Der Web-Service-Proxy (WSP) 'Store' ist das primäre Gateway der Anwendungsdomäne. Er empfängt
eine Anforderung mit einem angehängten LTPA-Token.
Bei Anforderung führt die Verarbeitungsregel für die Anforderung die folgenden Aktionen aus:
- Sie prüft die Anforderung, wie dies durch die Prüfrichtlinie (Validation) angefordert wird. Weitere Informationen finden Sie in
Übersicht über die WSRR-Artefakte im Beispiel.
- Sie leitet die Anforderung an den alternativen Endpunkt weiter, wenn das Service-Level-Agreement
(SLA) die Benutzerkategorie
Gold
angibt.
- Sie führt die Authentifizierung, die Autorisierung und die Abrechnung (AAA) für die Anforderung aus. Dies umfasst
die folgenden Aktionen:
- Authentifizieren des Benutzers mit einem LTPA-Token.
- Zuordnen der Berechtigungsnachweise mithilfe des LDAP-Servers, der Informationen dazu
bereitstellt, zu welcher Gruppe der Kunde gehört. Diese Gruppen sind 'Manager', 'Clerk' (Sachbearbeiter)
und 'Customer' (Kunde).
- Umwandeln der angegebenen Eingaben in ein Anforderungsobjekt, das der XACML-Richtlinienentscheidungspunkt (PDP) verarbeiten kann.
- Ausführen der Autorisierung mithilfe eines XACML-PDP in der DataPower-Box
mit einem XACML-Richtliniendokument, das in IBM®
Tivoli Security Policy Manager erstellt werden kann.
Die Kriterien der Richtlinie legen fest, dass der Benutzer ein Manager, ein Kunde (Customer) oder ein
Sachbearbeiter (Clerk) sein muss. Für die Operation 'findInventory' erfordern die Rückgaben entweder einen Manager
oder einen Sachbearbeiter, während die Operation 'purchase' von Kunden ausgeführt werden kann.
- Sie legt den Wert für ConsumerID mithilfe eines XSL-Scripts fest.
- Sie entfernt den gesamten HTTP-Sicherheitsheader aus der Anforderung.
- Sie ruft das Back-End für den Service 'Store' auf.
Wenn die Anforderung verarbeitet ist,
führt die Antwortverarbeitungsregel die folgenden Aktionen aus:
- Sie ruft das Gateway 'StoreXACMLFW' auf, das als PDP im Szenario dient.
- Abhängig von der Antwort wird das Feld für die Preisinformation überarbeitet (mit Nullen überschrieben),
je nach dem, ob der Benutzer die Managerrolle hat oder nicht.