IBM WebSphere 开发者技术期刊: 通过 WebSphere Application Server V6 实现 Web 服务安全——第 5 部分

文档选项 未显示需要 JavaScript 的文档选项

级别： 中级

Tony Cowan (ttcowan@us.ibm.com), 高级认证 IT 专家, IBM Software Group
Stephen Loscialpo (sloscial@us.ibm.com), 高级 IT 专家, IBM

2007 年 2 月 12 日

本文向您逐步介绍配置 DataPower 设备以将其用作 Web 服务的客户端网关或提供者端网关的过程。您将使用 IBM LTPA 令牌在域中传递上下文，并使用 SAML 令牌在域之间传递上下文。

摘自 IBM WebSphere 开发者技术期刊。

概述

本文以本系列文章中的第 4 部分为基础。对于基于 WebSphere 的客户端和提供者安装，此场景所需的配置与该系列的第 4 部分中描述的配置完全一样。实际上，将客户端和提供者网关插入到流程中对于客户端和提供者应该是透明的。

本文介绍的技巧需要 DataPower 设备，其固件版本至少为 3.5.1.2。

在此场景的商业实现中，客户端可能需要查询注册中心（如 WebSphere Service Registry 和 Repository）才能将传出请求以动态方式绑定到端点。在我们的场景中，注册中心会返回客户端 DataPower 域网关的地址。还可能涉及一些客户端和服务提供者端之间的标识映射。此映射可能会出现在联合标识产品（如 Tivoli® Federated Identity Manger）中，并且可以从以下位置调用它：从客户端 WebSphere Web 服务堆栈，从客户端域 DataPower 网关，从提供者域 DataPower 网关，或从提供者 WebSphere Web 服务堆栈。不过，为了简单起见，我们将传播不带映射的标识，这要求用户的专有名称 (DN) 存在于两端的 WebSphere 安装使用的注册中心。

在本文中，我们将了解两个典型的场景。图 1 所示的客户端透视图显示了一个组织，该组织希望将服务供给外包给其他组织。他们自由地使用 LTPA 令牌在本地域中传播安全标识，因为其在内部使用 WebSphere 技术，并且希望获得这些工具提供的有关该令牌类型的运行时效率和开发速度。不过，他们不希望服务提供者必须理解 LTPA 令牌才能将其本身与外包服务的实现联系在一起。他们决定引入 Web 服务网关，将本地 LTPA 令牌转换为 SAML 令牌，以便将标识传播到服务提供者。在本文中，我们将介绍配置 DataPower 设备的步骤，以执行该转换。

图 2 所示的是第二种场景，它包含与服务提供者透视图相同的流程，该流程在其基础结构中也自由使用 LTPA 令牌。服务提供者希望在不将自已与服务使用者联系在一起的情况下能够提供服务。它们需要一种网关设备，该网关设备可以将安全令牌从客户端希望使用的格式转换为在自已网络中使用的 LTPA 令牌。为此，我们要完成配置 DataPower 设备的步骤才能执行此操作。

在这两种情况中，我们将在 DataPower 设备中使用 XML 防火墙功能，每种场景的基本步骤如下：

1. 创建并交换用于对 SAML 令牌签名的密钥。
2. 创建并交换每个 DataPower 设备的密钥。
3. 创建 XML 防火墙。
4. 添加规则。
5. 添加和配置身份验证、授权和审核 (AAA) 操作。
6. 添加策略。
7. 保存配置。

注意：为了简单起见，本文中的大多数屏幕截图仅显示与讨论主题相关的那些字段和选项。

回页首

创建并交换用于 SAML 的加密密钥

让我们先创建并交换用于对 SAML 令牌签名的加密密钥（从客户端网关传递到提供者网关）。在大多数情况下，您的组织内部或外部的受信证书颁发机构可以为您提供证书/密钥对。如果不能提供，则 DataPower 可以按照本部分中的描述为您提供测试证书/密钥对。

概述

为了完成 SAML 步骤，您首先需要使用 DataPower 设备自身携带的 Crypto 工具创建证书/密钥对。在我们的场景中，我们将按以下方式使用此证书/密钥对：

1. 客户端 DataPower 域网关接收客户端请求，通过 LTPA 对消息进行验证，将标识发送方的签名 SAML 断言注入消息，并将该消息发送到提供者网关。
2. 提供者 DataPower 域网关从客户端网关接收请求，验证 SAML 断言的签名，并作为授权合作伙伴验证发送方。

创建密钥对

1. 登录到 DataPower 设备。指向设备的 URL 通常为 https://servername:9090/，但是您可能需要向 DataPower 管理员验证该地址。
2. 在 User 和 Password 中输入用户名和密码，并在 Domain 中选择一个域（域类似于设备中的共享工作区或软分区），然后单击 Login，如图 3 所示：
   
   图 3. 登录屏幕
   
   
   
3. 在图 4 所示的控制面板中，单击左侧导航窗格中的 Administration 选项卡。设备上的大多数管理功能都在此选项卡上。
   
   图 4. 控制面板
   
   
   
4. 在 Administration 选项卡的底部，选择 Crypto Tools，它允许您在设备上构建并存储证书/密钥对，如图 5 所示：
   
   图 5. 选择 Crypto 工具
   
   
   
5. 在 Generate Key 部分中，您可以提供关于证书/密钥对的任何信息。Common Name 是必填字段，该字段通常用来表示最详细的标识。Object Name 部分确定如何在设备上引用证书/密钥对。单击 Generate Key，如图 6 所示：
   
   图 6. 加密密钥信息
   
   
   
6. 单击 Confirm，如图 7 所示：
   
   图 7. 确认密钥生成
   
   
   
7. 您应收到成功消息，如图 8 所示。单击 Close，并返回控制面板。
   
   图 8. 成功消息
   
   
   

导出 SAML 签名密钥

因为客户端将使用证书/密钥对为消息签名，并且提供者将验证签名，所以您需要从客户端 DataPower 域网关导出公共密钥，并将证书导入到提供者 DataPower 域网关。

1. 在控制面板中单击 Administration 选项卡，然后单击 Crypto Tools。
   
   图 9. 选择 Crypto 工具
   
   
   
2. 在 Export Crypto Object 部分中，为 Object Type 选择 certificate。在 Object Name 中输入一个对象名称或证书别名，并在 Output File Name 字段中为导出的密钥文件输入一个名称。然后单击 Export Crypto Object，如图 10 所示：
   
   图 10. 导出证书信息
   
   
   
3. 在图 11 所示的对话框中，单击 Confirm：
   
   图 11. 确认证书导出
   
   
   
4. 在出现的成功消息框中，单击 Close。
   
   图 12. 导出成功
   
   
   
5. 仍然在左导航窗格的 Administration 选项卡中，单击 File Management，如图 13 所示：
   
   图 13. 选择文件管理
   
   
   
6. 在 Select Directory 字段中（如图 14 所示），选择 temporary 文件夹，它是您存储导出的对象的位置。右键单击新导出的证书（在本示例中为 ExportedCert），并将其保存到本地文件系统。
   
   图 14. 保存导出的证书，使其脱离 DataPower 计算机
   
   
   

您现在已经导出了公共密钥，并做好了将其导入到提供者 DataPower 网关的准备。

导入 SAML 签名密钥

1. 登录到提供者 DataPower 域网关。在控制面板中打开 Administration 选项卡，并单击 Crypto Tools。
2. 在 Import Crypto Objects 字段中（如图 15 所示），为 Object Type 选择 certificate，并在 Object Name 字段中输入对象的名称，然后单击 Upload，将密钥导入到设备。
   
   图 15. 导入 Crypto 对象
   
   
   
3. 选择 Browse，以便从文件系统获得密钥文件，如图 16 所示：
   
   图 16. 选择要上传的文件
   
   
   
4. 在 browse 对话框中，选择公共密钥文件（在本示例中为 DPGateway1.cer），并单击 Open。在 Save as 字段中重命名密钥（如果需要），然后单击 Upload，如图 17 所示。
   
   图 17. 选择要上传的文件
   
   
   
5. 在 confirmation 对话框中，单击 Continue。

公共密钥现在可供提供者网关在签名验证中使用。在本文的稍后部分中，我们将使用它。

回页首

配置客户端域

客户端域网关期望 Web 服务安全（WS 安全）标头中具有 LTPA 令牌的请求消息（该标头由本系列文章的第 4 部分描述的配置生成）。网关验证入站 LTPA 令牌，然后将签名 SAML 令牌注入出站负载，以便在跨域的身份验证中使用，从而在 WS 安全标头中将其随请求传播到提供者网关。

创建 XML 防火墙

我们需要创建 XML 防火墙，它允许我们在服务客户端和提供者之间建立中介，反之亦然。我们先在客户端 DataPower 域网关上构建中介代理。

1. 从控制面板中的服务列表中选择 New XML Firewall，如图 18 所示。注意，不同的服务类型用途不同。有关选择服务类型的详细信息，请参考 DataPower 数据表。
   
   图 18. 选择新的 XML 防火墙
   
   
   
2. 尽管您可以从模板构建 XML 防火墙，或者从其他 SOA 产品导入一个防火墙，但对于本例，我们将通过选择 Advanced 防火墙跳过此步骤，如图 19 所示，并单击 Next：
   
   图 19. 选择高级防火墙
   
   
   
3. 在 General Configuration 对话框中（如图 20 所示），您需要填充几个必填字段，包括 Firewall Name、Back End Server Address 和 Port 以及 Front End Device Port（它是用于入站信息的设备侦听端口）。这里不需要指定 Device Address，因为 0.0.0.0 指示设备侦听所有设备地址/NIC。

   在 Firewall Type 中保留原来的值，这意味着入站信息将被传递到静态定义的后端服务器地址和端口。

   接下来，通过单击 Firewall Policy 字段旁边的 + 号，为此服务创建防火墙策略。让常规配置屏幕在后台保持打开状态，因为您很快会返回到该屏幕。

   
   
   图 20. 常规配置
   
   
   
4. 您会看到一个询问策略名称的弹出窗口。我们将创建接收入站负载的“请求规则”，检查 LTPA 验证，然后注入 SAML 断言，以便在下游使用。调用策略 LTPA2SAML。

添加规则

在策略画布中（如图 21 所示），您可以定义消息处理请求、响应或错误规则。当消息流过设备时，DataPower 设备能够以极高的速度（独立测试已验证安全处理速度明显快于服务器软件）适应各种 XML 和安全功能，

1. 选择 Client to Server 作为规则类型，也就是说作为请求规则。
2. 每个规则必须从匹配操作开始。双击突出显示的黄色菱形，以创建匹配规则。如果入站负载不匹配我们的标准，则会被拒绝。
   
   图 21. 防火墙策略画布
   
   
   
3. 由于我们还没有任何匹配规则，所以必须创建一个。为此，请单击 Matching Rule 字段旁边的 + 号，如图 22 所示：
   
   图 22. 配置匹配操作
   
   
   
4. 向匹配的规则提供一个名称（如图 23 所示）。在我们的示例中，我们将匹配为此 XML 防火墙定义的服务器/端口组合上的任何入站 URL，因此 Any 或 All 都将适合。选择 Matching Rule 选项卡，以定义实际的规则。
   
   图 23. 命名匹配规则
   
   
   
5. 您可以匹配多项内容，如 HTTP 标头标记/值、URL、错误代码（通常在错误规则中使用），甚至 XPath，它允许您执行负载检查。单击 Add，以创建 URL 匹配，如图 24 所示：
   
   图 24. 添加规则
   
   
   
6. 在 Matching Type 字段中，选择 url，并在 URL Match 字段中输入 *，这意味着将匹配进入的任何 URL。单击 Save，如图 25 所示，注意，在这里您可以使用文本匹配或 PCRE 匹配。
   
   图 25. 匹配所有消息
   
   
   
7. 您现在已定义了匹配规则。单击 Apply，以保存更改，如图 26 所示。
   
   图 26. 应用规则更改
   
   
   
8. 新的匹配规则现在出现在下拉列表中，如图 27 所示。稍后在其他配置中，您能够重新使用此匹配规则对象。请记住，几乎在 DataPower 设备上配置的任何内容都可以归结为某种类型的可重用对象或模板。选择新的规则，然后单击 Done，以返回到策略画布。
   
   图 27. 保存匹配操作
   
   
   

添加身份验证、授权和审核 (AAA) 以使用 LTPA 和生成 SAML

AAA 框架允许 DataPower 设备使用各种方法，从传入的请求提取用户密码、安全令牌和其他标识信息。此操作允许 DataPower 设备作为中心执行点使用，以便保护通过网络的 Web 服务或通信量。DataPower 与主要标识管理系统（如 IBM Tivoli® Access Manager、Tivoli Federated Identity Manager 和许多第三方访问控制系统）集成。并且由于审核和会计处理可以完全扩展，独特的 AAA 框架甚至使 XS40 客户能够将专有的内部单点登录 (SSO) 系统与其 Web 服务安全体系结构集成。

注意，在图 28 中，不再突出显示匹配操作，这意味着可以适当地配置此操作。

1. 单击并将 AAA 操作拖放到消息处理流程，如图 28 所示：
   
   图 28. 适当配置的匹配操作
   
   
   
2. 注意图 29 中突出显示的图标。您可以按任何顺序拖放各种操作，以配置您的消息处理规则。还可以配置和重新配置消息处理策略，以适应您认为必需的任何数量和顺序的操作。就目前而言，为简单起见，我们仅通过双击来配置 AAA 操作。
   
   图 29. 需要配置的 AAA 操作
   
   
   
3. 通过单击 AAA Policy 旁边的 + 号，创建一个新的 AAA 实例，如图 30 所示：
   
   图 30. 添加策略
   
   
   
4. 向 AAA 策略提供一个名称，并单击 Create，如图 31 所示：
   
   图 31. 命名策略
   
   
   
5. AAA 操作的第一步是提取标识，如上所述，可以采用多种方式做到这一点。在我们的例子中，请选择 LTPA（如图 32 所示），这意味着需要一些 LTPA 令牌，其中包括 Domino 样式的 LTPA v1 或 v2。为 Use WS-Security Token First 选择 On，这意味着我们在 WS-Security BinarySecurityToken 中需要令牌。如果保留 Off，则意味着令牌将采用 HTTP 标头（并且 DataPower 设备将根据 cookie 名称和内容自动确定入站连接使用哪一种类型的 LTPA 令牌。）单击 Next。
   
   图 32. 选择 LTPA 令牌
   
   
   
6. 下一步是对提取的标识进行身份验证。在我们的示例中，这意味着确保 LTPA 令牌来自可信的源。首先选择 Accept an LTPA token（如图 33 所示），然后选中 Acceptable LTPA Versions 的适当框（这在执行第一步之前不会显示）。这里执行的身份验证的范围是验证 LTPA 令牌本身（检查创建该令牌所使用的密钥是否为我们期望的密钥）。为了验证任何 LTPA，您需要上传 LTPA 密钥文件。为此，请选择 Upload，如图 33 所示：
   
   图 33. 定义身份验证机制
   
   
   
7. 单击 Browse，查找密钥文件。此文件由支持 LTPA 的产品（如 WebSphere Application Sever 或 Domino）生成。
   
   图 34. 导入 Application Server LTPA 钥密文件
   
   
   
8. 选择密钥文件，并单击 Open，如图 35 所示：
   
   图 35. 查找密钥文件
   
   
   
9. 您可以在 Save as 字段中更改密钥文件的名称，或保留缺省值（如图 35 所示）。单击 Upload，以便将密钥文件保存到 DataPower 设备。
   
   图 36. 上传密钥文件
   
   
   
10. 单击 Continue，如图 37 所示：
    
    图 37. 确认密钥文件上传
    
    
    
11. 输入与密钥文件关联的 LTPA Key File Password，并单击 Next，如图 38 所示：
    
    图 38. 输入 LTPA 密钥存储区密码
    
    
    
12. 下面两个步骤将处理身份验证。我们要执行的唯一授权是允许任何经过身份验证的客户端。不过，此步骤非常类似于身份验证步骤，因为您首先进行提取，然后授权。

    在本示例中，选中 Local name of request element，然后单击 Next，如图 39 所示：

    
    
    图 39. 配置授权
    
    
    
13. 在此步骤中，您将权限授权 给提取的资源。单击选择 Allow Any Authenticated Client，然后单击 Next，如图 40 所示：
    
    图 40. 允许所有经过身份验证的客户端
    
    
    
14. AAA 操作的最后一个步骤是审核（和后处理，这用于令牌中介）。尽管各种监视器和日志记录选项（在图 41 中未显示）可用；但是我们将通过在出站负载中生成 SAML 断言来执行某些后期处理。为 Generate a SAML Assertion 选择 On。选择您要使用的 SAML Version。为 Issuer Identity in SAML Assertion 输入 DataPower Domain Gateway 1，或适合您个人场景的内容。

    对于 Name Qualifier Attribute Value，我们将从 LTPA 令牌提取 LTPA 标识或 DN，并将它放置在此区域。在 DataPower 设备使用入站 LTPA 令牌时，它在内存中创建表示该 LTPA 令牌中信息的上下文。在此处的后处理步骤中，我们可以引用其中某些信息，以便填充出站 SAML 令牌。我们将入站 LTPA 令牌中提供的标识传播到新的 SAML 令牌中的提供者网关。我们解决 LTPA 令牌的用户标识的方法是使用以下内置 DataPower 变量：var://context/WSM/identity/credentials。

    最后，使用我们在本文前面创建的密钥对 SAML 断言签名。为 SAML Message Signing Key 和 SAML Message Signing Certificate 选择适当的密钥名称。

    注意，只有 LTPA 令牌的用户标识被传入 SAML 令牌。不传递在 LTPA 令牌中呈现的域。

    单击 Commit，完成 AAA 步骤，如图 41 所示：

    
    
    图 41. 创建 SAML 令牌出站
    
    
    
15. 单击 Done，如图 42 所示：
    
    图 42. 确认访问控制策略
    
    
    
16. 您现在具有了用于 AAA 实例的 AAA 对象。确保选择了您创建的 AAA 对象，并单击 Done（如图 43 所示），以便将其添加到消息处理策略：
    
    图 43. 关闭 AAA 操作配置
    
    
    
17. 您现在通过 AAA LTPA 使用和 SAML 生成创建了简单的请求规则。单击 Apply，以启用此策略，如图 44 所示：
    
    图 44. 应用规则
    
    
    
18. 请注意图 45 中位于屏幕底部的新请求规则。您可以在一个策略中创建多个规则。通常，对于一个完整策略，您应该具有一个或多个请求规则、响应规则和错误规则。在我们的示例中，我们继续讨论基础内容。

    单击 Close，以便将此策略添加到 XML 防火墙配置，如图 45 所示：

    
    
    图 45. 新的请求规则
    
    
    

保存配置

正如您在图 46 中看到的，现在将防火墙策略设置为 LTPA2SAML。而且，您刚才创建的策略现在是可重用的对象，可由设备上创建的其他服务使用（如果需要）。要完成此配置，请单击 Apply，如图 46 所示：

该服务现在处理工作状态。您刚才创建了第一个 XML 防火墙！单击屏幕左上角的 Control Panel 图像以继续。

回页首

配置服务器域

提供者网关请求具有 SAML 令牌的 Web 服务安全标头中的消息。SAML 令牌将包含初始调用程序中的专有名称 (DN)，并由客户端域网关签名。提供者网关将采用此 DN，并将其传播给 WS 安全标头中 LTPA 令牌中的 Web 服务提供者。根据本系列文章第 4 部分中的描述配置的 Web 服务将能够使用生成的消息，并在初始调用程序的上下文中对其进行处理。

创建 XML 防火墙

1. 在控制面板中（如图 48 所示），我们将设置提供者 DataPower 域网关，以便从客户端 DataPower 域网关接收消息。选择 New XML Firewall。
   
   图 48. DataPower 控制面板
   
   
   
2. 我们将创建此 XML 防火墙，方式与我们为客户端网关创建的防火墙非常相似，所以为 XML 防火墙模板选择 Advanced（如图 49 所示），然后单击 Next。
   
   图 49. 选择高级
   
   
   
3. 配置 Firewall Name、Back End Server Address 和 Port 以及 Front End Device Port，如图 50 所示。注意，以前防火墙的 Back End Port 是此防火墙的 Front End Device Port。单击 Firewall Policy 旁边的 + 号，以创建另一个消息处理策略。
   
   图 50. 基本的 XML 防火墙配置
   
   
   

添加规则

1. 再次选择 Client to Server 作为消息处理规则类型，然后双击突击显示的 Match 图标，如图 51 所示：
   
   图 51. 选择匹配操作
   
   
   
2. 我们实际要使用的匹配规则与我们在客户端上使用的相同，所以使用的步骤与第一个步骤相同，然后在列表中选择它（如图 52 所示），并单击 Done：
   
   图 52. 创建并选择匹配规则
   
   
   
3. 选择了匹配操作后，单击并将 AAA 步骤拖放到消息处理策略，如图 53 所示：
   
   图 53. 添加 AAA 操作
   
   
   

添加 AAA 操作，以使用 SAML 和生成 LTPA

1. 双击突出显示的 AAA 操作，以便进行配置，如图 54 所示。
   
   图 54. 配置 AAA 操作
   
   
   
2. 通过单击 AAA Policy 旁边的 + 号创建一个新的 AAA 策略（如图 55 所示）。请记住，这次我们将使用 SAML 并生成 LTPA。
   
   图 55. 添加 AAA 策略
   
   
   
3. 为此 AAA 策略输入一个名称，并单击 Create，如图 56 所示：
   
   图 56. 命名策略
   
   
   
4. 对于 SAML，我们可以使用三种不同的方法获取或提供 SAML，图 57 中突出显示的两种方法处理消息负载中的 SAML。第三种方法（没有显示）处理 Web 浏览器中的 SAML。选择 Name from SAML authentication assertion，并单击 Next。
   
   图 57. 选择 SAML 断言类型
   
   
   
5. 对于身份验证步骤，请选择 Accept a SAML Assertion with a Valid Signature。注意，在选择 SAML Signature Validation Credentials 时将出现该选项。从本质上讲，您可以创建可能的凭据（或公钥）列表，以便与这里传入的负载匹配，并拒绝任何不匹配的负载。为此，您需要创建表示凭据匹配的新对象。单击 + 号，以创建 Crypto Validation Credentials。
   
   图 58. 定义身份验证信息
   
   
   
6. 为此集合提供一个名称（如上面的图 59 所示），然后选择我们先前导入的密钥，并单击 Add，以便将集合添加到证书列表。
   
   图 59. SAML 密钥配置
   
   
   
7. 注意，在图 60 中，DPGateway1 已经添加到 VerifiedPartners 列表中。单击 Apply 继续。
   
   图 60. 完成 SAML 密钥配置
   
   
   
8. 正如图 61 所示，VerifiedPartners 现在出现在 SAML Signature Validation Credentials 的下拉列表中。单击 Next。
   
   图 61. 选择的 SAML 签名确认密钥
   
   
   
9. 另外，我们这里还没有真正执行任何身份验证，所以要选择某个资源标识方法，然后单击 Next。
   
   图 62. 配置授权
   
   
   
10. 选择 Allow Any Authenticated Client（如图 63 所示），并单击 Next。
    
    图 63. 允许任何经过身份验证的客户端
    
    
    
11. 在 Post Processing 下，为 Generate an LTPA Token 选择 On（如图 64 所示）。我们在此处要进行的配置非常类似于 LTPA 设置，仅有很小的更改。
    
    图 64. 生成 LTPA 令牌
    
    
    
12. 应该显示 LTPA 选项（如图 65 所示）。选择您要生成的 LTPA Token Version。为 Wrap Token in a WS-Security Security Header 选择 On。Actor/Role 字段实际上依赖于基于 WebSphere Application Server 的服务提供者的设置方式。在第 4 部分中，我们将其配置为 myActor，所以我们在这里也使用该方式。在这里，按您在客户端网关配置中使用的方法导入密钥文件，然后只需从下拉列表中选择它。然后，指定 LTPA Key File Password。
    
    图 65. LTPA 选项
    
    
    
13. 在返回到 AAA 后处理屏幕时，单击 Commit，然后在对话框中单击 Done，如图 66 所示。
    
    图 66. 创建的访问控制策略
    
    
    
14. 您现在已创建了新的 AAA 策略。单击 Done（如图 67 所示），以便将其添加到请求规则。
    
    图 67. 完成 AAA 配置
    
    
    
15. 单击 Apply 提交更改，并启用此消息处理策略，如图 68 所示：
    
    图 68. 将更改应用到规则
    
    
    

添加策略

在策略画布上单击 Close，如图 69 所示。

保存配置

新的策略应该在 XML 防火墙常规配置中可用。单击 Apply，以启用此服务，如图 70 所示。

启用了服务后，一切都会就绪，这样可以将消息发送到这两个网关。单击左上角的 Control Panel（如图 71 所示），以返回到控制面板。

就是如此简单。您现在已完成了提供者的配置

回页首

结束语

在本文中，您学习了如何从客户端和服务提供者透视图配置 DataPower 设备，使其充当域网关。通过使用可以在安全机制之间转换的安全网关设备，客户端和提供者可以为本地环境选择最佳安全机制。通过内部使用 LTPA 令牌，Web 服务实现获得了在支持大量工具的 IBM 环境中传播安全上下文的简单方法。

回页首

致谢

作者非常感谢 Bill Hines，他对本文进行了审阅，并提供了有价值的反馈。

回页首

本系列的其他文章

第 1 部分：安全体系结构介绍

第 2 部分：Username Token 和 SSL

第 3 部分：XML 加密和数字签名

第 4 部分：使用 LTPA 令牌

参考资料

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文 。
  
  
• developerWorks WebSphere Web 服务专区：获得 WebSphere Web 服务的所有最新信息和下载。
  
  
• OASIS：了解关于 WS-Security 和 SAML 的更多内容。
  
  
• Liberty Alliance Project：了解关于 Identity 联合和 Web 服务框架的更多内容。
  
  
• WebSphere Application Server：获得关于 Tivoli Access Manager 的更多信息。
  
  
• WebSphere Application Server：获得关于 Tivoli Federated Identity Manager 的更多信息。
  
  
• DataPower：获得关于 DataPower 的更多信息。
  
  
• LTPA：获得关于 WebSphere 中的 LTPA 令牌的更多信息。

作者简介

		Tony Cowan 是 IBM Software Services for WebSphere (ISSW) 团队的一名高级顾问。他从事分布式系统开发的咨询工作已超过 11 年，曾领导 IBM 团队完成众多财富 1000 强公司的项目。Tony 目前专注于为 IBM 顾问和客户提供 Web 服务和 Web 服务安全方面的培训工作。Tony 经常在各种技术活动中发表演讲，Tony 在 IBM 的主要目标之一是将真正的客户需求带给 IBM 开发团队，以帮助使 IBM 产品更加符合现实生活的需要。您可以通过 ttcowan@us.ibm.com 与他联系。

		Stephen Loscialpo 是售前组织中 WebSphere DataPower 的高级 IT 专家。在数据库和中间件软件方面，他有 7 年多的工作经验，最近，他在 IBM WebSphere DataPower 团队从事 SOA 体系结构知识的传授工作，并介绍为特定目的构建中间件解决方案的优点，他认为这是下一代系统。您可以通过 sloscial@us.ibm.com 与 Steve 联系。

对本文的评价

太差！ (1) 需提高 (2) 一般；尚可 (3) 好文章 (4) 真棒！(5) 建议？

回页首