XACML( eXtensible Access Control Markup Language,可擴展訪問控制標記語言)

XACML( eXtensible Access Control Markup Language,可擴展訪問控制標記語言)

他是一種Oasis標準使用於授權政策和規範授權決策處理，

以XML檔案格式傳遞資料，並將資訊存取呈現的控制策略，

他用來定義一種通用的保護資源的策略語言，


主要實體(Terminology )：

策略管理點(Policy administration point, PAP)
產生(存放)單一政策(policy)或政策集合(policy set)的系統實體。

策略執行點(Policy enforcement point, PEP)
依照既定的授權決策來執行存取控制的系統實體。 (接收對授權的請求。PEP向PDP發送XACML請求，然後根據PDP的決策行動)。

策略決定點(Policy decision point, PDP)
PDP使用從PAP獲得的策略以及從PIP獲得的附加信息來進行決策的系統實體。

策略資訊點(Policy information point, PIP)
PIP可提供被存取資源的屬性，以及試圖存取該資源的實體（身份證明）。

策略擷取點(Policy retrieval point, PRP)
對於特定的請求(request)，找出及取回適當策略的系統實體。


MACML 主要包含了三種結構：

1.Rule
2.Policy Statement
3.Policy set statement

其中介紹一下，

Rule

是策略中最重要的元素單位，一個策略可與多條規則相關聯。每個規則由條件、結果和目標組成。結果會依照條件來回應。

target(目標)：這個部份的結果可提供給PDP用來進行授權決策要求的評估。

condition(條件)：為一布林運算式。

effect(結果)：是符合規則的預期後果。


MACML的目的：

創造一種可移植且標準的方式來描述訪問控制實體及屬性。

並提供一種機制，以簡單的方式來讓拒絕訪問或授權訪問更加精細的控制訪問。