Configurando o Policy Enforcement Point

O dispositivo DataPower é o Policy Enforcement Point (PEP) do IBM® SOA Policy Gateway Pattern. Quando o Domínio de Aplicativo está implementado, é possível criar o conteúdo desse domínio.

Procedimento

Crie um Web Service Proxy (WSP):

  1. No Painel de Controle do DataPower, clique em Web Service Proxy.
  2. Clique em Incluir e insira um nome para o Proxy.
  3. Abra a guia Assinatura do WSRR. Na lista de Servidores WSRR, clique em WSRRSVR.
  4. Forneça as outras informações necessárias, como o Manipulador Frontal, o namespace, o nome do objeto e assim por diante, para criar a configuração do Web Service Proxy.

Crie políticas para o WSP:

  1. Abra a guia Política para o Editor do WSP.
  2. Clique em Regras de Processamento no nível apropriado. É possível criar uma nova regra ou editar a regra padrão fornecida. A ação de política principal a ser inclusa é a Ação AAA. Isso manipula a Identificação, Autenticação e Autorização, que são a chave para o padrão.

    As principais coisas que você deve especificar para a ação AAA incluem a Entrada e Saída, bem como a Política AAA. É possível criar a política durante o processo de criação da Ação de Política AAA, ou você pode tê-la criado antes disso usando o Editor AAA.

    • Identificação é a etapa na qual o usuário é Identificado. Em nossa amostra, havia duas formas de identificação usadas. No firewall XML StoreAddLTPA, a identificação foi executada com autenticação básica. No firewall StoreWSP, a identificação foi fornecida pelo token LTPA.
    • Autenticação é a etapa na qual o usuário comprova ser um usuário conhecido no sistema. Há muitas opções para escolha. Na amostra, mostramos dois exemplos; o primeiro em que o usuário foi procurado usando LDAP e o segundo que aceitou um Token LTPA válido.
    • Autorização é a etapa na qual o usuário está autorizado para o recurso, neste caso, as operações de serviço da web. Os elementos principais a seguir precisam ser especificados para usar a autorização do PDP na caixa do XACML:
      • O Método: Usar Autorização XACML.
      • A Versão do XACMLn; por exemplo, 2.0.
      • Tipo de PDP; por exemplo, PDP baseado em negação.
      • Usar PDP na caixa: Ativado
      • O nome do PDP, que possui o XACML especificado.
      • Configure o PDP. Para obter informações adicionais, consulte Alterando o PDP XACML no DataPower.
      • A folha de estilo XSL customizada para ligar o AAA e o XACML: use apil-xacml-bindingnew.xsl como um ponto de início.

Para configurar o gateway para usar a Edição de Dados:

  1. Modifique o arquivo .xml do XACML para corresponder às políticas de segurança específicas que você deseja impingir para a edição de dados.
  2. Crie um Firewall XML com uma ação AAA que segue a amostra de edição de dados.
  3. Modifique o PDP usado pela ação AAA acima para apontar para a folha de estilo que você está usando para impingir a edição de dados.
  4. Copie e modifique a folha de estilo storeCallPDP.xsl, que cria a carga útil SOAP para o serviço XACML. Em particular, certifique-se de que a Ação e o Recurso correspondam a seus requisitos para o documento sobre políticas XACML criado.
  5. Certifique-se de que sua folha de estilo modificada chame a porta correta para seu novo Firewall XML do XACML.

O que Fazer Depois

Além de criar um Domínio e definir uma Configuração do WSRR Server nos padrões SOA Policy Gateway Advanced Runtime e SOA Policy Gateway Basic Runtime, é possível estender o domínio executando um script de CLI customizado. O script de CLI deve estar na raiz da estrutura DomainZipFile.zip; por exemplo, /cli.cli. A CLI pode executar quaisquer comandos de CLI padrão, mas todos os artefatos aos quais a CLI se refere devem existir ou ser acessíveis pelo Domínio do DataPower criado pelo padrão. Ao implementar uma instância dos padrões SOA Policy Gateway Advanced Runtime ou SOA Policy Gateway Basic Runtime, o nome do arquivo de CLI será solicitado nos parâmetros do pacote de Segurança.


Tarefa Tarefa

Feedback


Ícone de registro de data e hora Última atualização: 14 de novembro de 2012


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr.doc/topics/tsoa2_PEP_config.htm