DataPower® アプライアンスまたはインスタンスは、IBM® SOA
Policy Gateway Patternのポリシー実施ポイント (PEP) です。
アプリケーション・ドメインがデプロイされるとき、そのドメインのコンテンツを作成することができます。
手順
構成設定の段階で、各 DataPower アプライアンスに異なるドメイン・ネームが使用されていることを確認します。
そうでない場合、SOA トポロジー・ワークスペースの ITCAM に正しいデータが表示されません。
Web サービス・プロキシー (WSP) を作成します。
- DataPower 制御パネルで「Web サービス・プロキシー (Web Service Proxy)」をクリックします。
- 「追加 (Add)」をクリックして、プロキシーの名前を入力します。
- 「WSRR サブスクリプション (WSRR Subscription)」タブを開きます。
「WSRR サーバー (WSRR Server)」リストで、「WSRRSVR」をクリックします。
- フロント・サイド・ハンドラー、名前空間、オブジェクト名など、必要な他の情報を指定して、Web サービス・プロキシーの構成を作成します。
WSP のポリシーを作成します。
- WSP エディターの「ポリシー (Policy)」タブを開きます。
- 適切なレベルで「処理ルール (Processing Rules)」をクリックします。
新しいルールを作成することも、提供されているデフォルトのルールを編集することもできます。
追加する重要なポリシー・アクションは、「AAA アクション (AAA Action)」です。
これは、パターンの鍵となる識別、認証、および許可を処理します。
AAA アクションに対して指定する必要がある重要な項目には、入力と出力、および AAA ポリシーが含まれます。
AAA ポリシー・アクションの作成中にポリシーを作成することも、AAA エディターを使用して事前に作成しておくこともできます。
- 識別は、ユーザーが識別されるステップです。
サンプルでは、使用される識別には 2 つの形式があります。StoreAddLTPA XML ファイアウォールでは、識別は基本認証を使用しました。
StoreWSP ファイアウォールでは、識別は LTPA トークンによって提供されました。
- 認証は、ユーザーがシステムで既知のユーザーであることが証明されるステップです。
選択するオプションは多数あります。
サンプルでは、2 つの例を示しました。1 つ目では LDAP を使用してユーザーが検索され、2 つ目では有効な LTPA トークンを受け入れました。
- 許可は、ユーザーがリソース (この場合は Web サービス・オペレーション) に対して許可されるステップです。
XACML On Box PDP 許可を使用するには、以下の重要なエレメントが指定される必要があります。
- メソッド: 「XACML の許可を使用する (Use XACML Authorization)」。
- XACML のバージョン (2.0 など)。
- PDP タイプ (拒否ベースの PDP など)。
- On Box PDP の使用: 「オン (On)」
- PDP の名前。XACML が指定されています。
- PDP を構成します。詳しくは、DataPower の XACML PDP の変更を参照してください。
- AAA と XACML をバインドするためのカスタムの XSL スタイル・シート: 開始点として apil-xacml-bindingnew.xsl を使用します。
Redaction を使用するようゲートウェイを構成するには、次のようにします。
- XACML の .xml ファイルを、編集用に適用する特定のセキュリティー・ポリシーに一致するよう変更します。
- 編集サンプルに従う AAA アクションを使用して、XML ファイアウォールを作成します。
- 上の AAA アクションによって使用される PDP を、編集の適用に使用しているスタイル・シートを指すよう変更します。
- XACML サービスの SOAP ペイロードを作成する storeCallPDP.xsl スタイル・シートをコピーして変更します。
特に、アクションとリソースが、作成した XACML ポリシー文書の要件に一致するようにします。
- 変更したスタイル・シートが、新しい XACML XML ファイアウォールの適切なポートを呼び出していることを確認します。