Este tópico descreve como configurar o Tivoli Access
Manager (TAM) para ativar a autorização usando o Tivoli Federated
Identity Manager (TFIM) V6.1.
Para configurar o TAM para processar um pedido de autorização do TFIM, execute as etapas a seguir. Os exemplos estão relacionados ao utilitário pdadmim do TAM Versão 6.01.
- Verifique se o grupo de ação utilizado pelo módulo de autorização do TFIM está disponível. O grupo de ação utilizado é WebService:
action group list
Se WebService não estiver listado, crie-o:
action group create WebService
- Exiba a ação no grupo de ações utilizado pelo
módulo de autorização do TFIM. A ação utilizada é "i":
action list WebService
Se a ação "i" <label> 0 não estiver listada, crie-a. O valor de <label> pode variar:
action create i <label> 0 WebService
- Crie a ACL (Lista de Controle de Acesso) que será utilizada para conceder acesso
a um ou mais fluxos de mensagens. Primeiro, crie a ACL e forneça aos administradores acesso a ela. Neste exemplo, iv-admin é o grupo de administração e
sec_master é o administrador principal:
acl create <AclName>
acl modify <AclName> set Group iv-admin TcmdbsvaBRxl[WebService]i
acl modify <AclName> set User sec_master TcmdbsvaBRxl[WebService]i
- Conceda acesso a todos os usuários autenticados ou a grupos específicos, incluindo-os na ACL. Conceda qualquer acesso de identidade autenticada:
acl modify <AclName> set Any-other Trx[WebService]i
Para incluir um grupo específico:
acl modify <AclName> set group <GroupName> Trx[WebService]i
- Defina espaços de objetos protegidos no TAM para autorização do fluxo de mensagens:
- Crie o objeto de contêiner do aplicativo como a raiz
do espaço de objeto protegido. Esse é o nome utilizado para ligar uma instância de um TFIM AuthorizationSTSModule (em uma cadeia de módulo) no espaço de objeto do TAM. O nome do objeto de contêiner é especificado para corresponder ao parâmetro
nome do objeto protegido pelo Serviço da Web em um módulo de Autorização do TFIM.
objectspace create /<ContainerObjectName> <Description> 14
- Crie os objetos de contêiner na árvore para cada fluxo de mensagens do intermediário
que está sendo autorizado. O nome do fluxo de mensagens é utilizado pelo
TFIM para localizar um ponto na árvore Espaço de Objeto do TAM para Autorização através da ACL anexada. O nome do fluxo de mensagens é transmitido como PortType no pedido WS-Trust ao TFIM. Utilize o comando a seguir para criar o nó da árvore de objetos que representa cada fluxo a ser autorizado:
object create /<ContainerObjectName>/<FlowName> <Description> 11 ispolicyattachable yes
O parâmetro ispolicyattachable aplica-se a todos os níveis, portanto, você pode anexar uma ACL em qualquer nível.
- Crie o objeto folha que representa o objeto autorizado a conceder acesso ao fluxo de mensagens. Essa é a cadeia fixa MessageFlowAccess, que o intermediário envia ao TFIM pela extensão OperationName do TFIM ao pedido
WS-Trust. Um nome fixo (MessageFlowAccess) é utilizado em vez de um nome de
operação verdadeiro, porque o intermediário não sabe necessariamente
no nó de entrada qual operação um fluxo irá desempenhar.
A sintaxe do comando é:
object create /<ContainerObjectName>/<FlowName>/MessageFlowAccess <Description> 12 ispolicyattachable yes
onde <FlowName> foi criado em uma etapa anterior.
- Conecte uma ACL ao nó relevante na árvore de espaços de objeto protegida. Cada nó do espaço de objeto herda ACLs de seu pai e uma ACL de nível inferior pode substituir uma de nível superior. Utilize a sintaxe de comando a seguir para anexar uma ACL em um nó no espaço de objeto:
acl attach /<ObjectSpacePath> <AclName>
Para anexar uma ACL
ao nó folha:
acl attach /<ContainerObjectName>/<FlowName>/MessageFlowAccess <AclName>
Para obter informações adicionais sobre como configurar o TAM, consulte
centros
de informações do IBM®
Security Systems.