El dispositivo o instancia de DataPower es
el punto de aplicación de políticas del Patrón IBM® SOA
Policy Gateway. Una vez desplegado el dominio de aplicación, se puede crear el contenido de dicho dominio.
Procedimiento
Al definir las configuraciones, asegúrese de que se utilizan distintos nombres de dominio en cada dispositivo DataPower, de lo contrario los espacios de trabajo de topología ITCAM for SOA no muestran los datos correctos.
Cree un proxy de servicio web (WSP):
- En el panel de control de DataPower, pulse Proxy de servicio web.
- Pulse Añadir y escriba un nombre para el proxy.
- Abra el separador Suscripción WSRR.
En la lista Servidor WSRR, pulse WSRRSVR.
- Proporcione la información restante necesaria, tal como el manejador del extremo frontal, el espacio de nombres, el nombre de objeto, etc., para crear la configuración del proxy de servicio web.
Cree las políticas para el WSP:
- Abra el separador Política para el editor de WSP.
- Pulse Reglas de proceso en el nivel adecuado. Puede crear una nueva regla o editar la regla predeterminada que se proporciona.
La acción de política clave que se ha de añadir es la Acción AAA.
Esta maneja la identificación, la autenticación y autorización que son claves para el patrón.
Los elementos clave que debe especificar para la acción AAA incluyen la entrada y salida, así como la política AAA. Puede crear la política mientras crea una acción de política AAA, o bien puede crearla antes utilizando el editor de AAA.
- La identificación es el paso en el que se identifica al usuario. En el ejemplo, se utilizan dos formas de identificación. En el cortafuegos StoreAddLTPA XML, la identificación ha se ha realizado con la autenticación básica.
En el cortafuegos StoreWSP, la identificación la proporciona la señal LTPA.
- La autenticación es el paso en que se demuestra que el sistema conoce al usuario. Existen muchas opciones para elegir. En este ejemplo, se han mostrado dos ejemplos. En el primero se ha buscado al usuario con LDAP y en el segundo se ha aceptado una señal LTPA válida.
- La autorización es el paso en que el usuario tiene autorización para el recurso, que en este caso son las operaciones de servicio web. Se deben especificar los siguientes elementos clave para utilizar la autorización del PDP de XACML incluido:
- El método: Utilizar la autorización XACML.
- La versión de XACML, por ejemplo, 2.0.
- El tipo de PDP, por ejemplo, denegación basada en PDP.
- El PDP incluido: Activado
- El nombre del PDP, que tiene el XACML especificado.
- Configure el PDP. Para obtener más información, consulte Alteración del PDP XACML en DataPower.
- La hoja de estilo XSL personalizada para enlazar AAA y XACML: utilice apil-xacml-bindingnew.xsl como un punto de partida.
Para configurar la pasarela de modo que utilice la redacción:
- Modifique el archivo .xml de XACML de modo que coincida con las políticas de seguridad concretas que desea aplicar a la redacción.
- Cree un cortafuegos XML con una acción AAA que siga el ejemplo de redacción.
- Modifique el PDP que utiliza la acción AAA anterior para que indique la hoja de estilo que está utilizando para aplicar la redacción.
- Copie y modifique la hoja de estilo storeCallPDP.xsl, que crea la carga útil de SOAP para el servicio de XACML. En especial, asegúrese de que la acción y los recursos coincidan con los requisitos para el documento de políticas XACML que ha creado.
- Asegúrese de que la hoja de estilo modificada llama al puerto correcto para su nuevo cortafuegos XML de XACML.