O dispositivo ou a instância DataPower é o Policy Enforcement Point (PEP) do IBM® SOA
Policy Gateway Pattern. Quando o Domínio de Aplicativo está implementado, é possível criar
o conteúdo desse domínio.
Procedimento
Ao definir suas configurações, assegure-se de que nomes de domínio diferentes sejam usados em cada dispositivo DataPower; caso contrário, as áreas de trabalho de topologia do ITCAM for SOA não exibirão os dados corretos.
Crie um Web Service Proxy (WSP):
- No Painel de Controle do DataPower,
clique em Web Service Proxy.
- Clique em Incluir e insira um nome para o
Proxy.
- Abra a guia Assinatura do WSRR.
Na lista de Servidores WSRR, clique em WSRRSVR.
- Forneça as outras informações necessárias, como o Manipulador do Lado Frontal, o namespace, o nome do objeto etc., para criar a configuração do Web Service Proxy.
Crie políticas para o WSP:
- Abra a guia Política para o Editor do
WSP.
- Clique em Regras de Processamento no nível
apropriado. É possível criar uma nova regra ou editar a regra padrão fornecida.
A ação de política principal a ser inclusa é a Ação AAA.
Isso manipula a Identificação, Autenticação e Autorização,
que são a chave para o padrão.
Dentre os itens principais que você deve especificar para a ação AAA estão a Entrada e a Saída, bem como a Política AAA. É possível criar a política durante a criação da Ação de Política AAA ou é possível criá-la antes disso usando o editor AAA.
- Identificação é a etapa na qual o usuário é Identificado. Na amostra, há duas formas de identificação usadas. No firewal XML StoreAddLTPA, a identificação usou autenticação básica.
No firewall StoreWSP, a identificação foi fornecida pelo token LTPA.
- A autenticação é a etapa em que é comprovado que o usuário é conhecido pelo sistema.
Há muitas opções para escolha. Na amostra, há dois exemplos; o primeiro, em que o usuário foi
procurado usando LDAP e o segundo, que aceitou um Token LTPA válido.
- Autorização é a etapa na qual o usuário está autorizado para o
recurso, neste caso, as operações de serviço da web. Os seguintes elementos principais devem ser especificados para usar PDP na caixa de XACML:
- O Método: Usar Autorização XACML.
- A Versão do XACMLn; por exemplo, 2.0.
- Tipo de PDP; por exemplo, PDP baseado em negação.
- Usar PDP na caixa: Ativado
- O nome do PDP, que possui o XACML especificado.
- Configure o PDP. Para obter
informações adicionais, consulte Alterando o PDP XACML no DataPower.
- A folha de estilo XSL customizada para ligar o AAA e o XACML: use apil-xacml-bindingnew.xsl como
um ponto de início.
Para configurar o gateway para usar a Edição de Dados:
- Modifique o arquivo .xml do XACML para corresponder às políticas de segurança específicas que você deseja impingir para a edição de dados.
- Crie um Firewall XML com uma ação AAA que segue
a amostra de edição de dados.
- Modifique o PDP usado pela ação AAA acima para apontar para
a folha de estilo que você está usando para impingir a edição de dados.
- Copie e modifique a folha de estilo storeCallPDP.xsl, que cria a carga útil SOAP para o serviço XACML. Em particular,
certifique-se de que a Ação e o Recurso correspondam a seus requisitos para
o documento sobre políticas XACML criado.
- Certifique-se de que sua folha de estilo modificada chame a porta
correta para seu novo Firewall XML do XACML.