Ignore:
Timestamp:
01/11/10 16:30:22 (10 years ago)
Author:
pjkersha
Message:

Working and tested version with functionality for adding custom attribute value types and functions.

File:
1 edited

Legend:

Unmodified
Added
Removed
  • TI12-security/trunk/ndg_xacml/ndg/xacml/test/esgf1.xml

    r7666 r7682  
    4545                    <!-- Pattern match the request URI --> 
    4646                    <ResourceMatch MatchId="urn:oasis:names:tc:xacml:2.0:function:anyURI-regexp-match"> 
    47                         <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">^http://localhost/at-least-of-subject-role-restricted.*$</AttributeValue> 
     47                        <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">^http://localhost/at-least-one-of-subject-role-restricted.*$</AttributeValue> 
    4848                        <ResourceAttributeDesignator 
    4949                            AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" 
     
    8383        </Condition> 
    8484    </Rule> 
     85    <Rule RuleId="Subject doesn't have any of specified roles" Effect="Permit"> 
     86        <!--  
     87            Example where test subject doesn't have the required roles 
     88        --> 
     89        <Target> 
     90            <Resources> 
     91                <Resource> 
     92                    <!-- Pattern match the request URI --> 
     93                    <ResourceMatch MatchId="urn:oasis:names:tc:xacml:2.0:function:anyURI-regexp-match"> 
     94                        <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">^http://localhost/subject-does-not-have-any-of-specified-roles.*$</AttributeValue> 
     95                        <ResourceAttributeDesignator 
     96                            AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" 
     97                            DataType="http://www.w3.org/2001/XMLSchema#anyURI"/> 
     98                    </ResourceMatch> 
     99                </Resource> 
     100            </Resources> 
     101        </Target> 
     102         
     103        <!--  
     104            The condition narrows down the constraints layed down in the target to 
     105            something more specific 
     106             
     107            The user must have at least one of the roles set - in this 
     108            case 'staff' 
     109        --> 
     110        <Condition> 
     111            <Apply FunctionId="urn:grouprole-at-least-one-member-of"> 
     112                <SubjectAttributeDesignator  
     113                    AttributeId="urn:esg:attr" 
     114                    DataType="urn:grouprole"/> 
     115                <Apply FunctionId="urn:grouprole-bag"> 
     116                    <AttributeValue DataType="urn:grouprole"> 
     117                        <esg:groupRole> 
     118                            <esg:group>ACME</esg:group> 
     119                            <esg:role>PrincipalInvestigator</esg:role> 
     120                        </esg:groupRole> 
     121                    </AttributeValue> 
     122                    <AttributeValue DataType="urn:grouprole"> 
     123                        <esg:groupRole> 
     124                            <esg:group>Staff</esg:group> 
     125                            <esg:role>Administrator</esg:role> 
     126                        </esg:groupRole> 
     127                    </AttributeValue> 
     128                </Apply> 
     129            </Apply> 
     130        </Condition> 
     131    </Rule> 
    85132</Policy> 
Note: See TracChangeset for help on using the changeset viewer.