13.6.3. XACML を使用した粒度の細かい承認

13.6.3.1. 粒度の細かい承認および XACML

粒度の細かい承認 (Fine Grained Authorization) は、アクセスするモジュールを承認する基盤となる、意思決定プロセスに関係する要件や変数の変化に対応します。そのため、粒度の細かい承認のプロセスは複雑になります。
JBoss は XACML を媒体として使用し、粒度の細かい承認を実現します。XACML は標準ベースのソリューションを提供し、複雑な粒度の細かい承認に対応します。XACML は、意思決定に対するポリシー言語やアークテクチャーを定義します。XACML アーキテクチャーには、通常のプログラムフローで要求を阻止する PEP (ポリシー強制ポイント) が含まれ、PDP (ポリシー決定ポイント) に関連するポリシーを基にアクセスの決定を行うよう PEP に要求します。PDP は PEP によって作成された XACML 要求を評価し、ポリシーを確認して以下のアクセス決定の 1 つを選択します。
  • PERMIT - アクセスは許可されます。
  • DENY - アクセスは拒否されます。
  • INDETERMINATE - PDP にエラーがあります。
  • NOTAPPLICABLE - 要求に足りない属性があるか、一致するポリシーがありません。
XACML の機能は次のとおりです。
  • Oasis XACML v2.0 ライブラリー
  • JAXB v2.0 ベースのオブジェクトモデル
  • XACML ポリシーおよび属性を保存または読み出しするための ExistDB 統合。