L'istanza o il dispositivo
DataPower rappresentano il
PEP (Policy Enforcement Point) di
IBM® SOA
Policy Gateway Pattern. Quando
viene distribuito il dominio dell'applicazione, è possibile creare il
contenuto di tale dominio.
Procedura
Durante l'impostazione delle configurazioni, verificare che
siano utilizzati nomi di dominio differenti su ciascun dispositivo DataPower;
in caso contrario, gli spazi di lavoro della topologia ITCAM for SOA
non visualizzano i dati corretti.
Creare un WSP (Web Service Proxy):
- Dal Pannello di controllo
DataPower, fare clic su
WSP (Web Service Proxy).
- Fare clic su Aggiungi ed immettere un nome per il
proxy.
- Aprire la scheda Sottoscrizione WSRR.
Nell'elenco Server WSRR, fare clic su
WSRRSVR.
- Fornire le altre informazioni richieste, come, ad esempio, Gestore front
side, lo spazio dei nomi, il nome dell'oggetto e così via, per creare la
configurazione del WSP (Web Service Proxy).
Creare le politiche per il WSP:
- Aprire la scheda Politica per l'Editor WSP.
- Fare clic su Regole di elaborazione al livello
appropriato.
È possibile creare una nuova regola oppure modificare la regola predefinita
fornita.
L'azione della politica chiave da aggiungere è
l'Azione AAA.
Tale azione gestisce l'identificazione, l'autenticazione e l'autorizzazione
che sono elementi fondamentali per il pattern.
I fattori fondamentali che è necessario specificare per l'azione AAA
includono l'input e l'output e la politica AAA.
È possibile creare la politica durante la creazione dell'azione della
politica AAA oppure, in precedenza, utilizzando l'editor AAA.
- L'identificazione è la fase durante la quale l'utente viene
identificato.
Nell'esempio, sono utilizzati due tipi di identificazione.
Nel firewall XML StoreAddLTPA, l'identificazione ha utilizzato l'autenticazione di
base.
Nel firewall StoreWSP, l'identificazione è stata fornita dal token LTPA.
- L'autenticazione è la fase in cui l'utente viene riconosciuto
dal sistema.
Sono disponibili diverse opzioni. Nell'esempio, sono presenti due esempi; il
primo in cui l'utente viene ricercato utilizzando LDAP ed il secondo in cui
viene accettato un token LTPA valido.
- L'autorizzazione è la fase in cui l'utente viene autorizzato per
la risorsa, in questo caso le operazioni del servizio Web.
Per utilizzare l'autorizzazione PDP XACML inclusa, è necessario specificare
i seguenti elementi chiave:
- Metodo: Utilizza autorizzazione XACML.
- Versione XACML; ad esempio, 2.0.
- Tipo PDP; ad esempio, PDP basato sulla negazione.
- Utilizza PDP incluso: Attivo
- Il nome del PDP, con XACML specificato.
- Configurare il PDP. Per ulteriori informazioni, consultare
Modifica del PDP XACML PDP in DataPower.
- Il foglio di stile XSL personalizzato per eseguire il bind di AAA e XACML:
utilizzare
apil-xacml-bindingnew.xsl come punto di partenza.
Per configurare il gateway per l'utilizzo della revisione:
- Modificare il file .xml XACML in modo da
corrispondere alle particolari politiche di sicurezza che si desidera
applicare per la revisione.
- Creare un firewall XML con un'azione AAA che segue l'esempio di
revisione.
- Modificare il PDP utilizzato dall'azione AAA precedente in modo da
puntare al foglio di stile utilizzato per applicare la revisione.
- Copiare e modificare il foglio di stile
storeCallPDP.xsl, che crea il payload SOAP per il
servizio XACML. In particolare, verificare l'azione e la risorsa corrispondano
ai requisiti per il documento della politica XACML creato.
- Verificare che il foglio di stile modificato richiami la porta corretta
per il nuovo firewall XML XACML.