Я понимаю, что XACML может предоставить детальный контроль доступа к ресурсу на основе различных категорий, таких как тема, ресурс, среда и действия.
Но как только оценка сделана и принято решение о получении ресурса, можем ли мы контролировать, к каким полям/свойствам в ресурсе может получить доступ пользователь/субъект?
Например, есть ресурс под названием «Клиент» со следующими полями.
клиент: {имя, isVip, номер телефона}
Теперь, если у меня есть агент по продажам, получающий доступ к этой информации, я хочу показать номер телефона VIP-клиента только нескольким выбранным агентам по продажам.
Это должен быть ответ на API информации о клиенте GET:
звонит обычный агент по продажам: {name, isVip}
звонит выбранный агент по продажам: {name, isVip, phoneNumber}
Могу ли я добиться этого с помощью XACML? Если да, то как?