通过 WebSphere Application Server V6 实现 Web 服务安全——第 5 部分

 本文向您逐步介绍配置 DataPower 设备以将其用作 Web 服务的客户端网关或提供者端网关的过程。您将使用 IBM LTPA 令牌在域中传递上下文，并使用 SAML 令牌在域之间传递上下文。
摘自 IBM WebSphere 开发者技术期刊。

概述

本文以本系列文章中的第 4 部分为基础。对于基于 WebSphere 的客户端和提供者安装，此场景所需的配置与该系列的第 4 部分中描述的配置完全一样。实际上，将客户端和提供者网关插入到流程中对于客户端和提供者应该是透明的。

本文介绍的技巧需要 DataPower 设备，其固件版本至少为 3.5.1.2。

在此场景的商业实现中，客户端可能需要查询注册中心（如 WebSphere Service Registry 和 Repository）才能将传出请求以动态方式绑定到端点。在我们的场景中，注册中心会返回客户端 DataPower 域网关的地址。还可能涉及一些客户端和服务提供者端之间的标识映射。此映射可能会出现在联合标识产品（如 Tivoli® Federated Identity Manger）中，并且可以从以下位置调用它：从客户端 WebSphere Web 服务堆栈，从客户端域 DataPower 网关，从提供者域 DataPower 网关，或从提供者 WebSphere Web 服务堆栈。不过，为了简单起见，我们将传播不带映射的标识，这要求用户的专有名称 (DN) 存在于两端的 WebSphere 安装使用的注册中心。

在本文中，我们将了解两个典型的场景。图 1 所示的客户端透视图显示了一个组织，该组织希望将服务供给外包给其他组织。他们自由地使用 LTPA 令牌在本地域中传播安全标识，因为其在内部使用 WebSphere 技术，并且希望获得这些工具提供的有关该令牌类型的运行时效率和开发速度。不过，他们不希望服务提供者必须理解 LTPA 令牌才能将其本身与外包服务的实现联系在一起。他们决定引入 Web 服务网关，将本地 LTPA 令牌转换为 SAML 令牌，以便将标识传播到服务提供者。在本文中，我们将介绍配置 DataPower 设备的步骤，以执行该转换。

。。。。。。

                                                                                                          点击此处查看全文