Мы используем WSO2 Identity Server 5.1.0.
У нас есть иерархия местоположений, такая как Plant1-> Area1-> unit1. Теперь, если у пользователя есть атрибут для Plant1, он также должен получить доступ к unit1 (всем дочерним элементам родителя в дереве).
Можем ли мы указать это в XACML? У нас есть иерархия, хранящаяся в БД. Мы также можем предоставить список иерархических элементов в виде списка атрибутов, если это необходимо.
Проблема объяснена в примере: пользователю bob был предоставлен доступ к области 2, как показано ниже:
Завод1
| --Площадь1
|--Unit1
| --Площадь2
|--Unit2
Мы хотим указать местоположение Area2 в политике XACML. Теперь, если приходит запрос с area2 или unit2, это должно быть разрешено, а если приходит запрос с plant1, area1 или unit1, он должен быть отклонен.
Мне нужна структура для политики XACML.