Configuración de TAM para la autorización mediante TFIM V6.1
Este tema describe cómo configurar Tivoli® Access Manager (TAM) para habilitar la autorización mediante Tivoli Federated Identity Manager (TFIM) V6.1.
Acerca de esta tarea
Procedimiento
- Compruebe que el action group utilizado por el módulo de autorización TFIM está disponible. El grupo de acciones utilizado es WebService:
action group listSi WebService no se lista, créelo:
action group create WebService - Visualice el action en el grupo de acciones utilizado por el módulo de autorización TFIM.La acción utilizada es "i":
action list WebServiceSi la acción "i" <label> 0 no está en la lista, créela. El valor de <label> puede variar:
action create i <label> 0 WebService - Cree la Lista de control de accesos (ACL) que se utilizará para otorgar acceso a uno o más flujos de mensajes. En primer lugar, cree la ACL y dé a los administradores acceso a la misma. En este ejemplo,
iv-admines el grupo de administradores ysec_masteres el administrador principal:acl create <AclName> acl modify <AclName> set Group iv-admin TcmdbsvaBRxl[WebService]i acl modify <AclName> set User sec_master TcmdbsvaBRxl[WebService]i - Otorgue acceso a todos los usuarios autenticados o a grupos específicos añadiéndolos a la ACL. Otorgue cualquier acceso de identidad autenticado:
acl modify <AclName> set Any-other Trx[WebService]iPara añadir un grupo específico:
acl modify <AclName> set group <GroupName> Trx[WebService]i - Defina espacios de objeto protegidos en TAM para la autorización de flujos de mensajes:
- Cree el objeto de contenedor de aplicaciones de como raíz del espacio de objetos protegidos.Éste es el nombre que se utiliza para enlazar una instancia de un módulo STS de autorización (AuthorizationSTSModule) de TFIM (dentro de una cadena de módulos) en el espacio de objeto TAM. El nombre de objeto de contenedor se especifica para que coincida con el parámetro Web Service protected object name en un módulo de autorización TFIM.
objectspace create /<ContainerObjectName> <Description> 14 - Cree los objetos contenedores en el árbol para cada flujo de mensajes de nodo de integración
que se está autorizando.TFIM utiliza el nombre de flujo de mensajes para localizar un punto en el árbol de espacio de objeto TAM para la autorización, mediante la ACL adjunta. El nombre de flujo de mensajes se pasa como el tipo de puerto (PortType) en la solicitud WS-Trust a TFIM. Utilice el siguiente mandato para crear el nodo de árbol de objetos que representa cada flujo que se debe autorizar:
object create /<ContainerObjectName>/<FlowName> <Description> 11 ispolicyattachable yesEl parámetro ispolicyattachable se aplica a todos los niveles, de modo que puede adjuntar un ACL en cualquier nivel.
- Cree el objeto hoja que representa el objeto autorizado para otorgar acceso al
flujo de mensajes. Esta es la cuerda fija Acceso al flujo de mensajes, que el nodo de integración envía a TFIM a través del TFIMOperationName extensión a la solicitud WS-Trust. Se utiliza un nombre fijo (MessageFlowAccess) en lugar de un nombre de operación verdadero, porque el nodo de integración no sabe necesariamente en el nodo de entrada qué operación va a realizar un flujo. La sintaxis del mandato es la siguiente:
object create /<ContainerObjectName>/<FlowName>/MessageFlowAccess <Description> 12 ispolicyattachable yesdonde <FlowName> se ha creado en un paso anterior.
- Cree el objeto de contenedor de aplicaciones de como raíz del espacio de objetos protegidos.
- Adjunte la ACL al nodo pertinente en el árbol de espacio de objetos protegido. Cada nodo del espacio de objetos hereda las ACL de su padre y una ACL de nivel inferior puede alterar temporalmente una de nivel superior. Utilice la sintaxis de mandato siguiente para adjuntar una ACL a un nodo en el espacio de objetos:
acl attach /<ObjectSpacePath> <AclName>Para adjuntar una ACL al nodo hoja:
acl attach /<ContainerObjectName>/<FlowName>/MessageFlowAccess <AclName>