#abac — Public Fediverse posts

Почему RBAC недостаточно: опыт построения тарифно-зависимой системы доступа в SaaS или о чём молчат в статьях компаний

Тема разграничения доступности действий в рамках конкретного тенанта выходит далеко за рамки ERP домена и требует особо пристальной реализации. Это особенно применимо для коммерческих систем (коей и является Kroncl - название системы), в которых классический RBAC требует определённых доработок, включающих адаптацию к упрощённой features-based access control (в народе - FBAC, является своего рода реализацией ABAC). Кроме того, технологические компании крайне редко (уникальные случаи всё же есть) посвящают публичные статьи внутреннему устройству своих систем тарификации, что крайне печально, ведь это буквально могли быть рассказы о том, как архитектурные решения напрямую влияют на маркетинг и как следствие доходность компании. Как же строить системы определения доступа не вокруг конкретных действий, а экономической модели платформы? Как легко переусложнить то, что переусложнять априори не стоит? Где заканчивается гибкость и начинается ад поддержки?

https://habr.com/ru/articles/1028298/

#go #архитектура #rbac #abac #тарификация #php #доступы #saas #erp #crm

RBACX — что изменилось за полгода: от простого RBAC/ABAC до ReBAC с ИИ-генерацией политик

Полгода назад написал первую статью про RBACX — RBAC/ABAC-движок авторизации для Python. С тех пор вышло 25+ релизов, и библиотека стала заметно мощнее: добавил ReBAC с поддержкой OpenFGA и SpiceDB, пакетную проверку прав, ИИ-генерацию политик из OpenAPI-схемы, Redis-кэш, async Django, шортхэнд для ролей и закрыл три security-бага. Рассказываю что, зачем и как это вообще делается в одного.

https://habr.com/ru/articles/1019690/

#python #rbacx #rbac #abac #pdp #security #REBAC #authorization

All Boxes Are Comfy

#ABAC #caturday #caturdayeveryday

Authorization без middleware: как я завернул Casbin в декораторы для FastAPI

Когда в FastAPI-проекте появляется нормальная авторизация, код быстро начинает расползаться в стороны. Сначала все выглядит терпимо: один Depends(get_current_user) , один Depends(get_enforcer) , одна ручная проверка. Потом роутов становится больше, правил доступа становится больше, и внезапно половина endpoint’ов начинает содержать не бизнес-логику, а обвязку вокруг нее. В какой-то момент меня перестал устраивать и классический подход через dependency injection в каждом роуте, и вариант с middleware. Хотелось, чтобы правило доступа было видно прямо рядом с маршрутом, но при этом не приходилось таскать авторизацию в сигнатуры всех функций. В итоге я собрал casbin-fastapi-decorator — тонкий слой над Casbin для FastAPI, который позволяет описывать authorization через декораторы. Идея простая:

https://habr.com/ru/articles/1018670/

#FastAPI #Python #Casbin #авторизация #rbac #abac #декораторы #api #open_source

Продвинутый RBAC: роли, статусы, теги без боли и страданий

Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

https://habr.com/ru/articles/1017810/

#jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

Продвинутый RBAC: роли, статусы, теги без боли и страданий

Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

https://habr.com/ru/articles/1017810/

#jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

Продвинутый RBAC: роли, статусы, теги без боли и страданий

Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

https://habr.com/ru/articles/1017810/

#jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

Продвинутый RBAC: роли, статусы, теги без боли и страданий

Сегодня детально расскажу про сердце JMatrixPlatform - статусно-ролевой доступ к данным. Э то основа платформы, доступная сразу "из коробки", которая реализует продвинутый RBAC с привязкой прав к статусам объектов. Вы не найдёте в общем доступе внятного и современного описания такой методологии, тем более с примерами реализации "из коробки", а это означает, что сегодня очередной эпизод погружения в Области тьмы ИТ , куда не заглядывают модные фреймворки.

https://habr.com/ru/articles/1017810/

#jmatrixplatform #управление_доступом_к_данным #управление_доступом #rbac #статусноролевая_модель #abac #жизненный_цикл_объекта #keycloak #plm #импортозамещение

STAC — знакомство: Браузеры, API и управление доступом к пространственным данным (часть 3)

В первых двух статьях мы разобрали основы спецификации STAC (SpatioTemporal Asset Catalog), её объектную модель и философию, превращающую разрозненные архивы геоданных в единую, машиночитаемую «библиотеку». Мы увидели, как STAC описывает каталоги (catalog), коллекции (collection), элементы (item) и их ресурсы (assets), создавая универсальный язык для работы с геопространственной информацией. В комментариях были затронуты две темы, которые просили рассмотреть в новых статьях — семантическая паутина и универсальные браузеры, которые требуют постепенного перехода от теории к практике. Действительно, какая польза от идеально структурированного каталога, если с ним неудобно или невозможно работать? Поэтому, прежде чем углубиться в онтологии, мы рассмотрим инструменты взаимодействия с STAC. Эта статья посвящена клиентской стороне экосистемы — STAC-браузерам, а также ключевому аспекту их работы в корпоративной среде — безопасному доступу к данным через STAC-API. Мы разберём, как устроен универсальный браузер, и представим нашу реализацию стека STAC-сервера с распределённой системой управления доступом IAM (Identity and Access Management), где каждый запрос, от просмотра метаданных до скачивания тайла, проходит через цепочку авторизации.

https://habr.com/ru/articles/1009110/

#STAC #GeoJSON #item #catalog #collection #GeoTIFF #assets #IAM #ABAC #RBAC

We've had #acab regarding police for some time. I would like to propose a new, slightly different one for billionaires, especially those moaning about how hard the world is on them:

#abac standing for all billionaires are [pick the word beginning with c that you are most comfortable with; depending on who I'm speaking with, this might be clown, cad, the swear word, or something else]
https://aus.social/@feather1952/115602463876046024

RBACX — универсальный RBAC/ABAC-движок авторизации для Python

RBACX — авторизация без боли в Python-проектах Когда доступ «размазан» по вьюхам и миддлварам, ревью и тесты превращаются в квест - появляется мотивация все это унифицировать. Я написал RBACX — лёгкий движок, где правила описываются декларативно (JSON/YAML), а проверка прав — это один понятный вызов. В статье показываю, как собрать из него аккуратный PDP для микросервисов и монолитов. Я последние два года пишу бэкенд в стартапе MindUp — это мой первый пост на Хабре, и первая библиотека. Буду рад вопросам и критике. Если тема авторизации болит так же, как у меня, загляните!

https://habr.com/ru/articles/950080/

#python #rbacx #RBAC #ABAC #fastapi #authorization #django #flask #litestar #accesscontrol

ABAC в микросервисах: сложная матрешка прав, простой API и никакой потери производительности

Внедрение атрибутивной модели доступа (ABAC) в крупной корпоративной системе на микросервисах — это всегда испытание для архитекторов, разработчиков и бизнес-аналитиков. ABAC — одна из самых сложных областей IAM (Identity and Access Management) в корпоративных платформах, и даже простая модель может сломать мозг и пользователям, и инженерам. Рассказываю, как я реализовал масштабируемую систему с миллионами сущностей без потери производительности и сохранили простоту API для конечного разработчика.

https://habr.com/ru/articles/925612/

#abac #rbac #enterprise #права_доступа #архитектура #архитектура_системы

[アップデート] Amazon Verified Permissions のポリシーストアがタグ機能をサポートしたので ABAC を試してみた
https://dev.classmethod.jp/articles/verified-permissions-policy-store-tagging-abac/

#dev_classmethod #Amazon_Verified_Permissions #ABAC #AWS

I'm not wild about the "Year of" trope, but I think we can go ahead and call this the Year of Agentic AI. I've rarely seen one topic so thoroughly absorb the entire industry's attention.

#Cybersecurity often follows the initial hype around the latest shiny object. Still, some IT pros and vendors are considering what #agenticAI means for security, particularly in identity and access management.

In this feature that was months in the making, experts from academic, vendor, and enterprise backgrounds weighed in.

#AIagents #IAM #identityandaccessmanagement #SecOps #ITOps #identitysecurity #PAM #abac #accesscontrols #AI #GenAI #LLMs

https://www.techtarget.com/searchitoperations/news/366622025/AI-agents-raise-stakes-in-identity-and-access-management

GitHub's latest buzzword soup—'Gatehouse'—mixes #RBAC, #ABAC, and #ReBAC into a Rusty casserole of confusion 🍲🔧. Promising async-friendly code like a vitamin commercial promises eternal youth, but only time will tell if it’s a miracle or just another overhyped tech smoothie 🥤🤖.
https://github.com/thepartly/gatehouse #GitHub #Gatehouse #Rust #HackerNews #ngated

Декларативная платформа управления доступом: от ролей к динамическим политикам

Зачем нужна авторизация, какие проблемы она решает и в каких ситуациях будет полезна? Рассмотрим модели организации контроля доступа и способы их реализации. Привет, Хабр! Меня зовут Олег Козырев. Senior Golang инженер в BigTech-компании, ментор и блогер. Обучаю людей backend-разработке и консультирую по вопросам IT. А главным героем этой статьи по мотивам моего доклада для GolangConf будет мой кот. Он проведёт нас по тернистому пути создания платформы контроля доступами.

https://habr.com/ru/companies/oleg-bunin/articles/875720/

#идентификация #аутентификация #авторизация #golang #rbac #abac #права_доступа #acl #rego #dsl

[レポート] Netflixの大規模なマルチアカウントの旅：2年目 #AWSReInvent #NFX402
https://dev.classmethod.jp/articles/awsreinvent24-report-nfx402/

#dev_classmethod #AWS #マルチアカウント戦略 #ABAC

Как масштабировать права в проекте и продуктах без боли

Всем привет! Меня зовут Константин, я инженер-программист в Контуре. Пару лет назад мне довелось поработать над задачей разделения прав доступа в проекте Реестро (7 продуктов, более 100 микросервисов). Расскажу о том, как мы подходили к моделированию авторизации на этапе стартапа и какие процессы авторизации использовали. Затрону проблемы и потребности наших продуктов, которые привели к рождению нового подхода к управлению правами доступа. Опишу, как анализировал различные решения для проверки прав доступа, и завершу тем, какое решение у нас получилось, а также как мы решили проблемы, связанные с ростом количества сценариев и расширения в ширину.

https://habr.com/ru/companies/skbkontur/articles/855628/

#kotlin #abac #rbac #права_доступа #права_пользователя

Разбираем магических зверей безопасности: AuthZ: abac/rbac, AuthN и 2FA

Вы знаете, что меня действительно выбивает из колеи забавит? Даже люди, которые давно работают в IT, путают аутентификацию и авторизацию. На пару проектах я столкнулся с тем, что некоторые ребята, которые работают в индустрии годами, не видят разницы между этими двумя понятиями. И это не просто “я офигеваю” озадачивает – это может быть опасно для безопасности систем, так как из за ложного определения мысли производят совсем не однозначные выводы. Ну так гоу погружаться в этот мир деталей!

https://habr.com/ru/articles/821587/

#аутентификация #авторизация #ролевая_модель #rbac #abac

What is #GoogleZanzibar?

https://www.permit.io/blog/what-is-google-zanzibar

#permissions #RBAC #ABAC

Разработка и применение систем разграничения доступа на базе атрибутов

Привет! Меня зовут Михаил, в Positive Technologies я руковожу бэкенд-разработкой метапродукта MaxPatrol O2. В этой статье я расскажу, зачем нам в компании понадобилось разграничение доступа на основе атрибутов. Его еще называют ABAC (attribute-based access control). Рассмотрим, чем ABAC отличается от других способов разграничения доступа, как это реализуется и что мы в итоге сделали у себя. Читать

https://habr.com/ru/companies/pt/articles/791992/

#net #abac #xacml #rbac #разграничение_доступа #авторизация #policy #система_контроля_доступа #alfa

@openlink Architecture diagram for the generic core of the #DataTwingler Service used by the OpenLink Personal Assistant (#OPAL) or @OpenAI provided interfaces to #ChatGPT.

In both cases, loosely-coupled query services are invoked in response to natural language prompts.

#SQL #SPARQL #GraphQL #SPASQL #RAG #AI #ABAC #KnowledgeGraph #SemanticWeb #LODCloud #SmartAgent #PersonalAssistant

Какую модель информационной безопасности выбрать?

Разграничение доступа к ресурсам системы - это важная часть информационной безопасности и управления доступом в компьютерных системах. Эта курсовая работа рассматривает методы и принципы разграничения доступа на уровне ресурсов и на уровне пользователей. Изучим различные аспекты этой проблемы, включая аутентификацию, авторизацию, политики безопасности, механизмы контроля доступа и применение этих методов в практических сценариях. Актуальность данной темы обусловлена тем, что в корпоративных структурах всегда существует высокий риск утечки данных. Внутренние инциденты особенно часто происходят из-за сумбурности в вопросах доступа. В частности, риск повышается, если у сотрудников есть избыточные права. Поэтому необходимо разграничивать доступ.

https://habr.com/ru/articles/781096/

#MAC #DAC #ABAC #rbac

#Screencast demonstrating the power of hyperlinks as tools for self-sovereign identity, featuring usage of the RelAuthMe authentication protocol in our #VirtuosoRDBMS atop #OAuth Identity Provider (IdP) services provided by #Mastodon and #GitHub.

https://youtu.be/9nHoRLVIGQg

#RelAuthMe #OAuth #Identity #Authenticity #SSI #Privacy #NetID #YouID #WebID #ABAC

The Virtuoso Multi-Protocol Authentication Layer (VAL) now includes support for the #RelAuthMe authentication protocol.

Benefit?
Link In Bio style profile doc integration with fine-grained acls that protect both #SQL- and #SPARQL-accessible data in a #VirtuosoRDBMS instance.

#SSI #Privacy #LinkedData #Identity #ABAC

@reiver How do you explain http://kingsley.idehen.net/DAV/home/kidehen/Public/Linked%20Data%20Documents/Playground/gptChat/#this then?

That's an #HTTP-based filesytem (built circa 2000, and still running) that also supports #WebDAV and the more recent #LDP protocol.

I can perform operations recursively just as I would a #Unix, #Linux, #macOS, or #Windows filesystem. It also includes both Role-Based Access Controls (#RBAC) and the more powerful fine-grained Attribute-Based Access Controls (#ABAC) 😀

#ODSBriefcase #DataSpaces #SemanticWeb #Web30

@jrefior RBAC is easier for most organisations yet there's quickly the risk of role combinatorial explosion and then it falls short.

ABAC is interesting when data quality is *really* understood as a key prerequisite and actually correctly measured and enforced.

#rbac #abac

So what do you think, role-based access control or attribute-based access control?
#RBAC #ABAC

@aswath ,

If what I am demonstrating was based solely on #OpenIDConnect + #OAuth20 then we might be close to your characterization, but if you look closer you will see there are other protocol options including #NetIDTLS (labeled as #WebIDTLS), pure #TLS, Digest Authentication etc..

All ultimately providing unambiguous user #identity, post authentication that’s usable for #ABAC based ACL tests —in loosely-coupled fashion.

/cc @atomicpoet @datasniff @judell @Mastodon

@meneer,

To be clear, I am a firm believer in loosely-coupling the following:

1. #Identity -- via identifiers (e.g., a #hyperlink)
2. #Identification -- via credentials (graph)
3. #authentication -- using various protocols
4. #authorization -- access controls (eg #ABAC)
5. #storage -- file systems or #DBMS

When I speak about #DPKI and #ZeroTrust the focal points are 1-3.

#HTTP offers abstraction atop the #Internet that deemphasizes #DNS re entity naming.

/cc @bertrand @aniltj @w3c