[要約] RFC 7061は、XACML XMLメディアタイプの定義と使用方法に関するものであり、XACMLのデータ交換を容易にするための標準化を目的としています。
Independent Submission R. Sinnema
Request for Comments: 7061 E. Wilde
Category: Informational EMC Corporation
ISSN: 2070-1721 November 2013
eXtensible Access Control Markup Language (XACML) XML Media Type
eXtensible Access Control Markup Language(XACML)XMLメディアタイプ
Abstract
概要
This specification registers an XML-based media type for the eXtensible Access Control Markup Language (XACML).
この仕様は、eXtensible Access Control Markup Language(XACML)のXMLベースのメディアタイプを登録します。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。
This is a contribution to the RFC Series, independently of any other RFC stream. The RFC Editor has chosen to publish this document at its discretion and makes no statement about its value for implementation or deployment. Documents approved for publication by the RFC Editor are not a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
これは、他のRFCストリームとは無関係に、RFCシリーズへの貢献です。 RFCエディターは、このドキュメントを独自の裁量で公開することを選択し、実装または展開に対するその価値については何も述べていません。 RFC Editorによって公開が承認されたドキュメントは、どのレベルのインターネット標準の候補にもなりません。 RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7061.
このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7061で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2013 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2013 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. IANA Considerations . . . . . . . . . . . . . . . . . . . . . . 2
2.1. XACML Media Type application/xacml+xml . . . . . . . . . . 2
3. Security Considerations . . . . . . . . . . . . . . . . . . . . 5
4. Normative References . . . . . . . . . . . . . . . . . . . . . 5
Appendix A. Acknowledgements . . . . . . . . . . . . . . . . . . . 6
The eXtensible Access Control Markup Language (XACML) [XACML-3] defines an architecture and a language for access control (authorization). The language consists of requests, responses, and policies. Clients send a request to a server to query whether a given action should be allowed. The server evaluates the request against the available policies and returns a response. The policies implement the organization's access control requirements.
拡張アクセス制御マークアップ言語(XACML)[XACML-3]は、アクセス制御(承認)のアーキテクチャと言語を定義しています。言語は、要求、応答、およびポリシーで構成されています。クライアントはサーバーにリクエストを送信して、特定のアクションを許可するかどうかを問い合わせます。サーバーは、使用可能なポリシーに対して要求を評価し、応答を返します。ポリシーは、組織のアクセス制御要件を実装します。
This specification details the registry of an XML-based media type for the eXtensible Access Control Markup Language (XACML) that has been registered with the Internet Assigned Numbers Authority (IANA) following the "Media Type Specifications and Registration Procedures" [RFC6838]. The XACML media type represents an XACML request, response, or policy in the XML-based format defined by the core XACML specification [XACML-3].
この仕様では、「メディアタイプの仕様と登録手順」[RFC6838]に従ってInternet Assigned Numbers Authority(IANA)に登録されているeXtensible Access Control Markup Language(XACML)のXMLベースのメディアタイプのレジストリについて詳しく説明しています。 XACMLメディアタイプは、コアXACML仕様[XACML-3]で定義されたXMLベースの形式でXACMLリクエスト、レスポンス、またはポリシーを表します。
This specification details the registration of an XML-based media type for the eXtensible Access Control Markup Language (XACML).
この仕様では、eXtensible Access Control Markup Language(XACML)のXMLベースのメディアタイプの登録について詳しく説明しています。
Media Type Name: application
メディアタイプ名:アプリケーション
Subtype Name: xacml+xml
サブタイプ名:xacml + xml
Required Parameters: none
必須パラメーター:なし
Optional Parameters:
オプションのパラメーター:
charset: The charset parameter is the same as the charset parameter of application/xml [RFC3023], including the same default (see Section 3.2 of RFC 3023).
charset:charsetパラメータは、application / xml [RFC3023]のcharsetパラメータと同じであり、同じデフォルトを含みます(RFC 3023のセクション3.2を参照)。
version: The version parameter indicates the version of the XACML specification. It can be used for content negotiation when dealing with clients and servers that support multiple XACML versions. Its range is the range of published XACML versions. As of this writing, that is 1.0 [XACML-1], 1.1 [XACML-1.1], 2.0 [XACML-2], and 3.0 [XACML-3]. These and future version identifiers must follow the Organization for the Advancement of Structured Information Standards (OASIS) patterns for versions [OASIS-Version]. If this parameter is not specified by the client, the server is free to return any version it deems fit. If a client cannot or does not want to deal with that, it should explicitly specify a version.
version:versionパラメーターは、XACML仕様のバージョンを示します。複数のXACMLバージョンをサポートするクライアントとサーバーを扱うときのコンテンツネゴシエーションに使用できます。その範囲は、公開されているXACMLバージョンの範囲です。これを書いている時点では、1.0 [XACML-1]、1.1 [XACML-1.1]、2.0 [XACML-2]、3.0 [XACML-3]です。これらのおよび将来のバージョン識別子は、バージョン[OASIS-Version]の組織化情報標準化機構(OASIS)パターンに準拠する必要があります。このパラメーターがクライアントによって指定されていない場合、サーバーは、適切と見なされるバージョンを自由に返すことができます。クライアントがそれを処理できない、または処理したくない場合は、バージョンを明示的に指定する必要があります。
Encoding Considerations: Same as for application/xml [RFC3023].
エンコーディングに関する考慮事項:application / xml [RFC3023]と同じです。
Security Considerations:
セキュリティに関する考慮事項:
Per their specification, objects of type application/xacml+xml do not contain executable content. However, these objects are XML-based, and thus they have all of the general security considerations presented in Section 10 of RFC 3023 [RFC3023].
仕様によると、タイプapplication / xacml + xmlのオブジェクトには実行可能なコンテンツが含まれていません。ただし、これらのオブジェクトはXMLベースであるため、RFC 3023 [RFC3023]のセクション10に示されているすべての一般的なセキュリティ上の考慮事項があります。
XACML [XACML-3] contains information about whose integrity and authenticity is important -- identity provider and service provider public keys and endpoint addresses, for example. Sections 9.2.1 "Authentication" and 9.2.4 "Policy Integrity" in XACML [XACML-3] describe requirements and considerations for such authentication and integrity protection.
XACML [XACML-3]には、IDプロバイダーとサービスプロバイダーの公開キーとエンドポイントアドレスなど、整合性と信頼性が重要な情報が含まれています。 XACML [XACML-3]のセクション9.2.1「認証」および9.2.4「ポリシーの整合性」では、このような認証と整合性の保護の要件と考慮事項について説明しています。
To counter potential issues, the publisher may sign objects of type application/xacml+xml. Any such signature should be verified -- both as a valid signature and as being the signature of the publisher -- by the recipient of the data. The XACML v3.0 XML Digital Signature Profile [XACML-3-DSig] describes how to use XML-based digital signatures with XACML.
潜在的な問題に対処するために、パブリッシャーはタイプapplication / xacml + xmlのオブジェクトに署名する場合があります。そのような署名は、有効な署名としても、発行者の署名としても、データの受信者によって検証される必要があります。 XACML v3.0 XMLデジタル署名プロファイル[XACML-3-DSig]では、XACMLでXMLベースのデジタル署名を使用する方法について説明しています。
Additionally, various possible publication protocols, for example, HTTPS, offer means for ensuring the authenticity of the publishing party and for protecting the policy in transit.
さらに、HTTPSなどのさまざまな可能な公開プロトコルは、公開側の信頼性を保証し、転送中のポリシーを保護する手段を提供します。
Interoperability Considerations: Different versions of XACML use different XML namespace URIs:
相互運用性に関する考慮事項:XACMLの異なるバージョンは、異なるXML名前空間URIを使用します。
* 1.0 and 1.1 use the urn:oasis:names:tc:xacml:1.0:policy XML
namespace URI for policies and the
urn:oasis:names:tc:xacml:1.0:context XML namespace URI for
requests and responses
* 2.0 uses the urn:oasis:names:tc:xacml:2.0:policy XML namespace
URI for policies and the urn:oasis:names:tc:xacml:2.0:context
XML namespace URI for requests and responses
* 3.0 uses the urn:oasis:names:tc:xacml:3.0:core:schema:wd-17 XML
namespace URI for policies, requests, and responses
Signed XACML has a wrapping Security Assertion Markup Language (SAML) 2.0 assertion [SAML-2], which uses the urn:oasis:names:tc:SAML:2.0:assertion namespace URI. Interoperability with SAML is defined by the SAML 2.0 Profile of XACML [XACML-3-SAML] for all versions of XACML.
署名されたXACMLには、urn:oasis:names:tc:SAML:2.0:assertion名前空間URIを使用するラッピングSecurity Assertion Markup Language(SAML)2.0アサーション[SAML-2]があります。 SAMLとの相互運用性は、XACMLのすべてのバージョンのXACML [XACML-3-SAML]のSAML 2.0プロファイルによって定義されます。
Applications That Use This Media Type:
このメディアタイプを使用するアプリケーション:
Potentially, any application implementing or using XACML, as well as those applications implementing or using specifications based on XACML. In particular, applications using the Representational State Transfer (REST) Profile [XACML-REST] can benefit from this media type.
XACMLに基づく仕様を実装または使用しているアプリケーションだけでなく、XACMLを実装または使用しているすべてのアプリケーション。特に、Representational State Transfer(REST)プロファイル[XACML-REST]を使用するアプリケーションは、このメディアタイプの恩恵を受けることができます。
Magic Number(s):
マジックナンバー:
In general, this is the same as for application/xml [RFC3023]. In particular, the XML document element of the returned object will be one of xacml:Policy, xacml:PolicySet, context:Request, or context:Response. The xacml and context namespace prefixes bind to the respective namespace URIs for the various versions of XACML as follows:
一般に、これはapplication / xml [RFC3023]の場合と同じです。特に、返されるオブジェクトのXMLドキュメント要素は、xacml:Policy、xacml:PolicySet、context:Request、またはcontext:Responseのいずれかになります。 xacmlおよびcontext名前空間プレフィックスは、次のようにXACMLのさまざまなバージョンのそれぞれの名前空間URIにバインドします。
* 1.0 and 1.1: The xacml prefix maps to
urn:oasis:names:tc:xacml:1.0:policy; the context prefix maps to
urn:oasis:names:tc:xacml:1.0:context
* 2.0: The xacml prefix maps to
urn:oasis:names:tc:xacml:2.0:policy; the context prefix maps to
urn:oasis:names:tc:xacml:2.0:context
* 3.0: Both the xacml and context prefixes map to the namespace
URI urn:oasis:names:tc:xacml:3.0:core:schema:wd-17
For signed XACML [XACML-3-DSig], the XML document element is saml: Assertion, where the saml prefix maps to the SAML 2.0 namespace URI urn:oasis:names:tc:SAML:2.0:assertion [SAML-2].
署名付きXACML [XACML-3-DSig]の場合、XMLドキュメント要素はsaml:Assertionです。ここで、samlプレフィックスはSAML 2.0名前空間URI urn:oasis:names:tc:SAML:2.0:assertion [SAML-2]にマップされます。
File Extension(s): none
ファイル拡張子:なし
Macintosh File Type Code(s): none Person & Email Address to Contact for Further Information:
Macintoshファイルタイプコード:なし詳細については、連絡先の個人と電子メールアドレス:
This registration is made on behalf of the OASIS eXtensible Access Control Markup Language Technical Committee (XACMLTC). Please refer to the XACMLTC website for current information on committee chairperson(s) and their contact addresses: http://www.oasis-open.org/committees/xacml/. Committee members should submit comments and potential errors to the xacml@lists.oasis-open.org list. Others should submit them by filling out the web form located at http://www.oasis-open.org/ committees/comments/form.php?wg_abbrev=xacml.
この登録は、OASIS eXtensible Access Control Markup Language Technical Committee(XACMLTC)に代わって行われます。委員会委員長とその連絡先アドレスに関する最新情報については、XACMLTC Webサイトを参照してください:http://www.oasis-open.org/committees/xacml/。委員会のメンバーは、コメントと潜在的なエラーをxacml@lists.oasis-open.orgリストに送信する必要があります。他の人は、http://www.oasis-open.org/ Committees / comments / form.php?wg_abbrev = xacmlにあるWebフォームに記入して提出する必要があります。
Additionally, the XACML developer community email distribution list, xacml-dev@lists.oasis-open.org, may be employed to discuss usage of the application/xacml+xml MIME media type. The xacml-dev mailing list is publicly archived here: http://www.oasis-open.org/archives/xacml-dev/. To post to the xacml-dev mailing list, one must subscribe to it. To subscribe, visit the OASIS mailing list page at http://www.oasis-open.org/mlmanage/.
さらに、XACML開発者コミュニティの電子メール配布リストxacml-dev@lists.oasis-open.orgを使用して、application / xacml + xml MIMEメディアタイプの使用法について議論することもできます。 xacml-devメーリングリストは、http://www.oasis-open.org/archives/xacml-dev/で公開アーカイブされています。 xacml-devメーリングリストに投稿するには、購読する必要があります。購読するには、http://www.oasis-open.org/mlmanage/のOASISメーリングリストページにアクセスしてください。
Intended Usage: common
使用目的:一般
Author/Change Controller:
著者/変更コントローラー:
The XACML specification sets are a work product of the OASIS eXtensible Access Control Markup Language Technical Committee (XACMLTC). OASIS and the XACMLTC have change control over the XACML specification sets.
XACML仕様セットは、OASIS eXtensible Access Control Markup Language Technical Committee(XACMLTC)の成果物です。 OASISおよびXACMLTCは、XACML仕様セットを変更管理します。
The security considerations for this specification are described in Section 2.1 of the media type registration.
この仕様のセキュリティに関する考慮事項は、メディアタイプ登録のセクション2.1で説明されています。
[OASIS-Version] Organization for the Advancement of Structured Information Standards, "OASIS Naming Directives Version 1.3", December 2012, <http://docs.oasis-open.org/specGuidelines/ ndr/namingDirectives.html#Version>.
[OASIS-Version] Organization for the Advancement of Structured Information Standards、 "OASIS Naming Directives Version 1.3"、December 2012、<http://docs.oasis-open.org/specGuidelines/ ndr / namingDirectives.html#Version>。
[RFC3023] Murata, M., St. Laurent, S., and D. Kohn, "XML Media Types", RFC 3023, January 2001.
[RFC3023] Murata、M.、St。Laurent、S。、およびD. Kohn、「XML Media Types」、RFC 3023、2001年1月。
[RFC6838] Freed, N., Klensin, J., and T. Hansen, "Media Type Specifications and Registration Procedures", BCP 13, RFC 6838, January 2013.
[RFC6838] Freed、N.、Klensin、J。、およびT. Hansen、「メディアタイプの仕様と登録手順」、BCP 13、RFC 6838、2013年1月。
[SAML-2] Organization for the Advancement of Structured Information Standards, "Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0", OASIS Standard, March 2005, <http://docs.oasis-open.org/ security/saml/v2.0/saml-core-2.0-os.pdf>.
[SAML-2]構造化情報標準の進歩のための組織、「OASISセキュリティアサーションマークアップ言語(SAML)V2.0のアサーションとプロトコル」、OASIS標準、2005年3月、<http://docs.oasis-open。 org / security / saml / v2.0 / saml-core-2.0-os.pdf>。
[XACML-1] Organization for the Advancement of Structured Information Standards, "eXtensible Access Control Markup Language (XACML) Version 1.0", OASIS Standard, February 2003, <http://www.oasis-open.org/committees/download.php/2406/ oasis-xacml-1.0.pdf>.
[XACML-1] Organization for the Advancement of Structured Information Standards、「eXtensible Access Control Markup Language(XACML)Version 1.0」、OASIS Standard、2003年2月、<http://www.oasis-open.org/committees/download。 php / 2406 / oasis-xacml-1.0.pdf>。
[XACML-1.1] Organization for the Advancement of Structured Information Standards, "eXtensible Access Control Markup Language (XACML) Version 1.1", OASIS Committee Specification, August 2003, <http://www.oasis-open.org/committees/xacml/ repository/cs-xacml-specification-1.1.pdf>.
[XACML-1.1] Structured of the Advancement of Structured Information Standards、「eXtensible Access Control Markup Language(XACML)Version 1.1」、OASIS Committee Specification、2003年8月、<http://www.oasis-open.org/committees/xacml / repository / cs-xacml-specification-1.1.pdf>。
[XACML-2] Organization for the Advancement of Structured Information Standards, "eXtensible Access Control Markup Language (XACML) Version 2.0", OASIS Standard, February 2005, <http://docs.oasis-open.org/xacml/2.0/ access_control-xacml-2.0-core-spec-os.pdf>.
[XACML-2] Structured of the Advancement of Structured Information Standards、「eXtensible Access Control Markup Language(XACML)Version 2.0」、OASIS Standard、2005年2月、<http://docs.oasis-open.org/xacml/2.0/ access_control-xacml-2.0-core-spec-os.pdf>。
[XACML-3] Organization for the Advancement of Structured Information Standards, "eXtensible Access Control Markup Language (XACML) Version 3.0", OASIS Standard, January 2013, <http://docs.oasis-open.org/xacml/3.0/ xacml-3.0-core-spec-os-en.pdf>.
[XACML-3] Structured of the Advancement of Structured Information Standards、「eXtensible Access Control Markup Language(XACML)Version 3.0」、OASIS Standard、2013年1月、<http://docs.oasis-open.org/xacml/3.0/ xacml-3.0-core-spec-os-en.pdf>。
[XACML-3-DSig] Organization for the Advancement of Structured Information Standards, "XACML v3.0 XML Digital Signature Profile Version 1.0", OASIS Committee Specification 01, August 2010, <http://docs.oasis-open.org/xacml/3.0/ xacml-3.0-dsig-v1-spec-cs-01-en.pdf>.
[XACML-3-DSig] Structured of the Advancement of Structured Information Standards、「XACML v3.0 XML Digital Signature Profile Version 1.0」、OASIS Committee Specification 01、2010年8月、<http://docs.oasis-open.org/ xacml / 3.0 / xacml-3.0-dsig-v1-spec-cs-01-en.pdf>。
[XACML-3-SAML] Organization for the Advancement of Structured Information Standards, "SAML 2.0 Profile of XACML, Version 2.0", OASIS Committee Specification 01, August 2010, <http://docs.oasis-open.org/xacml/3.0/ xacml-profile-saml2.0-v2-spec-cs-01-en.pdf>.
[XACML-3-SAML] Organization for the Advancement of Structured Information Standards、 "SAML 2.0 Profile of XACML、Version 2.0"、OASIS Committee Specification 01、August 2010、<http://docs.oasis-open.org/xacml/ 3.0 / xacml-profile-saml2.0-v2-spec-cs-01-en.pdf>。
[XACML-REST] Organization for the Advancement of Structured Information Standards, "REST Profile of XACML v3.0 Version 1.0", OASIS Committee Specification 01, April 2013, <http://docs.oasis-open.org/xacml/xacml-rest/v1.0/ xacml-rest-v1.0.pdf>.
[XACML-REST] Organization for the Advancement of Structured Information Standards、 "REST Profile of XACML v3.0 Version 1.0"、OASIS Committee Specification 01、April 2013、<http://docs.oasis-open.org/xacml/xacml -rest / v1.0 / xacml-rest-v1.0.pdf>。
The following individuals have participated in the creation of this specification and are gratefully acknowledged: Oscar Koeroo (Nikhef), Erik Rissanen (Axiomatics), and Jonathan Robie (EMC).
次の個人がこの仕様の作成に参加し、感謝されています:オスカーケルー(ニケフ)、エリックリッサネン(公理)、およびジョナサンロビー(EMC)。
Authors' Addresses
著者のアドレス
Remon Sinnema EMC Corporation
れもん しんえま えMC こrぽらちおん
EMail: remon.sinnema@emc.com
URI: http://securesoftwaredev.com/
Erik Wilde EMC Corporation 6801 Koll Center Parkway Pleasanton, CA 94566 USA
Erik Wilde EMC Corporation 6801 Koll Center Parkway Pleasanton、CA 94566 USA
Phone: +1-925-600-6244
EMail: erik.wilde@emc.com
URI: http://dret.net/netdret/