、stringequalAttributeValueDataType=&xml;stringpurchaseorder/AttributeValueResourceAttributeDesignatorAttributeId=&resource;resourceidDataType=&xml;string/ResourceMatch/Resource/ResourcesActionsActionActionMatchMatchId=&function;stringequalAttributeValueDataType=&xml;stringcreate/AttributeValueActionA

33、ttributeDesignatorAttributeId=&action;actionidDataType=&xml;string/ActionMatch/Action/Actions/Target/Rule/Policy/PolicySet5.2角色策略集下面是manager角色策略集的例子，它的作用是分配角色給subject，并且關(guān)聯(lián)權(quán)限策略集PolicySetxmlns=urn:oasis:names:tc:xacml:2.0:policy:schema:osPolicySetId=RPS:manager:rolePolicyCombiningAlgId=&policycombine;

34、permitoverridesTargetSubjectsSubjectSubjectMatchMatchId=&function;anyURIequalAttributeValueDataType=&xml;anyURl&roles;manager/AttributeValue/Subjects!UsepermissionsassociatedwiththemanagerrolePolicySetIdReferencePPS:manager:role/PolicySetIdReference/PolicySet下面是employee的角色策略集，分配角色給subject,并管理相關(guān)權(quán)限策略集

35、PolicySetxmlns=urn:oasis:names:tc:xacml:2.0:policy:schema:osPolicySetId=RPS:employee:rolePolicyCombiningAlgId=&policycombine;permitoverridesSubjectsAttributeValueDataType=&xml;anyURl&roles;employee/SubjectMatchPolicySetIdReferencePPS:employee:role/PolicySetIdReference5.3查詢主體是否擁有角色的權(quán)限的策略是否擁有manager角色

36、的權(quán)限，作用是支持查詢某個主體是否擁有某個角色!HasPrivilegesOfRolePolicyformanagerrolePolicyPolicyId=Permission:to:have:manager:role:permissionsRuleCombiningAlgId=&rulecombine;permitoverrides!PermissiontohavemanagerrolepermissionsRuleRuleId=Permission:to:have:manager:permissionsEffect=PermitConditionApplyFunctionId=”&func

37、tion;and”ApplyFunctionId=”&function;anyURIisin”AttributeValueDataType=”&xml;anyURI”&roles;manager/AttributeValueResourceAttributeDesignatorAttributeId=&role;DataType=&xml;anyURl/ApplyApplyFunctionId=”&function;anyURIisin”AttributeValueDataType=”&xml;anyURI”&actions;hasPrivilegesofRole/AttributeValue

38、ActionAttributeDesignatorAttributeId=&action;actionidDataType=”&xml;anyURI”/Apply/Condition是否擁有employee角色的權(quán)限，作用是支持查詢某個主體是否擁有某個角色PolicyPolicyId=Permission:to:have:employee:role:permissionsRuleCombiningAlgId=&rulecombine;permitoverridesConditionApplyFunctionId=”&function;and”ApplyFunctionId=”&function

39、;anyURIisin”AttributeValueDataType=”&xml;anyURI”&roles;employee/AttributeValueResourceAttributeDesignatorAttributeId=&role;DataType=&xml;anyURl/ApplyApplyFunctionId=”&function;anyURIisin”AttributeValueDataType=”&xml;anyURI”&actions;hasPrivilegesofRole/AttributeValue/Apply/Apply/Condition/Rule/Policy5.4查詢是否擁有角色權(quán)限的請求一個關(guān)于主體Anne是否manager角色相關(guān)權(quán)限的請求RequestAttributeAttributeId=”&subject;subjectid”DataType=”&xml;string”AttributeValueAnne/AttributeValue/AttributeResourceAttribute