Le dispositif ou l'instance DataPower est le point d'application de règles (PEP, Policy Enforcement Point) du modèle IBM® SOA Policy Gateway Pattern.
Lors du déploiement du domaine d'application, il est possible de créer le contenu de ce domaine.
Procédure
Lors de l'installation de vos configurations, assurez-vous que différents noms de domaine sont utilisés sur chaque dispositif DataPower, de sorte que des données correctes s'affichent dans les espaces de travail de topologie ITCAM pour SOA.
Créez un proxy de service Web (WSP, Web Service Proxy) :
- Dans le panneau de commande de DataPower, cliquez sur Web Service Proxy.
- Cliquez sur Add (Ajouter) et entrez un nom pour le proxy.
- Ouvrez l'onglet WSRR Subscription (Abonnement WSRR).
Dans la liste WSRR Server, cliquez sur WSRRSVR.
- Complétez les autres informations requises, comme Front Side Handler, l'espace de nom, le nom de l'objet, etc., pour créer la configuration du proxy de services Web (Web Service Proxy).
Créez des règles pour le WSP (Web Service Proxy) :
- Ouvrez l'onglet Policy pour l'éditeur de proxy de service Web (WSP Editor).
- Cliquez sur Processing Rules (Traitement des règles) au niveau approprié. Vous pouvez créer une règle ou modifier la règle par défaut fournie.
L'action de stratégie de clés à ajouter est AAA Action.
Cette action gère l'identification, l'authentification et l'autorisation qui sont des données importantes pour le modèle.
Les éléments importants que vous devez spécifier pour l'action AAA incluent l'entrée et la sortie, ainsi que la stratégie AAA. Vous pouvez créer la règle durant la création de l'action de stratégie AAA ou vous pouvez la créer préalablement à l'aide de l'éditeur AAA.
- L'identification est l'étape durant laquelle l'utilisateur est identifié. Dans notre exemple, deux formes d'identification sont employées. Dans le pare-feu XML StoreAddLTPA, l'identification a été effectuée avec une authentification de base.
Dans le pare-feu StoreWSP, l'identification a été fournie par le jeton LTPA.
- L'authentification est l'étape dans laquelle il est admis que l'utilisateur est connu du système. Vous avez le choix parmi de nombreuses options. Ici, deux exemples sont présentés ; dans le premier, l'utilisateur était recherché à l'aide de LDAP et dans le deuxième, il a été accepté au moyen d'un jeton LTPA valide.
- L'autorisation est l'étape dans laquelle l'utilisateur est autorisé pour la ressource, ici, les opérations de service Web. Les éléments importants suivants doivent être spécifiés pour utiliser une autorisation de point de décision de règles XACML du dispositif DataPower :
- La méthode : Use XACML Authorization (Utiliser une autorisation XACML).
- La version XACML ; par exemple 2.0.
- Le type de point de décision de règles (PDP) ; par exemple, PDP fondé sur un refus.
- L'utilisation du point de décision de règles du dispositif DataPower : On (activé)
- Le nom du point de décision de règles (PDP), dont XACML est spécifié.
- Configurez le point de décision de règles (PDP). Pour plus d'informations, voir Modification du point de décision de règles XACML sous DataPower.
- La feuille de style XSL personnalisée pour lier AAA et XACML : utilisez apil-xacml-bindingnew.xsl comme point de départ.
Pour configurer la passerelle afin qu'elle utilise la rédaction :
- Modifiez le fichier XACML .xml pour l'adapter aux règles de sécurité que vous souhaitez appliquer à la rédaction.
- Créez un pare-feu XML avec une action AAA qui suit l'exemple de rédaction.
- Modifiez le point de décision de règles (PDP) utilisé par l'action AAA ci-dessus pour pointer sur la feuille de style que vous utilisez pour appliquer la rédaction.
- Copiez et modifiez la feuille de style storeCallPDP.xsl, qui crée la charge SOAP pour le service XACML. En particulier, assurez-vous que l'action et la ressource correspondent à vos exigences pour le document de stratégie XACML que vous avez créé.
- Vérifiez que votre feuille de style modifiée appelle le port approprié pour votre nouveau pare-feu XML XACML.