Ga naar inhoud
labs.kadaster.nl | federatief.datastelsel.nl

Autorisatie ontologie alternatieven

Er zijn andere initiatieven die een alternatief voor een nieuwe Autorisatie Ontologie zijn.

Authorisation Ontology

link: oplevering#autorisatie-ontologie

status: inception

Dit is een nieuwe ontology die in dit Lock-Unlock project tot stand is gekomen in eerste vorm. Deze is gebaseerd op de terminologie van XACML. Dit is een vrij oude en nog steeds actuele standaard voor toegang. Het doel is om policies ook als data te beschouwen, te kunnen gebruiken, bevragen en mét de data te publiceren. Data en hun policies zijn daarmee geen losstaande zaken meer, maar twee bij elkaar horende onderdelen.

Zoals in de conclusies en aanbevelingen al is aangegeven, zou het mooiste resultaat een heuse wereld standaard ontologie zijn ... maar zijn nog wel 'een paar' stappen voor nodig.

ODRL

link: ODRL Information Model 2.2 | ODRL Vocabulary & Expression 2.2

status: Recommendation v2.2 (15 February 2018)

ODRL staat voor de Open Digital Rights Language en zou wellicht ook gebruikt kunnen worden als Authorisation Ontology. Het is echter veel breder ingestoken om digitale rechten te declareren. Toegang ... is daar onderdeel van of een afgeleiden van? Dit is niet zo eenvoudig te vergelijken.

The Open Digital Rights Language (ODRL) is a policy expression language that provides a flexible and interoperable information model, vocabulary, and encoding mechanisms for representing statements about the usage of content and services. The ODRL Vocabulary and Expression describes the terms used in ODRL policies and how to encode them.

Het lijkt erop dat hier actief aan gewerkt is en dat er behoorlijke evolutie is geweest (zie history), gezien het versienummer 2.2. Tegelijk is de W3C Permissions and Obligations Expression Working Group closed. Het is moeilijk te vinden waar deze standaard precies wordt toegepast en welke vendors deze ondersteunen.

Open Policy Agent

link: www.openpolicyagent.org

status: v0.62.1 with multiple implementations

De Open Policy Agent is een standaardisatie voor policies welke gericht is op REST API's. Het is niet duidelijk terug te vinden, maar het lijkt erop dat ook deze standaard gebruik heeft gemaakt van terminologie van XACML. Daarnaast is er ook inspiratie opgedaan vanuit Role Based Access Control (RBAC) en andere toegangsmechanismen.

De filosofie is dat policies ontkoppeld worden van de software (engines) die deze policies afdwingen / toepassen. Deze policies dienen ook door mensen gelezen, geschreven en geananlyseerd te kunnen worden. De policies worden naast de (API) service beheerd en dus ook los van de data.

XACML

OASIS Committee XACML, the eXtensible Access Control Markup Language; een taal voor het uitdrukken van regels voor toegangsverlening. Deze regels zijn technologie onafhankelijk en gescheiden van de gegevens waarop ze betrekking hebben. De taal ondersteunt Attribute Based Access Control (ABAC).

XACML Architectuur

Zie ook Artikel Java Magazine mei 2011

Vergelijking

ODRL is een vergelijkbare oplossingsrichting als de Authorisation Ontology van het Lock-Unlock project. Het is echter veel breder ingestoken dan alleen toegang. Het is zelfs de vraag of toegang wel voldoende uit te drukken is in ODRL. Daarnaast lijkt de ontwikkeling en toepassing van deze standaard stil te liggen.

De Open Policy Agent steekt in op de huidige standaard API's: REST API's. De strekking is juist om naast de beveiligde data policies te kunnen beschrijven en beheren. Dat is een tegengestelde oplossing dan Lock-Unlock tracht te bereiken met de Authorisation Ontology.