{"id":1507,"date":"2016-05-26T09:33:05","date_gmt":"2016-05-26T07:33:05","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=1507"},"modified":"2016-05-26T09:33:05","modified_gmt":"2016-05-26T07:33:05","slug":"xacml-is-dead-or-not","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2016\/05\/26\/xacml-is-dead-or-not\/","title":{"rendered":"XACML is dead or not ?"},"content":{"rendered":"<p><a href=\"http:\/\/www.identitycosmos.com\/http:\/www.identitycosmos.com\/strategie\/xacml-is-dead-or-not\/attachment\/xacml-plain-logo\" rel=\"attachment wp-att-1508\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-1508\" src=\"http:\/\/www.identitycosmos.com\/wp-content\/uploads\/2016\/05\/xacml.plain_.logo_-300x68.png\" alt=\"xacml.plain.logo\" width=\"300\" height=\"68\" srcset=\"https:\/\/identitycosmos.com\/wp-content\/uploads\/2016\/05\/xacml.plain_.logo_-300x68.png 300w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2016\/05\/xacml.plain_.logo_.png 586w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><\/p>\n<p>&nbsp;<\/p>\n<p>Depuis maintenant plusieurs ann\u00e9es, je m&#8217;int\u00e9resse \u00e0 l&#8217;\u00e9volution du &#8220;standard&#8221; XACML, en me posant bcp de questions&#8230; En effet, d&#8217;un point de vue technologique, je pense qu&#8217;il s&#8217;agit d&#8217;une excellente mani\u00e8re de g\u00e9rer les r\u00f4les applicatifs au sein des grandes entreprise. Pour faire simple, XACML est plut\u00f4t un langage structur\u00e9 (bas\u00e9 sur XML) qui permet de d\u00e9crire des r\u00f4les et surtout des politique de contr\u00f4le d&#8217;acc\u00e8s &#8211; ces politiques peuvent \u00eatre simples, tr\u00e8s complexes et peuvent se baser sur des \u00e9l\u00e9ments dynamiques ou contextuels: par exemple mes &#8220;droits&#8221; d\u00e9finis dans le code XACML peuvent s&#8217;adapter en fonction de l&#8217;adresse IP que j&#8217;ai, ce qui permettrait d&#8217;adapter mes droits si je suis sur le LAN ou depuis un VPN, etc. Encore une fois, d&#8217;un point de vue technique, je pense que c&#8217;est le top, c&#8217;est un peu monolithiques, mais au final on peut g\u00e9rer des cas tr\u00e8s complexes &#8211; le probl\u00e8me est que l&#8217;adoption (en tout cas en France) de ce standard est tr\u00e8s faible &#8211; il y a peu de changements depuis 4 ans, quelques POC, mais pas de mise en production &#8211; en effet, le probl\u00e8me majeure est qu&#8217;il faut \u00e9crire une partie des applications &#8220;in house&#8221; pour b\u00e9n\u00e9ficier de XACML, il y a d\u00e9j\u00e0 peu d&#8217;entreprises qui font du profiling applicatif dans un annuaire LDAP, alors XACML&#8230;on imagine&#8230; Je suis retomb\u00e9 sur un article d&#8217;un consultant Forester qui date maintenant de 3 ans, voir: <a href=\"http:\/\/blogs.forrester.com\/andras_cser\/13-05-07-xacml_is_dead\">http:\/\/blogs.forrester.com\/andras_cser\/13-05-07-xacml_is_dead<\/a> &#8211; ce qui est amusant c&#8217;est que l&#8217;on pourrait avoir \u00e9crit l&#8217;article hier \ud83d\ude09 Les commentaires sont extr\u00eamement int\u00e9ressants \u00e9galement, un peu partisans, mais int\u00e9ressants !<\/p>\n<p>Donc que conseiller ? XACML or not XACML ? et bien je ne sais pas&#8230; Je pense que je conseillerais \u00e0 une entreprise (\u00e0 partir de 50 000 users) d&#8217;au moins faire un POC de la technologie, et de comparer avec le mode de profiling et de contr\u00f4le d&#8217;acc\u00e8s actuel. De plus, je pense que nous ne verrons jamais des plug-in applicatifs\u00a0&#8220;sur \u00e9tag\u00e8re&#8221; (ce qui est bien dommage&#8230;) genre un plug-in XACML pour SharePoint, pour SAP, pour Apache, etc&#8230; ce qui sous-entend que chaque entreprise devra \u00e9crire et maintenir le module XACML pour chaque application importante.<\/p>\n<p>Quels liens pour aller plus loin:<\/p>\n<p>https:\/\/en.wikipedia.org\/wiki\/XACML<\/p>\n<p>https:\/\/www.axiomatics.com\/ (pour moi le seul fournisseur XACML qui respectent vraiment les standards OASIS avec Oracle)<\/p>\n<p>https:\/\/www.oasis-open.org\/committees\/tc_home.php?wg_abbrev=xacml<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>&nbsp;<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[135,198,252],"class_list":["post-1507","post","type-post","status-publish","format-standard","hentry","category-strategie","tag-ldap","tag-rbac","tag-xacml"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1507","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=1507"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1507\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=1507"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=1507"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=1507"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}