Configurazione del PEP (Policy Enforcement Point)

L'istanza o il dispositivo DataPower rappresentano il PEP (Policy Enforcement Point) di IBM® SOA Policy Gateway Pattern. Quando viene distribuito il dominio dell'applicazione, è possibile creare il contenuto di tale dominio.

Procedura

Durante l'impostazione delle configurazioni, verificare che siano utilizzati nomi di dominio differenti su ciascun dispositivo DataPower; in caso contrario, gli spazi di lavoro della topologia ITCAM for SOA non visualizzano i dati corretti.

Creare un WSP (Web Service Proxy):

  1. Dal Pannello di controllo DataPower, fare clic su WSP (Web Service Proxy).
  2. Fare clic su Aggiungi ed immettere un nome per il proxy.
  3. Aprire la scheda Sottoscrizione WSRR. Nell'elenco Server WSRR, fare clic su WSRRSVR.
  4. Fornire le altre informazioni richieste, come, ad esempio, Gestore front side, lo spazio dei nomi, il nome dell'oggetto e così via, per creare la configurazione del WSP (Web Service Proxy).

Creare le politiche per il WSP:

  1. Aprire la scheda Politica per l'Editor WSP.
  2. Fare clic su Regole di elaborazione al livello appropriato. È possibile creare una nuova regola oppure modificare la regola predefinita fornita. L'azione della politica chiave da aggiungere è l'Azione AAA. Tale azione gestisce l'identificazione, l'autenticazione e l'autorizzazione che sono elementi fondamentali per il pattern.

    I fattori fondamentali che è necessario specificare per l'azione AAA includono l'input e l'output e la politica AAA. È possibile creare la politica durante la creazione dell'azione della politica AAA oppure, in precedenza, utilizzando l'editor AAA.

    • L'identificazione è la fase durante la quale l'utente viene identificato. Nell'esempio, sono utilizzati due tipi di identificazione. Nel firewall XML StoreAddLTPA, l'identificazione ha utilizzato l'autenticazione di base. Nel firewall StoreWSP, l'identificazione è stata fornita dal token LTPA.
    • L'autenticazione è la fase in cui l'utente viene riconosciuto dal sistema. Sono disponibili diverse opzioni. Nell'esempio, sono presenti due esempi; il primo in cui l'utente viene ricercato utilizzando LDAP ed il secondo in cui viene accettato un token LTPA valido.
    • L'autorizzazione è la fase in cui l'utente viene autorizzato per la risorsa, in questo caso le operazioni del servizio Web. Per utilizzare l'autorizzazione PDP XACML inclusa, è necessario specificare i seguenti elementi chiave:
      • Metodo: Utilizza autorizzazione XACML.
      • Versione XACML; ad esempio, 2.0.
      • Tipo PDP; ad esempio, PDP basato sulla negazione.
      • Utilizza PDP incluso: Attivo
      • Il nome del PDP, con XACML specificato.
      • Configurare il PDP. Per ulteriori informazioni, consultare Modifica del PDP XACML PDP in DataPower.
      • Il foglio di stile XSL personalizzato per eseguire il bind di AAA e XACML: utilizzare apil-xacml-bindingnew.xsl come punto di partenza.

Per configurare il gateway per l'utilizzo della revisione:

  1. Modificare il file .xml XACML in modo da corrispondere alle particolari politiche di sicurezza che si desidera applicare per la revisione.
  2. Creare un firewall XML con un'azione AAA che segue l'esempio di revisione.
  3. Modificare il PDP utilizzato dall'azione AAA precedente in modo da puntare al foglio di stile utilizzato per applicare la revisione.
  4. Copiare e modificare il foglio di stile storeCallPDP.xsl, che crea il payload SOAP per il servizio XACML. In particolare, verificare l'azione e la risorsa corrispondano ai requisiti per il documento della politica XACML creato.
  5. Verificare che il foglio di stile modificato richiami la porta corretta per il nuovo firewall XML XACML.

Attività Attività

Feedback


Timestamp icon Ultimo aggiornamento: 6 Marzo 2014


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr25.doc/topics/tsoa2_PEP_config.htm