-示例 XACML 實現
基於風險和基於屬性的存取控制是授權機制，而不是存取控制策略語言。SAML 是一種用於身份驗證的語言，而不是用於授權的語言。XACML 是一種表達安全策略的通用語言，支持授權機制、基於屬性的存取控制。
XACML 代表“可擴展存取控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的存取控制 策略語言、架構和處理模型，描述瞭如何根據策略中定義的規則評估存取請求。
資料來源：維基百科

-SAML 斷言

零信任

-核心零信任邏輯組件（來源：NIST SP 800-207）
授權決策由零信任架構中的策略決策點 (PDP)的策略引擎做出。策略引擎使用的信任算法 (TA)使用多個輸入源，根據包含主體、客體和環境屬性的細粒度標准或分數做出授權決策。
系統必須確保主體是真實的並且請求是有效的。PDP/PEP 通過適當的判斷來允許主體存取資源。這意味著零信任適用於兩個基本領域：身份驗證和授權。
對於這個獨特的請求，主體身份的置信度是多少？
考慮到對主體身份的置信度，是否允許存取資源？
用於請求的設備是否具有正確的安全狀態？
是否有其他因素需要考慮並改變置信水平（例如，時間、對象的位置、對象的安全態勢）？
總體而言，企業需要為資源存取開發和維護基於風險的動態策略，並建立一個系統以確保這些策略針對單個資源存取請求正確且一致地執行。這意味著企業不應該依賴隱含的可信度，其中如果主體滿足基本認證級別（例如，登錄到資產），則假定所有後續資源請求同樣有效。
來源：NIST SP 800-207

參考
. 安全斷言標記語言
. 可擴展存取控制標記語言 (XACML)
. 基於風險的網絡安全方法
. 風險自適應存取控制 (RAdAC)
. 基於風險的存取控制模型 – MDPI

資料來源： Wentz Wu QOTD-20210828
My Blog: https://choson.lifenet.com.tw/