|
 Den
interna policymotorn med sin "interna" policydatabas är
klar och färdig för alfa-test. Det så kallade C-protokollet.
Roland
kommer att sätta upp en alfa-version på en utvecklingsdator
som erbjuds NyA (Nytt antagningssystem) för test.
En
Apache-modul har implementerats som frontend mot SPOCP-motorn. Med Apache
som frontend kan frågan och svaret, kodad i XML/SAML, kommuniceras
över http eller https. Policyreglerna läggs i nuläget
in som en konfigurationsfil till Apache-servern. Den gör även
parsningen av XML/SAML-uttrycket.
Förutom
flat fil med regler som backend, har Roland implementerat några
andra backends: en backend mot en LDAP-tjänst och en backend som
evaluerar tids-constraints. Den ursprungliga tanken med ett B-protokoll
som utnyttjas av adapters mot olika informationstjänster har övergivits
av effektivitesskäl bl.a. och vi inriktar oss på att tillhandahålla
backends mot olika informationstjänster direkt som komponenter
i policymotorn.
Bara för
att påminna er (och mig själv). Grunden är att policies
byggs upp som restricted s-expressions. Ett behörighetsbeslut fattas
i sin rena form genom att policymotorn analyserar om en behörighetsfråga,
också uttryckt som ett restricted s-expression, satisfierar policyn.
Som ett komplement till detta kan policymotorn - nu när det finns
en ldap-backend - basera behörighetsbeslutet på svar på
frågor till en informationstjänst som nås via LDAP
och - med hjälp av tids-backenden - evaluera tids-constraints.
Vi
har alltså en alfa-version av en Auktorisationstjänst som
gör det enkelt att testa hur behörighetspolicies för
en applikation kan uttryckas i specifikationsspråket - begränsade
s-uttryck med variabler som kan evalueras av en LDAP-tjänst respektive
av en tids-constraints-modul.
Vi
behöver få input från intressenterna om det som är
gjort och om vilken väg vi ska gå härnäst. Mer
precis behöver vi:
* få detta policyspråk testat för funktionella brister
* få igång tankar kring användbarheten hos ett sånt
här system
* få kännedom om behovet av andra frontend-protokoll
* få kännedom om behovet av andra backends
Roland har därför föreslagit vi ska ordna workshops med
deltagare från intressenterna, gärna flera från varje
intressent, där vi dels "utbildar" i policy-regel- och
frågeformulering och dels arbetar praktiskt med att sätta
upp policies och testa. Vi tänker oss en dag på arlanda eller
i Stockholm den 3/9 och en likadan i Norge - på en plats Feide
föreslår. Vi tänker bjuda in brett bland intressenterna
där varje deltagare under workshopen arbetar med behörighet
för en applikation hon/han känner väl.
Utvecklingsdatorn
med en Apache-server och SPOCP kommer att finnas igång för
tester även efter workshopen.
|