Das DataPower-Gerät ist der
Richtliniendurchsetzungspunkt (PEP) von IBM® SOA Policy Gateway Pattern.
Wenn die Anwendungsdomäne implementiert ist, kann der Inhalt dieser Domäne erstellt werden.
Vorgehensweise
Erstellen Sie einen Web-Service-Proxy (WSP):
- Klicken Sie auf dem DataPower Control
Panel auf die Option Web Service Proxy.
- Klicken Sie auf Add und geben Sie einen Namen für den Proxy ein.
- Öffnen Sie die Registerkarte WSRR Subscription.
Klicken Sie in der Liste der WSRR-Server auf WSRRSVR.
- Geben Sie die anderen erforderlichen Informationen an, wie zum Beispiel den Front-End-Handler, den
Namensbereich (Namespace), den Objektnamen usw., um die Konfiguration des Web-Service-Proxys zu erstellen.
Erstellen Sie Richtlinien für den WSP:
- Öffnen Sie die Registerkarte Policy für den WSP-Editor.
- Klicken Sie auf der entsprechenden Ebene auf Processing Rules
(Verarbeitungsregeln). Sie können entweder eine neue Regel erstellen oder die bereitgestellte Standardregel bearbeiten.
Die wichtigste Richtlinienaktion, die hinzugefügt werden muss, ist AAA Action.
Diese Aktion führt die Identifikation, Authentifizierung und Autorisierung durch, die für das Muster entscheidend sind.
Wichtige Elemente, die Sie für die AAA-Aktion angeben müssen, sind Eingabe ('Input') und Ausgabe ('Output')
sowie die AAA-Richtlinie. Sie können die Richtlinie während der Erstellung der AAA-Richtlinienaktion erstellen
oder Sie haben sie möglicherweise schon zuvor mithilfe des AAA-Editors erstellt.
- Die Identifikation ist der Schritt, in dem der Benutzer identifiziert wird. Im bereitgestellten Beispiel
wurden zwei Formen der Identifikation verwendet. In der XML-Firewall 'StoreAddLTPA' wurde die Identifikation
durch eine Basisauthentifizierung ausgeführt.
In der Firewall 'StoreWSP' wurde die Identifikation durch ein LTPA-Token bereitgestellt.
- Die Authentifizierung ist der Schritt, in dem der Benutzer als ein Benutzer bestätigt wird,
der dem System bekannt ist. Es stehen viele Optionen zur Auswahl.
Im Beispiel wurden zwei Optionen gezeigt: Bei der ersten wurde der Benutzer mithilfe von LDAP
überprüft und bei der zweiten wurde ein gültiges LTPA-Token akzeptiert.
- Die Autorisierung ist der Schritt, in dem dem Benutzer die Berechtigung für eine Ressource,
in diesem Fall für die Web-Service-Operationen, erteilt wird. Die folgenden Schlüsselelemente
müssen angegeben werden, um eine boxinterne XACML-PDP-Autorisierung verwenden zu können:
- Die Methode: Use XACML Authorization (XACML-Autorisierung verwenden).
- Die XACML-Version, zum Beispiel 2.0.
- Der PDP-Typ, zum Beispiel verweigerungsbasierter PDP.
- Use On box PDP (boxinternen PDP verwenden): On
- Der Name des PDP, für den das XACML angegeben ist.
- Konfigurieren Sie den PDP. Weitere Informationen finden Sie in
XACML-PDP in DataPower ändern.
- Das angepasste XSL-Style-Sheet zum Binden von AAA und XACML: Verwenden Sie apil-xacml-bindingnew.xsl
als Ausgangspunkt.
Gehen Sie wie folgt vor, um das Gateway zur Verwendung der Überarbeitung (Redaktion) zu konfigurieren:
- Ändern Sie die XACML-Datei (.xml), um sie an die speziellen Sicherheitsrichtlinien
anzupassen, die für die Überarbeitung durchgesetzt werden sollen.
- Erstellen Sie eine XML-Firewall mit einer AAA-Aktion, die sich an dem Überarbeitungsbeispiel orientiert.
- Modifizieren Sie den PDP, der von der obigen AAA-Aktion verwendet wird, sodass er auf das Style-Sheet
verweist, das Sie zur Durchsetzung der Überarbeitung verwenden.
- Kopieren und ändern Sie das Style-Sheet storeCallPDP.xsl, das die
SOAP-Nutzdaten für den XACML-Service erstellt. Stellen Sie insbesondere sicher, dass die Aktion und
die Ressource Ihren Anforderungen für das von Ihnen erstellte XACML-Richtliniendokument entspricht.
- Stellen Sie sicher, dass Ihr geändertes Style-Sheet den richtigen Port für Ihre neue XACML-XML-Firewall aufruft.
Nächste Schritte
Neben der Erstellung einer Domäne und der Einrichtung einer WSRR-Serverkonfiguration
im SOA Policy Gateway Advanced Runtime- und
SOA Policy Gateway Basic Runtime-Muster
ist es möglich, die Domäne durch Ausführen eines angepassten CLI-Scripts zu erweitern. Das CLI-Script muss sich im Stammverzeichnis der Struktur in der Datei DomainZipFile.zip befinden.
Beispiel: /cli.cli. Die CLI (Befehlszeilenschnittstelle) kann CLI-Standardbefehle
ausführen. Alle Artefakte, auf die CLI verweist, müssen jedoch vorhanden sein bzw. für die
DataPower-Domäne, die von dem Muster erstellt wird, zugänglich
sein. Wenn Sie eine Instanz des SOA Policy Gateway Advanced Runtime- oder
SOA Policy Gateway Basic Runtime-Musters implementieren, werden Sie
aufgefordert, den CLI-Dateinamen in den Parametern des Sicherheitspakets ('Security') anzugeben.