ポリシー実施ポイントの構成

DataPower® アプライアンスまたはインスタンスは、IBM® SOA Policy Gateway Patternのポリシー実施ポイント (PEP) です。 アプリケーション・ドメインがデプロイされるとき、そのドメインのコンテンツを作成することができます。

手順

構成設定の段階で、各 DataPower アプライアンスに異なるドメイン・ネームが使用されていることを確認します。 そうでない場合、SOA トポロジー・ワークスペースの ITCAM に正しいデータが表示されません。

Web サービス・プロキシー (WSP) を作成します。

  1. DataPower 制御パネルで「Web サービス・プロキシー (Web Service Proxy)」をクリックします。
  2. 「追加 (Add)」をクリックして、プロキシーの名前を入力します。
  3. 「WSRR サブスクリプション (WSRR Subscription)」タブを開きます。 「WSRR サーバー (WSRR Server)」リストで、「WSRRSVR」をクリックします。
  4. フロント・サイド・ハンドラー、名前空間、オブジェクト名など、必要な他の情報を指定して、Web サービス・プロキシーの構成を作成します。

WSP のポリシーを作成します。

  1. WSP エディターの「ポリシー (Policy)」タブを開きます。
  2. 適切なレベルで「処理ルール (Processing Rules)」をクリックします。 新しいルールを作成することも、提供されているデフォルトのルールを編集することもできます。 追加する重要なポリシー・アクションは、「AAA アクション (AAA Action)」です。 これは、パターンの鍵となる識別、認証、および許可を処理します。

    AAA アクションに対して指定する必要がある重要な項目には、入力と出力、および AAA ポリシーが含まれます。 AAA ポリシー・アクションの作成中にポリシーを作成することも、AAA エディターを使用して事前に作成しておくこともできます。

    • 識別は、ユーザーが識別されるステップです。 サンプルでは、使用される識別には 2 つの形式があります。StoreAddLTPA XML ファイアウォールでは、識別は基本認証を使用しました。 StoreWSP ファイアウォールでは、識別は LTPA トークンによって提供されました。
    • 認証は、ユーザーがシステムで既知のユーザーであることが証明されるステップです。 選択するオプションは多数あります。 サンプルでは、2 つの例を示しました。1 つ目では LDAP を使用してユーザーが検索され、2 つ目では有効な LTPA トークンを受け入れました。
    • 許可は、ユーザーがリソース (この場合は Web サービス・オペレーション) に対して許可されるステップです。 XACML On Box PDP 許可を使用するには、以下の重要なエレメントが指定される必要があります。
      • メソッド: 「XACML の許可を使用する (Use XACML Authorization)」
      • XACML のバージョン (2.0 など)。
      • PDP タイプ (拒否ベースの PDP など)。
      • On Box PDP の使用: 「オン (On)」
      • PDP の名前。XACML が指定されています。
      • PDP を構成します。詳しくは、DataPower の XACML PDP の変更を参照してください。
      • AAA と XACML をバインドするためのカスタムの XSL スタイル・シート: 開始点として apil-xacml-bindingnew.xsl を使用します。

Redaction を使用するようゲートウェイを構成するには、次のようにします。

  1. XACML の .xml ファイルを、編集用に適用する特定のセキュリティー・ポリシーに一致するよう変更します。
  2. 編集サンプルに従う AAA アクションを使用して、XML ファイアウォールを作成します。
  3. 上の AAA アクションによって使用される PDP を、編集の適用に使用しているスタイル・シートを指すよう変更します。
  4. XACML サービスの SOAP ペイロードを作成する storeCallPDP.xsl スタイル・シートをコピーして変更します。 特に、アクションとリソースが、作成した XACML ポリシー文書の要件に一致するようにします。
  5. 変更したスタイル・シートが、新しい XACML XML ファイアウォールの適切なポートを呼び出していることを確認します。

タスク タスク

フィードバック


タイム・スタンプ・アイコン 最終更新: 2014 年 3 月 6 日


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr25.doc/topics/tsoa2_PEP_config.htm