配置策略实施点

DataPower® 设备或实例是 IBM® SOA Policy Gateway Pattern 的“策略实施点”(PEP)。 在部署“应用程序域”时,可以创建该域的内容。

过程

设置您的配置时,请确保在每个 DataPower 设备上使用不同的域名,否则 ITCAM for SOA 拓扑工作空间将不会显示正确的数据。

创建 Web Service 代理 (WSP):

  1. 从 DataPower 控制面板,单击 Web Service 代理
  2. 单击添加并输入代理的名称。
  3. 打开 WSRR 预订选项卡。 在 WSRR Server 列表中,单击 WSRRSVR
  4. 提供其他必需信息(例如,前端处理程序、名称空间、对象名等)以创建 Web Service 代理的配置。

创建 WSP 的策略:

  1. 打开 WSP 编辑器的策略选项卡。
  2. 单击相应级别的处理规则。您可以创建新规则或编辑提供的缺省规则。 要添加的关键策略操作是 AAA 操作。 这用于处理对于模式至关重要的“标识”、“认证”和“授权”。

    对于 AAA 操作必须指定的关键内容包括“输入”和“输出”以及“AAA 策略”。您可以在创建 AAA 策略操作时创建策略,或者在此之前使用 AAA 编辑器进行创建。

    • “标识”是标识用户的步骤。在样本中,使用了两种形式的标识。在 StoreAddLTPA XML 防火墙中,标识使用了基本认证。 在 StoreWSP 防火墙中,由 LTPA 令牌提供标识。
    • 认证是用于证明用户是系统已知用户的步骤。有多个选项可供选择。 样本中有两个示例;第一个示例使用 LDAP 查找用户,第二个示例接受有效的 LTPA 令牌。
    • 授权是向用户授予资源权限的步骤,在此示例中,即 Web Service 操作。必须指定以下关键元素才能使用 XACML 事先指定的 PDP 授权:
      • 方法:使用 XACML 授权
      • XACML 版本;例如,2.0。
      • PDP 类型;例如,基于拒绝的 PDP。
      • 使用 On box PDP:On
      • 已指定 XACML 的 PDP 的名称。
      • 配置 PDP。有关更多信息,请参阅在 DataPower 上更改 XACML PDP
      • 要绑定 AAA 和 XACML 的定制 XSL 样式表:使用 apil-xacml-bindingnew.xsl 作为起点。

要配置网关,请使用“编辑”:

  1. 修改 XACML .xml 文件,以匹配想要针对编辑实施的特定安全策略。
  2. 创建包含 AAA 操作的 XML 防火墙(遵循编辑样本)。
  3. 修改上述 AAA 操作使用的 PDP 以指向用于实施编辑的样式表。
  4. 复制并修改用于为 XACML 服务创建 SOAP 有效内容的 storeCallPDP.xsl 样式表。尤其是,确保“操作”和“资源”匹配创建的 XACML 策略文档的需求。
  5. 确保修改的样式表针对新的 XACML XML 防火墙调用正确的端口。

任务 任务

反馈


时间戳记图标 最近一次更新时间: 2014 年 3 月 5 日


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr25.doc/topics/tsoa2_PEP_config.htm