1. 用户访问资源，发送原始请求，请求会被 pep 拦截； 2. pep把请求转换成一个xacml的访问申请请求； 3. pep把访问申请请求转发给 pdp ； 4. pdp根据策略配置对认证请求进行评估。策略保存在 prp ，并由 pap 维护。如果需要采集属性信息，还会从 pip 收集属性； 5.

cops定义了三个逻辑实体：策略决策点（pdp）、策略执行点（pep）、本地策略决策点（lpdp），其中lpdp备份pdp的决策，当pdp与pep的连接中断时，lpdp可代替pdp做出决策，pdp具有最终裁决权。

Attribute-based access control (ABAC), also known as policy-based access control for IAM, defines an access control paradigm whereby a subject's authorization to perform a set of operations is determined by evaluating attributes associated with the subject, object, requested operations, and, in some cases, environment attributes. [1]

2021年2月25日 · 零信任架构主要分为三个核心逻辑架构，三个核心分别为策略决策点pdp（pe+pa）、策略执行点pep和外部支撑系统。 策略决策点pdp（pe+pa）

2024年7月31日 · 所有旅客均需通過機場安全檢查站 (pdp/pep) 進入登機口。 乘客、機場工作人員、機組人員等在航站樓區域裡閒逛，所有的人都被認為是值得信賴的。

A policy enforcement point (PEP) is responsible for receiving authorization requests that are sent to the policy decision point (PDP) for evaluation. A PEP can be anywhere in an application where data and resources must be protected, or where authorization logic is applied.

2021年5月9日 · 策略信息点（PIP）：为执行决策提供额外属性的地方，可以是一个或者多个额外系统。 策略管理点（PAP）：管理和配置策略的地方。 其直接关系如下图： 有了XACML的框架支持，对于ABAC的实现，我们可以按需裁减。 首先我们看下系统的结构图，这样更明确下我们ABAC系统的地位和职责。 我们可以把MyABAC 看作访问者与被访者之间的一个层，类似于apiGateway 或BFF，也可以看作是受访者的代理，类似于nginx等。 暂且不管它是什么，他的 …

2022年8月2日 · 關於存取模型的概念，NIST繪製了圖1（如下圖）來說明：當使用者或機器需要存取企業資源時，需要經過政策落實點（Policy Enforcement Point，PEP）進行把關，並由相應的政策決策點（Policy Decision Point，PDP），來決定權限。

As defined by NIST SP 800-207: Zero Trust Architecture, the three core logical components of the ZTA are the Policy Decision Point (PDP), the Policy Information Points (PIPs), and the Policy Enforcement Point (PEP). These components may be operated as an on-premises service or through a cloud-based service.

解耦 PDP 和 PEP，以支持 Oracle Cloud 上的零信任架构 为了帮助降低持续威胁的风险，零信任架构应该使用单独的策略决策点 (PDP) 控制层，并在数据层上实施策略实施点 (Policy Enforcement Point，PEP)。