En este tema se describe cómo configurar
Tivoli
Access Manager (TAM) para permitir la autorización mediante
Tivoli
Federated Identity Manager (TFIM) V6.1.
Si desea configurar TAM para procesar una solicitud de autorización de TFIM, realice
los pasos siguientes. Los ejemplos están relacionados con el programa de utilidad
pdadmin de TAM Versión 6.01:
- Compruebe que el grupo de acciones utilizado por el módulo de
autorización de TFIM esté disponible. El grupo de acciones utilizado es WebService:
lista de grupos de acciones
Si WebService no se lista, créelo:
action group create WebService
- Visualizar la acción en el grupo de acciones utilizado
por el módulo de autorización de TFIM. La acción utilizada es "i":
action list WebService
Si la acción "i" <etiqueta> 0 no se lista, créela. El valor de <etiqueta> puede variar:
action create i <etiqueta> 0 WebService
- Cree la Lista de control de accesos (ACL) que se utilizará para otorgar acceso a uno
o más flujos de mensajes. En primer lugar, cree la ACL y dé a los administradores acceso a la misma. En este ejemplo, iv-admin es el grupo de administradores
y sec_master es el administrador principal:
acl create <NombreAcl>
acl modify <NombreAcl> set Group iv-admin TcmdbsvaBRxl[WebService]i
acl modify <NombreAcl> set User sec_master TcmdbsvaBRxl[WebService]i
- Otorgue acceso a todos los usuarios autenticados o a grupos específicos añadiéndolos
a la ACL. Otorgue cualquier acceso de identidad autenticado:
acl modify <NombreAcl> set Any-other Trx[WebService]i
Para añadir un grupo específico:
acl modify <NombreAcl> set group <NombreGrupo> Trx[WebService]i
- Defina espacios de objeto protegidos en TAM para la autorización de flujos de mensajes:
- Cree el objeto contenedor de aplicación como la raíz
del espacio de objeto protegido. Éste es el nombre que se utiliza para enlazar una instancia de
un módulo STS de autorización (AuthorizationSTSModule) de TFIM (dentro de una cadena
de módulos) en el espacio de objeto TAM. Se especifica el nombre de objeto contenedor
de forma que coincida con el parámetro Nombre de objeto protegido de servicio Web
de un módulo de autorización de TFIM.
objectspace create /<NombreObjetoContenedor> <Descripción> 14
- Cree los objetos contenedores en el árbol para cada flujo de mensajes de intermediario
que se está autorizando. TFIM utiliza el nombre de flujo de mensajes para localizar un punto en el árbol de espacio
de objeto TAM para la autorización, mediante la ACL adjunta. El nombre de flujo de mensajes se pasa como el tipo de puerto (PortType)
en la solicitud WS-Trust a TFIM. Utilice el siguiente mandato para crear el nodo de árbol
de objetos que representa cada flujo que se debe autorizar:
object create /<NombreObjetoContenedor>/<NombreFlujo> <Descripción> 11 ispolicyattachable yes
El parámetro ispolicyattachable se aplica a todos los niveles,
de modo que puede adjuntar un ACL en cualquier nivel.
- Cree el objeto hoja que representa el objeto autorizado para otorgar acceso al
flujo de mensajes. Se trata de la serie fija MessageFlowAccess,
que el intermediario envía a TFIM a través de la extensión
NombreOperación de TFIM en la solicitud
WS-Trust. Se utiliza un nombre fijo (MessageFlowAccess) en lugar de un nombre de
operación verdadero, porque el intermediario no conoce necesariamente en el nodo de
entrada qué operación va a realizar un flujo. La sintaxis del mandato es la siguiente:
object create /<NombreObjetoContenedor>/<NombreFlujo>/MessageFlowAccess <Descripción> 12 ispolicyattachable yes
donde <NombreFlujo> se ha creado en un paso anterior.
- Adjunte la ACL al nodo pertinente en el árbol de espacio de objetos protegido. Cada nodo del espacio de objetos hereda las ACL de su padre y una ACL de nivel
inferior puede alterar temporalmente una de nivel superior. Utilice la sintaxis
de mandato siguiente para adjuntar una
ACL a un nodo en el espacio de objetos:
acl attach /<VíaAccesoEspacioObjetos> <NombreAcl>
Para adjuntar una ACL al nodo hoja:
acl attach /<NombreObjetoContenedor>/<NombreFlujo>/MessageFlowAccess <NombreAcl>
Para obtener información adicional sobre cómo configurar TAM, consulteCentro de información de IBM® Security Systems.