<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    I need to bring this up again.  Are there any impediments to
    securing<br>
    Timo completely using PicketLink 2.5beta4 (soon)?<br>
    <div class="moz-forward-container"><br>
      <br>
      -------- Original Message --------
      <table class="moz-email-headers-table" border="0" cellpadding="0"
        cellspacing="0">
        <tbody>
          <tr>
            <th nowrap="nowrap" valign="BASELINE" align="RIGHT">Subject:
            </th>
            <td>Re: [security-dev] Authorization constructs in
              PicketLink3</td>
          </tr>
          <tr>
            <th nowrap="nowrap" valign="BASELINE" align="RIGHT">Date: </th>
            <td>Wed, 08 May 2013 08:26:54 +1000</td>
          </tr>
          <tr>
            <th nowrap="nowrap" valign="BASELINE" align="RIGHT">From: </th>
            <td>Shane Bryzak <a class="moz-txt-link-rfc2396E" href="mailto:sbryzak@redhat.com">&lt;sbryzak@redhat.com&gt;</a></td>
          </tr>
          <tr>
            <th nowrap="nowrap" valign="BASELINE" align="RIGHT">To: </th>
            <td><a class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a></td>
          </tr>
        </tbody>
      </table>
      <br>
      <br>
      <pre>+1, and we already support this pluggability via the permission resolver 
API.

On 08/05/13 08:23, Anil Saldhana wrote:
&gt; Also I feel we should provide pluggable means for:
&gt; a) IDM based permission model (Shane)
&gt; b) Drools based Rules Open Ended Authorization
&gt; c) XACML based Open Ended Authorization (Anil)
&gt;
&gt;
&gt; On 05/07/2013 04:30 PM, Anil Saldhana wrote:
&gt;&gt; I am supportive of your ideas, Pedro.
&gt;&gt;
&gt;&gt; Unlike authentication, we need to remember that authorization is
&gt;&gt; pretty domain specific. There is no magic bullet for
&gt;&gt; rules/permissions. Ideally, as discussed before we should provide the
&gt;&gt; opportunity to plug in custom authorization schemes.
&gt;&gt;
&gt;&gt; On 05/07/2013 03:12 PM, Pedro Igor Silva wrote:
&gt;&gt;&gt; As I have replied before, maybe the same arguments used to put the
&gt;&gt;&gt; DIGEST/BASIC authc filter into picketlink-api are also valid for the
&gt;&gt;&gt; this filter.
&gt;&gt;&gt;
&gt;&gt;&gt; We also need to think how the configuration would be, because we need
&gt;&gt;&gt; to provide to the filter the URI patterns vs Roles mapping.
&gt;&gt;&gt;
&gt;&gt;&gt; As @pmuir said, the web.xml init-params should be avoided. As an
&gt;&gt;&gt; alternative, we can:
&gt;&gt;&gt;
&gt;&gt;&gt;       - Provide a class like javax.ws.rs.core.Application where users
&gt;&gt;&gt; can override some methods to provide additional security config (we
&gt;&gt;&gt; can use that not only for authorization)
&gt;&gt;&gt;       - Use a @Producer method to return a specific instance with the
&gt;&gt;&gt; authz configuration.
&gt;&gt;&gt;       - Use a @Qualifier (or only some interface) in order to be able
&gt;&gt;&gt; to inject a specific bean that implements an interface with some
&gt;&gt;&gt; methods that can be used to obtain the configuration.
&gt;&gt;&gt;
&gt;&gt;&gt; Makes sense ?
&gt;&gt;&gt;
&gt;&gt;&gt; ----- Original Message -----
&gt;&gt;&gt; From: "Anil Saldhana" <a class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a>
&gt;&gt;&gt; To: <a class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
&gt;&gt;&gt; Sent: Tuesday, May 7, 2013 4:40:50 PM
&gt;&gt;&gt; Subject: Re: [security-dev] Authorization constructs in PicketLink3
&gt;&gt;&gt;
&gt;&gt;&gt; Any objections to adding the access control filters to the core module?
&gt;&gt;&gt;
&gt;&gt;&gt; On 05/02/2013 11:38 AM, Anil Saldhana wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt; That is fine.  Timo should be secured with PicketLink Core alone. Right
&gt;&gt;&gt; now, authz classes are the missing bits.
&gt;&gt;&gt;
&gt;&gt;&gt; On 05/02/2013 10:56 AM, Pedro Igor Silva wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt;&gt; I remember Shane saying that he is going to take a look at the
&gt;&gt;&gt;&gt; permissions api, mainly after the latest changes to the idm/core
&gt;&gt;&gt;&gt; apis. &gt; &gt; I can start looking at that too, if necessary. Maybe
&gt;&gt;&gt;&gt; providing some test cases to see the gaps (also provide some tests
&gt;&gt;&gt;&gt; for the authentication stuff). &gt; &gt; ----- Original Message ----- &gt;
&gt;&gt;&gt;&gt; From: "Anil Saldhana" <a class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a> &gt; To:
&gt;&gt;&gt;&gt; <a class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a> &gt; Sent: Thursday, May 2, 2013 12:31:26
&gt;&gt;&gt;&gt; PM &gt; Subject: Re: [security-dev] Authorization constructs in
&gt;&gt;&gt;&gt; PicketLink3 &gt; &gt; Right Pete - I do mention in the thread. I was
&gt;&gt;&gt;&gt; referring to users &gt; wanting alternative authorization mechanisms
&gt;&gt;&gt;&gt; such as &gt; that driven by Drools (as in Seam2) and maybe XACML. :)
&gt;&gt;&gt;&gt; Ideally, the &gt; default authz mechanism by the rbac filter &gt; should
&gt;&gt;&gt;&gt; be the permissions module. &gt; &gt; On 05/02/2013 10:24 AM, Pete Muir wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt; Isn't this what the permissions module is for (API/SPI for
&gt;&gt;&gt;&gt;&gt; authorisation)? I know it's not finished, but I think we have time
&gt;&gt;&gt;&gt;&gt; to do that for 3.0… &gt;&gt; &gt;&gt; We then add things like the RBAC filter
&gt;&gt;&gt;&gt;&gt; delegating to it. &gt;&gt; &gt;&gt; On 2 May 2013, at 16:21, Anil Saldhana
&gt;&gt;&gt;&gt;&gt; <a class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a> wrote: &gt;&gt;
&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt; That is what I meant by pluggable. But we need to be aware of &gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt; dependencies getting pulled into core. We &gt;&gt;&gt; do not want a
&gt;&gt;&gt;&gt;&gt;&gt; dependency on drools, for example, to use core. If users &gt;&gt;&gt; want
&gt;&gt;&gt;&gt;&gt;&gt; some particular authz stuff, &gt;&gt;&gt; they should be able to pull in
&gt;&gt;&gt;&gt;&gt;&gt; those dependencies. &gt;&gt;&gt; &gt;&gt;&gt; I do not know yet how to get that
&gt;&gt;&gt;&gt;&gt;&gt; done. ;) &gt;&gt;&gt; &gt;&gt;&gt; On 05/02/2013 09:54 AM, Pedro Igor Silva wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt; Maybe something we started with PicketBox, using Drools for
&gt;&gt;&gt;&gt;&gt;&gt;&gt; rule-based authz, pluggable authz managers, etc. &gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt; JBoss
&gt;&gt;&gt;&gt;&gt;&gt;&gt; Seam 2 also supports Drools for authorization .... &gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt; ----- Original Message ----- &gt;&gt;&gt;&gt; From: "Anil Saldhana"
&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a> &gt;&gt;&gt;&gt; To: <a class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Sent: Thursday, May 2, 2013 11:38:40 AM &gt;&gt;&gt;&gt; Subject: Re:
&gt;&gt;&gt;&gt;&gt;&gt;&gt; [security-dev] Authorization constructs in PicketLink3 &gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt; We have to remember the permission model work using IDM. &gt;&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; I wonder if this filter can use pluggable authorization
&gt;&gt;&gt;&gt;&gt;&gt;&gt; mechanisms, then &gt;&gt;&gt;&gt; maybe the perfect start. &gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt; On
&gt;&gt;&gt;&gt;&gt;&gt;&gt; 05/02/2013 09:36 AM, Pedro Igor Silva wrote:
&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; I was looking at the
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; org.picketlink.authentication.web.AuthenticationFilter. This
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; class resides on core-api and we did it given some input from AG
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; for DIGEST and BASIC authentication. &gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Wondering if
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; the authz filter we did for TIMO does not fit in the same case.
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; ----- Original Message ----- &gt;&gt;&gt;&gt;&gt; From: "Anil
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Saldhana" <a class="moz-txt-link-rfc2396E" href="mailto:Anil.Saldhana@redhat.com">&lt;Anil.Saldhana@redhat.com&gt;</a> &gt;&gt;&gt;&gt;&gt; To:
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a> &gt;&gt;&gt;&gt;&gt; Sent: Tuesday, April 30, 2013
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; 11:42:25 AM &gt;&gt;&gt;&gt;&gt; Subject: [security-dev] Authorization
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; constructs in PicketLink3 &gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; Shane/Pedro - we should
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; start discussing the constructs for &gt;&gt;&gt;&gt;&gt; authorization in PL3.
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; We have a few options on the table. We need to &gt;&gt;&gt;&gt;&gt; figure out
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; what we need such that for PL3 users, we have some options.
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Lets use this thread to figure out the various
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; options/strategies. &gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt; &gt;&gt;&gt;&gt;&gt;
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;
&gt; _______________________________________________
&gt; security-dev mailing list
&gt; <a class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
&gt; <a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/security-dev">https://lists.jboss.org/mailman/listinfo/security-dev</a>

_______________________________________________
security-dev mailing list
<a class="moz-txt-link-abbreviated" href="mailto:security-dev@lists.jboss.org">security-dev@lists.jboss.org</a>
<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/security-dev">https://lists.jboss.org/mailman/listinfo/security-dev</a></pre>
      <br>
      <br>
    </div>
    <br>
  </body>
</html>