In diesem Abschnitt wird die Konfiguration von Tivoli Access
Manager (TAM) für die Aktivierung der Autorisierung mit Tivoli Federated Identity Manager (TFIM) V6.1 beschrieben.
Führen Sie zur Konfiguration von TAM für die Verarbeitung einer Autorisierungsanforderung von TFIM die folgenden Schritte aus. Die Beispiele beziehen sich auf das TAM-Dienstprogramm 'pdadmin' der TAM Version 6.01:
- Überprüfen Sie, ob die vom TFIM-Autorisierungsmodul verwendete Aktionsgruppe verfügbar ist. Die Aktionsgruppe Web-Service wird verwendet:
action group list
Wenn der Web-Service nicht aufgeführt ist, müssen Sie ihn erstellen:
action group create WebService
- Zeigen Sie die Aktion in der Aktionsgruppe an, die vom TFIM-Autorisierungsmodul verwendet wird. Die Aktion "i" wird verwendet:
action list WebService
Falls die Aktion "i" <Kennung> 0 nicht aufgeführt ist, müssen Sie sie erstellen. Der Wert <Kennung> kann variieren:
action create i <label> 0 WebService
- Erstellen Sie die Zugriffssteuerungsliste, mit der der Zugriff auf mindestens einen Nachrichtenfluss erteilt wird. Erstellen Sie zuerst die Zugriffssteuerungsliste, und erteilen Sie den Administratoren Zugriff darauf. In diesem Beispiel ist iv-admin die Verwaltungsgruppe und sec_master der Hauptadministrator:
acl create <Name_Zugriffssteuerungsliste>
acl modify <Name_Zugriffssteuerungsliste> set Group iv-admin TcmdbsvaBRxl[WebService]i
acl modify <Name_Zugriffssteuerungsliste> set User sec_master TcmdbsvaBRxl[WebService]i
- Erteilen Sie allen authentifizierten Benutzern oder bestimmten Gruppen Zugriff, indem Sie diese der Zugriffssteuerungsliste hinzufügen. Erteilen Sie den authentifizierten Identitätszugriff:
acl modify <ACL-Name> set Any-other Trx[WebService]i
So fügen Sie eine bestimmte Gruppe hinzu:
acl modify <ACL-Name> set group <Gruppenname> Trx[WebService]i
- Definieren Sie geschützte Objektbereiche in TAM für die Autorisierung von Nachrichtenflüssen:
- Erstellen Sie das Containerobjekt der Anwendung als Stammverzeichnis des geschützten Objektbereichs. Mit diesem Namen wird eine Verbindung zwischen einer Instanz des TFIM-Moduls 'AuthorizationSTSModule' (in einer Modulkette) und dem TAM-Objektbereich hergestellt. Der Containerobjektname muss mit dem Parameter Geschützter Objektname des Web-Service in einem TFIM-Autorisierungsmodul übereinstimmen.
objectspace create /<Containerobjektname> <Beschreibung> 14
- Erstellen Sie die Containerobjekte in der Baumstruktur für jeden Brokernachrichtenfluss, der autorisiert wird. Mit dem Nachrichtenflussname sucht TFIM über die zugeordnete Zugriffssteuerungsliste einen Punkt in der Baumstruktur des TAM-Objektbereichs für die Autorisierung. Der Nachrichtenflussname wird in der WS-Trust-Anforderung als Porttyp an TFIM übergeben. Mit dem folgenden Befehl erstellen Sie den Knoten der Objektbaumstruktur, der jeden Nachrichtenfluss für die Autorisierung darstellt:
object create /<Containerobjektname>/<Nachrichtenflussname> <Beschreibung> 11 ispolicyattachable yes
Der Parameter ispolicyattachable gilt für alle Stufen, somit können Sie eine Zugriffssteuerungsliste in jeder Stufe anhängen.
- Erstellen Sie das Endpunktobjekt, welches das autorisierte Objekt für die Zugriffserteilung auf den Nachrichtenfluss darstellt. Dabei handelt es sich um die festgelegte Zeichenfolge MessageFlowAccess, die der Broker über die TFIM-Erweiterung Operationsname an die WS-Trust-Anforderung sendet. Anstelle eines echten Operationsnamens muss ein festgelegter Name (MessageFlowAccess) verwendet werden, da der Broker am Empfangsknoten nicht unbedingt weiß, welche Operation ein Nachrichtenfluss ausführen wird.
Der Befehl hat die folgende Syntax:
object create /<Containerobjektname>/<Nachrichtenflussname>/MessageFlowAccess <Beschreibung> 12 ispolicyattachable yes
Dabei wurde der <Nachrichtenflussname> in einem früheren Schritt erstellt.
- Hängen Sie die Zugriffssteuerungsliste an den relevanten Knoten in der Baumstruktur des geschützten Objektbereichs an. Jeder Knoten im Objektbereich übernimmt die Zugriffssteuerungslisten von seinem übergeordneten Element, und eine Zugriffssteuerungsliste einer niedrigen Ebene kann eine Zugriffssteuerungsliste einer höheren Ebene überschreiben. Mit der folgenden Befehlssyntax können Sie eine Zugriffssteuerungsliste an einen Knoten im Objektbereich anhängen:
acl attach /<Objektbereichspfad> <ACL-Name>
So hängen Sie eine Zugriffssteuerungsliste an den Endpunktknoten an:
acl attach /<Containerobjektname>/<Nachrichtenflussname>/MessageFlowAccess <ACL-Name>
Weitere Informationen zur Konfiguration von TAM finden Sie in der Information Center für IBM® Sicherheitssysteme.