Skip to main content

[identity-api-spec commits] [identity-api-spec~git-docbook:03f95b49] reorganized chapter providing introduction to the information, service, s

  • From: monzillo@...
  • To: commits@...
  • Subject: [identity-api-spec commits] [identity-api-spec~git-docbook:03f95b49] reorganized chapter providing introduction to the information, service, s
  • Date: Mon, 16 Sep 2013 04:08:45 +0000

Project:    identity-api-spec
Repository: git-docbook
Revision:   03f95b49e67ea23eb83aecd54c62d3cbc15f464b
Author:     monzillo
Date:       2013-09-16 04:08:05 UTC
Link:       

Log Message:
------------
various edits
reorganized chapter providing introduction to the information, service, 
security, and programming modesl of the identity api


Revisions:
----------
de9262ed9479b97aeaa2204c33caa691fdac9976
03f95b49e67ea23eb83aecd54c62d3cbc15f464b


Modified Paths:
---------------
EarlyDraft/src/Issues/issues.xml
EarlyDraft/src/Overview/overview.xml


Diffs:
------
--- a/EarlyDraft/src/Issues/issues.xml
+++ b/EarlyDraft/src/Issues/issues.xml
@@ -67,8 +67,8 @@
 
             </itemizedlist>
 
-            <para>As such it seems most practical to define predicate based 
serach over
-                a virual repository (sometimes referred to as a Connector 
repository)
+            <para>As such it seems most practical to apply predicate based 
search to
+                a virtual repository (sometimes referred to as a Connector 
repository)
                 obtained by using a repository specific query to constrain
                 the entity space to some internalizable set of entities, 
such that the
                 predicate based search can be applied to the internalized 
entities.
@@ -90,7 +90,7 @@
                 that conveys the information that allows the
                 <ulink 
url="http://identity-api-spec.java.net/nonav/1.0/apidocs/javax/security/identity/client/ProviderLookupService.html";>ProviderLookupService</ulink>
                 of the Attribute service to obtain an instance of an 
AttributeProvider 
-                from which the referenced attributes can be obtained. In 
addition to its
+                from which the referenced attributes can be obtained. In 
addition to their
                 contained ProviderLookupContext the reference objects carry
                 additional provider specific information that is 
interepreted by the attribute
                 provider to locate the corresponding entity (a collection of 
attributes) or
@@ -144,8 +144,8 @@
                 interfaces of the AttributeProvider.
             </para>
             <para>In addition to its role in providing access to integrated 
attribute
-                providers, the AttributeLookupService implementation (i.e., 
the attribute
-                service) is required to enforce requied permission checks on 
the methods
+                providers, the attribute
+                service is required to enforce requied permission checks on 
the methods
                 of the ProviderLookupInterface, and to return 
AttributeProvider implementations
                 that enforce required permission checks on the methods of the
                 AttributeProvider interface and of the Lookup and Update 
service implementations
@@ -194,16 +194,16 @@
             <para>User Authorization of Access to Identity</para>
             <para>The specification seeks to define interfaces to allow 
users to
                 authorize disclosure and use of their identity attributes. 
In addition to
-                the repository integration use case described <xref 
linkend="issues4"/>, there
+                the repository integration use case described in <xref 
linkend="issues3"/>, there
                 is also the case where the
                 <ulink 
url="http://identity-api-spec.java.net/nonav/1.0/apidocs/javax/security/identity/annotations/IDEntityProvider.html";>IDEntityProvider</ulink>
                 annotation is used to export one or more entities such that 
their attributes
                 will be a accessible via the attribute service. In this 
case, the
                 specification must provide interfaces to allow the developer 
to define
-                the access control  that is to be associated with the entity 
and its attributes.
+                the access control that is to be associated with the entity 
and its attributes.
                 Moreover the attribute provider by which such entities are 
made availble within
                 the attribute service must enforce the defined policy, and 
be integrated
-                with user authentication and authorization facilities as 
described
+                with user authentication and authorization facilities as 
described in
                 <xref linkend="issues4"/>, with the additional consideration 
that the attribute
                 service will need to provide a means for applications that 
provide entities
                 to also provide or associate an identity authorization 
facility with those entities.
@@ -215,10 +215,10 @@
             <para>The protections afforded by the service Protection model 
limit access to
                 interfaces at the granularity of the attribute service or 
attribute provider.
                 Responsibility for protecting specific entities and 
attributes within an
-                attribute provider is the responsability of the attribute 
provider. As described
+                attribute provider is the responsability of the attribute 
provider. As described in
                 <xref linkend="issues6"/>, support by the attribute service 
for the
                 IDEntityProvider annotation, will require that such content 
protection capabilities
-                be integraed in the attribute service. As described <xref 
linkend="issues4"/>,
+                be integraed in the attribute service. As described in <xref 
linkend="issues4"/>,
                 the attribute service will need to provide some facilities 
to allow
                 attribute providers to obtain the credentials and user 
authorizations
                 they need to satisfy the content protection model 
implemented by

--- a/EarlyDraft/src/Overview/overview.xml
+++ b/EarlyDraft/src/Overview/overview.xml
@@ -1,37 +1,111 @@
 <chapter id="overview">
     <title>Overview</title>
     <para>
-    [TODO: Content here]
+        This chapter provides a high level descripton of the information, 
service, security,
+        and programming models of the Java Identity API.
     </para>
-    <section id="overview1">
-        <title>Introduction</title>
-        <para>
-        [TODO: Content here]
+    
+    <section id="overview1.1">
+        <title>Information model</title>
+        <para>The Identity Api adopts a simple model for network Identity, 
where
+            <emphasis>Entities</emphasis>, (i.e. persons, computers, 
services, documents, ...) 
+            are represented as collections of named, metadata qualified, 
values called
+            <emphasis>Attributes/</emphasis>, where the 
<emphasis>metadata</emphasis>  
+            is used to convey named property values, (e.g., issuer, validity 
period, 
+            usage constraints, ...) within the attribute 
representation.</para>
+        <para>An important feature of this simple model is that the 
attribute collection that 
+            corresponds to an entity is a stable container for which a 
durable, 
+            attribute-independent <emphasis>Entity Reference</emphasis> may 
be 
+            formed to identify the collection and without exposing the 
values of any attributes 
+            within the collection. Likewise, for the individual attributes 
within an entity, 
+            the model defines a value-independent <emphasis>Attribute 
Reference</emphasis> 
+            form. Entity and attribute references allow for the privacy 
preserving exhange of
+            handles to the corresponding artifacts; by retaining the ability 
to authorize 
+            access by the handle recipient to the corresponding identity 
values.
+            The reference for an identity attribute is available from the 
Java representation of the
+            attribute. Entity references are obtained by performing a 
<emphasis>search</emphasis>
+            operation on an <emphasis>Attribute Repository</emphasis> or 
<emphasis>Attribute Provider</emphasis>.
+            Attribute repositories and providers are described in <xref 
linkend="overview1.2"/>.
         </para>
+        <para>Entity and Attribute References are composed of two 
parts:</para>
+        <itemizedlist>
+            
+            <listitem>
+                <para>
+                    a <emphasis>Provider Lookup Context</emphasis> that 
describes the attribute 
+                    repository from which the reference was obtained, and 
thus at which it may used 
+                    to obtain the corresponding entity or attribute.
+                </para>
+            </listitem>
+            
+            <listitem>
+                <para>
+                    the repository specific data by which the referenced 
entity or attribute 
+                    may be located by the repository.
+                </para>
+            </listitem>
+                            
+        </itemizedlist>
+
     </section>
-    <section id="overview2">
-        <title>Terminology</title>
-        <para>
-        [TODO: Content here]
-        </para>
+    
+    <section id="overview1.2">
+        <title>services model</title>
+        <para>The Identity Api defines an <emphasis>Attribute 
Service</emphasis> as the 
+            point of governance and interaction with identity. The Identity 
Api also defines
+            an attribute repository integration architecture which is 
applied within 
+            an attribute service implementation such that it serves as an 
integration 
+            point for distributed sources of identity. Sources of identiy 
are obtained from
+            <emphasis>Repository Agents</emphasis> that are registered 
within the attribute
+            service. Each registeration is represented by a 
<emphasis>Repository Descriptor</emphasis> 
+            that names the implementation class of the repository agent, and 
the name of the attribute
+            repository registered with the agent.</para>
+         
+        <para>Client applications interact with the <emphasis>Provider 
Lookup Service</emphasis>
+            of the attribute service to obtain an <emphasis>Attribute 
Provider</emphasis>
+            corresponding to a provider lookup context. An attribute 
provider is a proxy that
+            encapsulates the interfaces of an attribute repository, 
including such that they 
+            are protected as described in <xref linkend="overview1.3"/>. An 
attribute 
+            repository maps the interfaces of the attribute repository 
interface to the
+            interfaces and protocols of the underlying identity 
repository.</para>
+                
+        <para>As noted above, the provider lookup service, returns an 
attribute provider
+            corresponding to an argument provider lookup context. In 
addition to 
+            <emphasis>leaf</emphasis> contexts constructed from a repository 
descriptor,
+            the provider lookup service also interprets provider lookup 
contexts
+            that describe the derivation of attribute providers from argument
+            attribute providers by selection, aggregation and natural join. 
It is the
+            provider lookup service of the attribute service that provides 
the 
+            implementation of the returned attribute provider.</para>
     </section>
-    <section id="overview3">
-        <title>Assumptions</title>
-        <para>
-        [TODO: Content here]

+    <section id="overview1.3">        
+        <title>security model</title>
+        <para>The security model of the Java Identity Api is composed of the 
services
+            protection model, and the content protection model. The services 
protection
+            model employs the Java Security Manager to determine if the 
calling 
+            Java access conttol context has been granted the 
+            <ulink 
url="http://identity-api-spec.java.net/nonav/1.0/apidocs/javax/security/identity/permission/AttributeRepositryPermission.html";>AttributeRepositoryPermission</ulink>
+            required to invoke the requested service at the corresponding 
attribute
+            provider. The Content protection model is implemented by the 
         </para>
-    </section>
-    <section id="overview4">
-        <title>Requirements</title>
         <para>
-        [TODO: Content here]
+            Describe content protection model
+            including credentials and how they are obtained.
         </para>
+        
     </section>
-    <section id="overview5">
-        <title>Non Requirements</title>
-        <para>
-        [TODO: Content here]

+    <section id="overview1.4">
+        <title>programming model</title>
+        <para>The Identity Api provides 
+            use of programmatic api 
+            injection by annotation
+            integration with CDI
+            entity consumers and providers
+            integration with subjects and principals of the Java Security 
Model, 
         </para>
     </section>
+    
 </chapter>
 





[identity-api-spec commits] [identity-api-spec~git-docbook:03f95b49] reorganized chapter providing introduction to the information, service, s

monzillo 09/16/2013
 
 
Close
loading
Please Confirm
Close