O dispositivo DataPower
é o Policy Enforcement Point (PEP) do IBM® SOA
Policy Gateway Pattern.
Quando o Domínio de Aplicativo está implementado, é possível criar
o conteúdo desse domínio.
Procedimento
Crie um Web Service Proxy (WSP):
- No Painel de Controle do DataPower,
clique em Web Service Proxy.
- Clique em Incluir e insira um nome para o
Proxy.
- Abra a guia Assinatura do WSRR.
Na lista de Servidores WSRR, clique em WSRRSVR.
- Forneça as outras informações necessárias, como o Manipulador
Frontal, o namespace, o nome do objeto e assim por diante, para criar
a configuração do Web Service Proxy.
Crie políticas para o WSP:
- Abra a guia Política para o Editor do
WSP.
- Clique em Regras de Processamento no nível
apropriado. É possível criar uma nova regra ou editar a regra padrão fornecida.
A ação de política principal a ser inclusa é a Ação AAA.
Isso manipula a Identificação, Autenticação e Autorização,
que são a chave para o padrão.
As principais coisas que você deve especificar
para a ação AAA incluem a Entrada e Saída, bem como a Política
AAA. É possível criar a política durante o processo de criação
da Ação de Política AAA, ou você pode tê-la criado antes disso
usando o Editor AAA.
- Identificação é a etapa na qual o usuário é Identificado. Em nossa
amostra, havia duas formas de identificação usadas. No firewall XML
StoreAddLTPA, a identificação foi executada com autenticação básica.
No firewall StoreWSP, a identificação foi fornecida pelo token LTPA.
- Autenticação é a etapa na qual o usuário comprova ser um usuário
conhecido no sistema. Há muitas opções para escolha.
Na amostra, mostramos dois exemplos; o primeiro em que o usuário
foi procurado usando LDAP e o segundo que aceitou um Token LTPA
válido.
- Autorização é a etapa na qual o usuário está autorizado para o
recurso, neste caso, as operações de serviço da web. Os elementos principais
a seguir precisam ser especificados para usar a autorização do PDP na caixa do XACML:
- O Método: Usar Autorização XACML.
- A Versão do XACMLn; por exemplo, 2.0.
- Tipo de PDP; por exemplo, PDP baseado em negação.
- Usar PDP na caixa: Ativado
- O nome do PDP, que possui o XACML especificado.
- Configure o PDP. Para obter
informações adicionais, consulte Alterando o PDP XACML no DataPower.
- A folha de estilo XSL customizada para ligar o AAA e o XACML: use apil-xacml-bindingnew.xsl como
um ponto de início.
Para configurar o gateway para usar a Edição de Dados:
- Modifique o arquivo .xml do XACML para corresponder
às políticas de segurança específicas que você deseja impingir para a edição de dados.
- Crie um Firewall XML com uma ação AAA que segue
a amostra de edição de dados.
- Modifique o PDP usado pela ação AAA acima para apontar para
a folha de estilo que você está usando para impingir a edição de dados.
- Copie e modifique a folha de estilo storeCallPDP.xsl,
que cria a carga útil SOAP para o serviço XACML. Em particular,
certifique-se de que a Ação e o Recurso correspondam a seus requisitos para
o documento sobre políticas XACML criado.
- Certifique-se de que sua folha de estilo modificada chame a porta
correta para seu novo Firewall XML do XACML.
O que Fazer Depois
Além de criar um Domínio e definir uma Configuração do
WSRR Server nos padrões SOA Policy Gateway Advanced Runtime e SOA Policy Gateway Basic Runtime,
é possível estender o domínio executando um script de CLI customizado.
O script de CLI deve estar na raiz da estrutura DomainZipFile.zip;
por exemplo, /cli.cli. A CLI pode executar quaisquer comandos
de CLI padrão, mas todos os artefatos aos quais a CLI se refere devem existir
ou ser acessíveis pelo Domínio do DataPower
criado pelo padrão. Ao implementar uma instância dos padrões SOA Policy Gateway Advanced Runtime ou SOA Policy Gateway Basic Runtime,
o nome do arquivo de CLI será solicitado nos parâmetros do pacote de
Segurança.