DataPower® 軟體驅動裝置或實例為 IBM® SOA
Policy Gateway Pattern 的「原則強制執行點 (PEP)」。當部署「應用程式網域」時,可以建立該網域的內容。
程序
當設定配置時,請確定在每一個 DataPower 軟體驅動裝置上使用不同的網域名稱,否則 ITCAM for SOA 拓蹼工作區不會顯示正確資料。
建立「Web 服務 Proxy (WSP)」:
- 從「DataPower 控制台」中,按一下 Web 服務 Proxy。
- 按一下新增,並輸入 Proxy 的名稱。
- 開啟 WSRR 訂閱標籤。
在「WSRR 伺服器」清單中,按一下 WSRRSVR。
- 提供其他必要資訊,例如「正面處理程式」、名稱空間、物件名稱等等,以建立「Web 服務 Proxy」的配置。
建立 WSP 的原則:
- 開啟「WSP 編輯器」的原則標籤。
- 按一下適當層次的處理規則。您可以建立新規格,或編輯提供的預設規則。
要新增的重要原則動作為 AAA 動作。
這會處理型樣的重要「識別」、「鑑別」及「授權」。
您必須為 AAA 動作指定的重要事項包括「輸入及輸出」,以及「AAA 原則」。您可以在建立「AAA 原則動作」時建立原則,或可在這之前使用 AAA 編輯器建立它。
- 識別為「已識別」使用者的步驟。在範例中,有兩種使用的「識別」格式。在 StoreAddLTPA XML 中,使用的識別為基本鑑別 (BA)。
在 StoreWSP 防火牆中,識別是由 LTPA 記號提供。
- 鑑別為證明使用者是系統已知之使用者的步驟。
有許多可從中選擇的選項。在範例中,有兩個範例:第一個為已使用 LDAP 查閱使用者的範例,而第二個為已接受有效「LTPA 記號」的範例。
- 授權是使用者有權使用資源的步驟,在此情況下,指的是 Web 服務作業。必須指定下列重要元素,才能使用 XACML 立即可用的 PDP 授權:
- 方法:使用 XACML 授權。
- XACML 版本:例如,2.0。
- PDP 類型:例如,拒絕型 PDP。
- 使用立即可用的 PDP:開啟
- PDP 名稱,具有已指定的 XACML。
- 配置 PDP。如需相關資訊,請參閱變更 DataPower 上的 XACML PDP。
- 連結 AAA 及 XACML 的自訂 XSL 樣式表:使用 apil-xacml-bindingnew.xsl 作為起始點。
若要配置閘道來使用「編寫」,請執行下列動作:
- 修改 XACML .xml 檔案,以符合您要對編寫強制執行的特定安全原則。
- 利用遵循編寫範例的 AAA 動作建立「XML 防火牆」。
- 修改上述 AAA 動作所使用的 PDP,以指向您正用來強制執行編寫的樣式表。
- 複製並修改 storeCallPDP.xsl 樣式表,以建立 XACML 服務的 SOAP 內容。尤其,確定「動作」及「資源」符合您所建立之 XACML 原則文件的需求。
- 確定您已修改的樣式表為新的「XACML XML 防火牆」呼叫正確埠。