Richtliniendurchsetzungspunkt konfigurieren

Das DataPower-Gerät ist der Richtliniendurchsetzungspunkt (PEP) von IBM® SOA Policy Gateway Pattern. Wenn die Anwendungsdomäne implementiert ist, kann der Inhalt dieser Domäne erstellt werden.

Vorgehensweise

Erstellen Sie einen Web-Service-Proxy (WSP):

  1. Klicken Sie auf dem DataPower Control Panel auf die Option Web Service Proxy.
  2. Klicken Sie auf Add und geben Sie einen Namen für den Proxy ein.
  3. Öffnen Sie die Registerkarte WSRR Subscription. Klicken Sie in der Liste der WSRR-Server auf WSRRSVR.
  4. Geben Sie die anderen erforderlichen Informationen an, wie zum Beispiel den Front-End-Handler, den Namensbereich (Namespace), den Objektnamen usw., um die Konfiguration des Web-Service-Proxys zu erstellen.

Erstellen Sie Richtlinien für den WSP:

  1. Öffnen Sie die Registerkarte Policy für den WSP-Editor.
  2. Klicken Sie auf der entsprechenden Ebene auf Processing Rules (Verarbeitungsregeln). Sie können entweder eine neue Regel erstellen oder die bereitgestellte Standardregel bearbeiten. Die wichtigste Richtlinienaktion, die hinzugefügt werden muss, ist AAA Action. Diese Aktion führt die Identifikation, Authentifizierung und Autorisierung durch, die für das Muster entscheidend sind.

    Wichtige Elemente, die Sie für die AAA-Aktion angeben müssen, sind Eingabe ('Input') und Ausgabe ('Output') sowie die AAA-Richtlinie. Sie können die Richtlinie während der Erstellung der AAA-Richtlinienaktion erstellen oder Sie haben sie möglicherweise schon zuvor mithilfe des AAA-Editors erstellt.

    • Die Identifikation ist der Schritt, in dem der Benutzer identifiziert wird. Im bereitgestellten Beispiel wurden zwei Formen der Identifikation verwendet. In der XML-Firewall 'StoreAddLTPA' wurde die Identifikation durch eine Basisauthentifizierung ausgeführt. In der Firewall 'StoreWSP' wurde die Identifikation durch ein LTPA-Token bereitgestellt.
    • Die Authentifizierung ist der Schritt, in dem der Benutzer als ein Benutzer bestätigt wird, der dem System bekannt ist. Es stehen viele Optionen zur Auswahl. Im Beispiel wurden zwei Optionen gezeigt: Bei der ersten wurde der Benutzer mithilfe von LDAP überprüft und bei der zweiten wurde ein gültiges LTPA-Token akzeptiert.
    • Die Autorisierung ist der Schritt, in dem dem Benutzer die Berechtigung für eine Ressource, in diesem Fall für die Web-Service-Operationen, erteilt wird. Die folgenden Schlüsselelemente müssen angegeben werden, um eine boxinterne XACML-PDP-Autorisierung verwenden zu können:
      • Die Methode: Use XACML Authorization (XACML-Autorisierung verwenden).
      • Die XACML-Version, zum Beispiel 2.0.
      • Der PDP-Typ, zum Beispiel verweigerungsbasierter PDP.
      • Use On box PDP (boxinternen PDP verwenden): On
      • Der Name des PDP, für den das XACML angegeben ist.
      • Konfigurieren Sie den PDP. Weitere Informationen finden Sie in XACML-PDP in DataPower ändern.
      • Das angepasste XSL-Style-Sheet zum Binden von AAA und XACML: Verwenden Sie apil-xacml-bindingnew.xsl als Ausgangspunkt.

Gehen Sie wie folgt vor, um das Gateway zur Verwendung der Überarbeitung (Redaktion) zu konfigurieren:

  1. Ändern Sie die XACML-Datei (.xml), um sie an die speziellen Sicherheitsrichtlinien anzupassen, die für die Überarbeitung durchgesetzt werden sollen.
  2. Erstellen Sie eine XML-Firewall mit einer AAA-Aktion, die sich an dem Überarbeitungsbeispiel orientiert.
  3. Modifizieren Sie den PDP, der von der obigen AAA-Aktion verwendet wird, sodass er auf das Style-Sheet verweist, das Sie zur Durchsetzung der Überarbeitung verwenden.
  4. Kopieren und ändern Sie das Style-Sheet storeCallPDP.xsl, das die SOAP-Nutzdaten für den XACML-Service erstellt. Stellen Sie insbesondere sicher, dass die Aktion und die Ressource Ihren Anforderungen für das von Ihnen erstellte XACML-Richtliniendokument entspricht.
  5. Stellen Sie sicher, dass Ihr geändertes Style-Sheet den richtigen Port für Ihre neue XACML-XML-Firewall aufruft.

Nächste Schritte

Neben der Erstellung einer Domäne und der Einrichtung einer WSRR-Serverkonfiguration im SOA Policy Gateway Advanced Runtime- und SOA Policy Gateway Basic Runtime-Muster ist es möglich, die Domäne durch Ausführen eines angepassten CLI-Scripts zu erweitern. Das CLI-Script muss sich im Stammverzeichnis der Struktur in der Datei DomainZipFile.zip befinden. Beispiel: /cli.cli. Die CLI (Befehlszeilenschnittstelle) kann CLI-Standardbefehle ausführen. Alle Artefakte, auf die CLI verweist, müssen jedoch vorhanden sein bzw. für die DataPower-Domäne, die von dem Muster erstellt wird, zugänglich sein. Wenn Sie eine Instanz des SOA Policy Gateway Advanced Runtime- oder SOA Policy Gateway Basic Runtime-Musters implementieren, werden Sie aufgefordert, den CLI-Dateinamen in den Parametern des Sicherheitspakets ('Security') anzugeben.


Anleitung Anleitung

Feedback


Timestamp icon Letzt aktualisiert: 16. Oktober 2012


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr.doc/topics/tsoa2_PEP_config.htm