Nell'esempio vengono definiti i seguenti filewall XML.
Firewall XML StoreAddLTPA
La funzione del firewall XML StoreAdd LTPA è quella di fornire un front end con una porta che gli utenti possono chiamare utilizzando semplicemente l'autenticazione di base (ad es., senza LTPA). La regola di elaborazione della richiesta:
- Si identifica con l'autenticazione di base.
- Si autentica con una ricerca LDAP semplice.
- Aggiunge un token LTPA come parte della post-elaborazione.
- Inoltra la richiesta alla politica di sicurezza StoreWSP con le informazioni LTPA ora allegate.
Firewall XML StoreMockService
StoreMockService è un servizio di esempio che utilizza un firewall XML come implementazione. Sono supportate le operazioni findInventory, purchase e return. I valori di risposta sono statici. Questo servizio di esempio viene creato quando non è possibile includere un WebSphere Application Server nel pattern. Le tre regole di richiesta della politica utilizzano un'azione corrispondente per determinare l'operazione request ed, in base ad una corrispondenza, rispondono con una risposta SOAP statica. Le risposte SOAP statiche vengono fornite in base all'operazione request invece che in base ad un'implementazione del servizio completo.
Firewall XML StoreMockServiceAlternate
StoreMockServiceAlternate è un servizio di esempio che utilizza un firewall XML come implementazione. Sono supportate le operazioni findInventory, purchase e return. Questo servizio viene utilizzato per dimostrare l'applicazione della politica di instradamento.
Firewall StoreXACMLFW
Questo scenario esegue la redazione in base al risultato di un meccanismo consenti/nega basato su XACML. In
DataPower, non è possibile richiamare un'azione AAA singola nel flusso di risposta.
Per contenere un PDP (Policy Decision
Point) XACML viene creato un gateway separato. Questo PDP viene incapsulato in un'azione AAA nella regola di richiesta del firewall StoreXACMLFW.
StoreXACMLFW è un gateway del firewall XML in DataPower.
Questa implementazione viene utilizzata perché rappresenta un modo semplice per fornire la funzionalità. Il firewall StoreXML utilizza la stessa interfaccia WSDL dei Servizi di sicurezza runtime del server Tivoli. Il gateway StoreWSP crea l'oggetto richiesta e lo invia, protetto da SSL, al gateway StoreXMLFW.
La regola di richiesta del firewall StoreXML esegue le seguenti attività:
- Esegue AAA utilizzando le informazioni SSL per l'autenticazione.
- Esegue l'autorizzazione utilizzando un PDP XACML incluso. La politica che viene utilizzata dal PDP viene originariamente creata in IBM® Tivoli Security Policy Manager ma può essere ricreati utilizzando un editor standard, e lo schema è definito nella specifica XACML.
- In questo processo di autorizzazione non è necessaria alcuna trasformazione della richiesta.
- Se la richiesta XACML è valida, la regola di elaborazione della richiesta recupera una risposta di autorizzazione e ritorna al client. In caso contrario, si verifica un'eccezione che viene gestita dalla regola di elaborazione delle eccezioni e restituisce una risposta Nega al client.
Nota: Consenti/Nega/Indeterminato è solo un esempio di risposta. Nel flusso specifico del cliente è possibile aggiungere ulteriori informazioni sugli errori.