2.8.8.4. 粒度の細かい承認および XACML
粒度の細かい承認 (Fine Grained Authorization) は、モジュールへのアクセス権限を付与する意思決定プロセスに関係する要件や変数の変化に管理者が対応できるようにします。そのため、粒度の細かい承認は複雑になります。
注記
Web または Jakarta Enterprise Bean の XACML バインディングは、JBoss EAP ではサポートされていません。
JBoss EAP は XACML を媒体として使用し、粒度の細かい承認を実現します。XACML は標準ベースのソリューションを提供し、複雑な粒度の細かい承認に対応します。XACML は、意思決定のポリシー言語やアークテクチャーを定義します。XACML アーキテクチャーには、通常のプログラムフローでリクエストを阻止する PEP (Policy Enforcement Point: ポリシー強制ポイント) が含まれ、PDP (Policy Decision Point: ポリシー決定ポイント) に関連するポリシーを基にアクセスを決定するよう PDP に要求します。PDP は PEP によって作成された XACML リクエストを評価し、ポリシーを確認して以下の 1 つを決定します。
- PERMIT
- アクセスは許可されます。
- DENY
- アクセスは拒否されます。
- INDETERMINATE
- PDP にエラーがあります。
- NOTAPPLICABLE
- リクエストに足りない属性があるか、一致するポリシーがありません。
XACML には以下の機能もあります。
- Oasis XACML v2.0 ライブラリー
- JAXB v2.0 ベースのオブジェクトモデル
- XACML ポリシーおよび属性を保存および読み出しするための ExistDB 統合