DataPower® 设备或实例是 IBM® SOA
Policy Gateway Pattern 的“策略实施点”(PEP)。
在部署“应用程序域”时,可以创建该域的内容。
过程
设置您的配置时,请确保在每个 DataPower 设备上使用不同的域名,否则 ITCAM for SOA 拓扑工作空间将不会显示正确的数据。
创建 Web Service 代理 (WSP):
- 从 DataPower 控制面板,单击 Web Service 代理。
- 单击添加并输入代理的名称。
- 打开 WSRR 预订选项卡。
在 WSRR Server 列表中,单击 WSRRSVR。
- 提供其他必需信息(例如,前端处理程序、名称空间、对象名等)以创建 Web Service 代理的配置。
创建 WSP 的策略:
- 打开 WSP 编辑器的策略选项卡。
- 单击相应级别的处理规则。您可以创建新规则或编辑提供的缺省规则。
要添加的关键策略操作是 AAA 操作。
这用于处理对于模式至关重要的“标识”、“认证”和“授权”。
对于 AAA 操作必须指定的关键内容包括“输入”和“输出”以及“AAA 策略”。您可以在创建 AAA 策略操作时创建策略,或者在此之前使用 AAA 编辑器进行创建。
- “标识”是标识用户的步骤。在样本中,使用了两种形式的标识。在 StoreAddLTPA XML 防火墙中,标识使用了基本认证。
在 StoreWSP 防火墙中,由 LTPA 令牌提供标识。
- 认证是用于证明用户是系统已知用户的步骤。有多个选项可供选择。
样本中有两个示例;第一个示例使用 LDAP 查找用户,第二个示例接受有效的 LTPA 令牌。
- 授权是向用户授予资源权限的步骤,在此示例中,即 Web Service 操作。必须指定以下关键元素才能使用 XACML 事先指定的 PDP 授权:
- 方法:使用 XACML 授权。
- XACML 版本;例如,2.0。
- PDP 类型;例如,基于拒绝的 PDP。
- 使用 On box PDP:On
- 已指定 XACML 的 PDP 的名称。
- 配置 PDP。有关更多信息,请参阅在 DataPower 上更改 XACML PDP。
- 要绑定 AAA 和 XACML 的定制 XSL 样式表:使用 apil-xacml-bindingnew.xsl 作为起点。
要配置网关,请使用“编辑”:
- 修改 XACML .xml 文件,以匹配想要针对编辑实施的特定安全策略。
- 创建包含 AAA 操作的 XML 防火墙(遵循编辑样本)。
- 修改上述 AAA 操作使用的 PDP 以指向用于实施编辑的样式表。
- 复制并修改用于为 XACML 服务创建 SOAP 有效内容的 storeCallPDP.xsl 样式表。尤其是,确保“操作”和“资源”匹配创建的 XACML 策略文档的需求。
- 确保修改的样式表针对新的 XACML XML 防火墙调用正确的端口。