关于访问控制服务

Predix平台为应用程序开发人员提供访问控制服务（ACS），从而可以在访问网页应用程序和服务时使用粒度级授权机制而无需在其代 码中添加复杂的授权逻辑。ACS在Predix中与用户账号和授权（UAA）一起使用。

注：在您的空间中可以创建的ACS实例的最大数量为200。
访问控制服务提供以下优点：

作为策略和属性维护访问-决策数据的能力。

使用服务的多个客户端的独特安全性，因为ACS服务是租户感知型的。

支持细粒度授权策略。

ACS部署架构
下图显示了如何在Predix中部署ACS服务。


在这个流程中：

一名管理员使用ACS设置策略和用户权限。
一名应用程序用户使用浏览器请求数据。
网页应用程序将授权请求发送至UAA。如果已在UAA中设置该用户，授权请求批准，用户获得授权，令牌签发给网页应用程序。如果 数据请求已经包含了有效的令牌，无需执行这一步。
网页应用程序将数据请求和JWT令牌传递给网页服务。
网页服务根据策略评估使用ACS REST API为用户授权。
一旦用户获得授权，数据即返回网页应用程序。
访问控制服务架构
访问控制服务包括以下主要服务：

策略管理服务为应用程序策略提供CRUD操作。

属性管理服务为用户和资源属性提供CRUD操作。

策略评估服务处理OAuth客户端的策略评估（例如，访问控制）请求。

下图显示了访问控制服务架构。


策略管理服务
策略管理服务允许您（拥有所需权限）创建、读取、更新和删除访问控制策略。安全策略包括一套确定特定主题和资源所需许可的规则。规则可 以考虑用户属性、用户想要完成的操作、资源URL以及进一步描述资源的所有资源属性。

属性管理服务
属性管理服务允许您为用户和资源创建属性。属性是用户或资源的特性，可用于作出访问控制决策。属性根据发布者，即主张该属性的实体，以 及描述该属性的名称进行识别。用户和资源属性的某些示例包括资源所属的组织、网站和小组。属性与访问控制策略一起用于用户授权。

策略评估服务
策略评估服务是一项内部ACS服务，用于根据授权的网页服务请求对策略进行评估。网页服务请求被发送至策略评估服务，然后该服务根据策 略和定义的属性对请求进行评估并返回一个准许请求或拒绝请求的决定。

来自网页服务的请求包括以下内容：

资源信息：请求的相对URI路径。

主题信息：策略评估服务从OAuth2令牌中提取该信息，用于通过网页服务进行授权。

操作信息：用于请求的HTTP方法。