cdaefa Diskussion:EFA Policy Assertion SAML2 Binding

Eocyo.01.01

Comment

Ich kann dieser Unterscheidung im Kontext eines EFA authorization statement nicht ganz folgen. Eine solche Dreiteilung leuchtet mir für die Patientenzustimmung ein, in dem Fall ist mir aber der Nutzen als Assertion nicht klar. (ti, 07.06.2013)

Author

ti

Eocyo.01.02

Comment

@PolicySetId: BPPC sieht OIDs als Policy Identifier vor. XACML schreibt nur vor das es eine URI sein muss. Ich würde als Kompromiss auch die Verwendung von URN prefixed OIDs erlauben. (ti, 07.06.2013)

Author

ti

Eocyo.01.02

Comment

@PolicyCombiningAlgId: Ich halte es für riskant sich auf die Reihenfolge der Policies zu verlassen, v.a. da diese ggf. on-the-fly vom Policy Provider zusammengebaut werden. Hier wäre deny-override (in Kombination mit einem deny-biased PEP) sinnvoller. (ti, 07.06.2013)

Author

ti

Eocyo.01.02

Comment

SubjectAttributeDesignator@AttributeId: In der SAML Assertion wurde "urn:oasis:names:tc:xacml:1.0:subject:subject-id" als Klarname definiert. D.h. hier müsste beim Aufbau des Kontext das vorhandene Attribut ...:subject-id rausgeschmissen werden und eine Umwandlung von NameID auf ...:subject-id stattfinden (siehe auch {ItyAn.01.02}). (ti, 07.06.2013)

Author

ti

Eocyo.01.02

Comment

SubjectAttributeDesignator@DataType: Ich würde hier wie auch schon bei der SAML NameID eine klare Festlegung befürworten. Ansonsten werden v.a. cross-community Szenarien sehr schwierig. (ti, 07.06.2013)

Author

ti

Eocyo.01.02

Comment

ResourceAttributeDesignator@AttributeId: Woher weiss der Policy Provider auf welche Ressourcen ID der Benutzer zugreifen darf? Was ist die Ressourcen ID in diesem Kontext? (ti, 07.06.2013)

Author

ti

Eocyo.01.03

Comment

Die zu verwendenden Basis-PolicySets sind eigentlich durch die Rollenbeschreibungen und das Rechtemodell der EFA voll definiert. Wäre es somit hier nicht sinnvoller diese Regeln (ggf. nicht normativ) mitzuliefern? (ti, 07.06.2013)

Author

ti