Haftungsausschluss: Ich bin ein Entwickler für IBM und arbeite an unserem Produkt, das XACML ausgiebig verwendet (Tivoli Security Policy Manager). Ich bin etwas voreingenommen gegenüber XACML.
Ich denke, XACML ist eine großartige Alternative, vor allem weil es fast jedes Sicherheitsmodell unterstützt. Ich würde vorschlagen, Ihre vorhandene RBAC-Lösung in XACML zu modellieren (siehe the profile) und sie dann zu erweitern, um feinere Zugriffssteuerung zu berücksichtigen, wenn Ihre geschäftlichen Anforderungen dies erfordern.
Die Externalisierung Ihres Autorisierungscodes in die Richtlinie hat den zusätzlichen Vorteil, dass Sie das Sicherheitsmodell Ihrer Anwendung ändern können, ohne es neu zu kompilieren.
Gibt es exisitng Anwendungen, die auf XACML von einer RBAC Herkunft eingeschaltet haben?
Leider bin ich nicht bekannt, dass bestimmte Beispiele, zumindest diejenigen, die ich über öffentlich sprechen kann. Es gibt ein internes IBM-Projekt, das einen Monat für die Implementierung des Autorisierungsmoduls zugewiesen hat, aber es wurde in einer Woche erledigt, indem es mithilfe unserer XACML-Implementierung externalisiert wurde. Dies unterscheidet sich offensichtlich von Ihrem Beispiel, da es sich um ein Entwicklungsprojekt für "grüne Felder" handelte, hebt jedoch hervor, dass der von Ihnen erwogene allgemeine Ansatz von Vorteil ist.
Danke für die Hinweise! – spa