统一属性信息点聚合服务(Unified PIP Service)——让每一次访问控制决策都基于实时、可信的上下文
✅ 你的 PDP(策略决策点)需要知道 user.department、resource.classification 等属性才能做授权判断。
❌ 但这些数据散落在 HR 系统、CMDB、风控平台、业务数据库……每次授权都要调一堆接口?
❌ 实时性差、性能瓶颈、审计无迹可寻、策略与数据源强耦合?
我们为 ABAC / PBAC 架构打造的统一属性聚合服务,让 PDP 只需问一个问题:“用户能访问这个资源吗?”,剩下的交给我们。
定义统一语义,如 user.department、device.trusted,告别字段混乱。
轻松对接 HR、LDAP、REST API、Kafka、数据库等任意数据源,无需硬编码。
高频属性缓存加速,敏感属性实时获取,性能与准确性兼得。
完整记录每个属性来源、时间、值,满足 GDPR、等保、SOX 合规审计要求。
AttributeMesh 不是简单的属性代理,而是现代授权体系中的核心上下文基础设施。
原生支持 XACML / ALFA 属性模型,无缝对接 Open Policy Agent (OPA)、AuthzForce、AWS Verified Permissions 等 PDP 引擎。
遵循 PDP-PAP-PEP-PIP 分离原则,将属性获取逻辑从策略引擎中剥离,提升系统可维护性与扩展性。
99.99% 可用性;P99 响应 <15ms(缓存命中);支持批量属性拉取,减少 PDP 调用次数。
支持按业务线/客户隔离属性命名空间(如 tenantA/user.role),适用于 SaaS 或多云环境。
request_id、attribute_key、source_system、timestamp、raw_value场景 1:ABAC 策略引擎增强
OPA 决策时调用 AttributeMesh 获取 user.clearance_level(来自 HR)和 resource.data_category(来自 CMDB)。
场景 2:零信任动态访问控制
在用户访问敏感 API 时,实时查询风控系统获取 user.risk_score,结合设备可信状态决定是否放行。
场景 3:跨云统一权限上下文
AWS、Azure、私有云的 PDP 共享同一套属性视图,避免策略碎片化。