didmos Decision Point

Decision Point

Der Policy Decision Point (PDP) ist eine Open-SourceImplementierung des ANSI-Standards RBAC (Role Based Access Control) in Python. Er ermöglicht die zentrale Zugriffskontrolle auf Ressourcen, indem Netzwerkbenutzer*innen eine oder mehrere Rollen zugewiesen werden, die mit bestimmten Zugriffsrechten verbunden sind. Innerhalb des Decision Point werden alle Anfragen zwischen Frontend und Backend auf Basis der Rollen von aktiven Benutzer*innen evaluiert. Diese Evaluation findet nach der Berechnung aller durchzuführenden Aktionen statt, da eine einzelne Anfrage des Frontends mehrere getrennte Aktionen innerhalb des Backends erfordern kann. Sofern die Evaluation für alle Aktionen positiv ausfällt, wird die Anfrage durch das Backend weiter verarbeitet. In jedem Fall geht eine entsprechende Rückmeldung an das Frontend. Unautorisierten Benutzer*innen wird der Zugriff verweigert.

Der Decision Point steuert außerdem das Initialisieren von Workflows und anderen Hintergrundprozessen wie automatische Rollenzuweisungen innerhalb des didmos Frameworks. Ein erheblicher Vorteil eines solchen zentralen Policy Decision Points ist es, alle Zugriffsentscheidungen an einer zentralen Stelle definieren und pflegen zu können. Zudem ist es den Anwendungen (sog. Policy Enforcement Points) möglich, die PDPs über verschiedene standardisierte Requests nach Zugriffsentscheidungen zu fragen.

Alle benötigten Objekte zur Berechnung von Zugriffsanfragen an den PDP werden an einer zentralen Stelle innerhalb des Metadirectorys gespeichert. Dies reduziert den Wartungsaufwand innerhalb des Systems und ermöglicht komplexe Berechtigungsstrukturen, die an das Datenschema innerhalb des Metadirectorys angepasst sind.

Funktionen

  • implementiert ANSI INCITS 359-2004
  • berechnet Zugriffsberechtigungen auf Basis von
    • Rollen (mit Hierarchien)
    • Ressourcen (z. B. Bilder)
    • Operationen (z. B. read/write)
    • SSD (Static Sepraration of Duty)
    • DSD (Dynamic Separation of Duty)
    • kundenspezifischen Overlays
  • verwendet als Speicher einen LDAP-Verzeichnisdienst
Menü