配置原則強制執行點

DataPower® 軟體驅動裝置或實例為 IBM® SOA Policy Gateway Pattern 的「原則強制執行點 (PEP)」。當部署「應用程式網域」時,可以建立該網域的內容。

程序

當設定配置時,請確定在每一個 DataPower 軟體驅動裝置上使用不同的網域名稱,否則 ITCAM for SOA 拓蹼工作區不會顯示正確資料。

建立「Web 服務 Proxy (WSP)」:

  1. 從「DataPower 控制台」中,按一下 Web 服務 Proxy
  2. 按一下新增,並輸入 Proxy 的名稱。
  3. 開啟 WSRR 訂閱標籤。 在「WSRR 伺服器」清單中,按一下 WSRRSVR
  4. 提供其他必要資訊,例如「正面處理程式」、名稱空間、物件名稱等等,以建立「Web 服務 Proxy」的配置。

建立 WSP 的原則:

  1. 開啟「WSP 編輯器」的原則標籤。
  2. 按一下適當層次的處理規則。您可以建立新規格,或編輯提供的預設規則。 要新增的重要原則動作為 AAA 動作。 這會處理型樣的重要「識別」、「鑑別」及「授權」。

    您必須為 AAA 動作指定的重要事項包括「輸入及輸出」,以及「AAA 原則」。您可以在建立「AAA 原則動作」時建立原則,或可在這之前使用 AAA 編輯器建立它。

    • 識別為「已識別」使用者的步驟。在範例中,有兩種使用的「識別」格式。在 StoreAddLTPA XML 中,使用的識別為基本鑑別 (BA)。 在 StoreWSP 防火牆中,識別是由 LTPA 記號提供。
    • 鑑別為證明使用者是系統已知之使用者的步驟。 有許多可從中選擇的選項。在範例中,有兩個範例:第一個為已使用 LDAP 查閱使用者的範例,而第二個為已接受有效「LTPA 記號」的範例。
    • 授權是使用者有權使用資源的步驟,在此情況下,指的是 Web 服務作業。必須指定下列重要元素,才能使用 XACML 立即可用的 PDP 授權:
      • 方法:使用 XACML 授權
      • XACML 版本:例如,2.0。
      • PDP 類型:例如,拒絕型 PDP。
      • 使用立即可用的 PDP:開啟
      • PDP 名稱,具有已指定的 XACML。
      • 配置 PDP。如需相關資訊,請參閱變更 DataPower 上的 XACML PDP
      • 連結 AAA 及 XACML 的自訂 XSL 樣式表:使用 apil-xacml-bindingnew.xsl 作為起始點。

若要配置閘道來使用「編寫」,請執行下列動作:

  1. 修改 XACML .xml 檔案,以符合您要對編寫強制執行的特定安全原則。
  2. 利用遵循編寫範例的 AAA 動作建立「XML 防火牆」。
  3. 修改上述 AAA 動作所使用的 PDP,以指向您正用來強制執行編寫的樣式表。
  4. 複製並修改 storeCallPDP.xsl 樣式表,以建立 XACML 服務的 SOAP 內容。尤其,確定「動作」及「資源」符合您所建立之 XACML 原則文件的需求。
  5. 確定您已修改的樣式表為新的「XACML XML 防火牆」呼叫正確埠。

工作 工作

反饋


「時間戳記」圖示 前次更新: 2014 年 3 月 5 日


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr25.doc/topics/tsoa2_PEP_config.htm