Richtliniendurchsetzungspunkt konfigurieren

Das DataPower-Gerät oder die DataPower-Instanz ist der Richtliniendurchsetzungspunkt (PEP) von IBM® SOA Policy Gateway Pattern. Wenn die Anwendungsdomäne implementiert ist, kann der Inhalt dieser Domäne erstellt werden.

Vorgehensweise

Wenn Sie Ihre Konfigurationen einrichten, stellen Sie sicher, dass auf jedem DataPower-Gerät verschiedene Domänennamen verwendet werden. Anderenfalls zeigt der ITCAM for SOA-Topologiearbeitsbereich falsche Daten an.

Erstellen Sie einen Web-Service-Proxy (WSP):

  1. Klicken Sie auf dem DataPower Control Panel auf die Option Web Service Proxy.
  2. Klicken Sie auf Add und geben Sie einen Namen für den Proxy ein.
  3. Öffnen Sie die Registerkarte WSRR Subscription. Klicken Sie in der Liste der WSRR-Server auf WSRRSVR.
  4. Geben Sie die anderen erforderlichen Informationen an, wie zum Beispiel den Front-End-Handler, den Namensbereich (Namespace), den Objektnamen usw., um die Konfiguration des Web-Service-Proxys zu erstellen.

Erstellen Sie Richtlinien für den WSP:

  1. Öffnen Sie die Registerkarte Policy für den WSP-Editor.
  2. Klicken Sie auf der entsprechenden Ebene auf Processing Rules (Verarbeitungsregeln). Sie können entweder eine neue Regel erstellen oder die bereitgestellte Standardregel bearbeiten. Die wichtigste Richtlinienaktion, die hinzugefügt werden muss, ist AAA Action. Diese Aktion führt die Identifikation, Authentifizierung und Autorisierung durch, die für das Muster entscheidend sind.

    Wichtige Elemente, die Sie für die AAA-Aktion angeben müssen, sind Eingabe ('Input') und Ausgabe ('Output') sowie die AAA-Richtlinie. Sie können die Richtlinie während der Erstellung der AAA-Richtlinienaktion erstellen oder Sie haben sie möglicherweise schon zuvor mithilfe des AAA-Editors erstellt.

    • Die Identifikation ist der Schritt, in dem der Benutzer identifiziert wird. Im Beispiel werden zwei Formen der Identifikation verwendet. In der XML-Firewall 'StoreAddLTPA' wurde die Identifikation durch eine Basisauthentifizierung ausgeführt. In der Firewall 'StoreWSP' wurde die Identifikation durch ein LTPA-Token bereitgestellt.
    • Die Autorisierung ist der Schritt, in dem der Benutzer als für das System bekannter Benutzer ermittelt wird. Es stehen viele Optionen zur Auswahl. Im Beispiel gibt es zwei Optionen: Bei der ersten wurde der Benutzer mithilfe von LDAP überprüft und bei der zweiten wurde ein gültiges LTPA-Token akzeptiert.
    • Die Autorisierung ist der Schritt, in dem dem Benutzer die Berechtigung für eine Ressource, in diesem Fall für die Web-Service-Operationen, erteilt wird. Die folgenden Schlüsselelemente müssen angegeben werden, um eine boxinterne XACML-PDP-Autorisierung verwenden zu können:
      • Die Methode: Use XACML Authorization (XACML-Autorisierung verwenden).
      • Die XACML-Version, zum Beispiel 2.0.
      • Der PDP-Typ, zum Beispiel verweigerungsbasierter PDP.
      • Use On box PDP (boxinternen PDP verwenden): On
      • Der Name des PDP, für den das XACML angegeben ist.
      • Konfigurieren Sie den PDP. Weitere Informationen finden Sie in XACML-PDP in DataPower ändern.
      • Das angepasste XSL-Style-Sheet zum Binden von AAA und XACML: Verwenden Sie apil-xacml-bindingnew.xsl als Ausgangspunkt.

Gehen Sie wie folgt vor, um das Gateway zur Verwendung der Überarbeitung (Redaktion) zu konfigurieren:

  1. Ändern Sie die XACML-Datei (.xml), um sie an die speziellen Sicherheitsrichtlinien anzupassen, die für die Überarbeitung durchgesetzt werden sollen.
  2. Erstellen Sie eine XML-Firewall mit einer AAA-Aktion, die sich an dem Überarbeitungsbeispiel orientiert.
  3. Modifizieren Sie den PDP, der von der obigen AAA-Aktion verwendet wird, sodass er auf das Style-Sheet verweist, das Sie zur Durchsetzung der Überarbeitung verwenden.
  4. Kopieren und ändern Sie das Style-Sheet storeCallPDP.xsl, das die SOAP-Nutzdaten für den XACML-Service erstellt. Stellen Sie insbesondere sicher, dass die Aktion und die Ressource Ihren Anforderungen für das von Ihnen erstellte XACML-Richtliniendokument entspricht.
  5. Stellen Sie sicher, dass Ihr geändertes Style-Sheet den richtigen Port für Ihre neue XACML-XML-Firewall aufruft.

Anleitung Anleitung

Feedback


Timestamp icon Letzte Aktualisierung: 03.03.2014


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr25.doc/topics/tsoa2_PEP_config.htm