可扩展访问控制标记语言(EXtensible Access Control Markup Language,XACML)是用于为资源定义授权的开放标准。XACML 是结构化信息发展组织(Organization for the Advancement of Structured Information Standards,OASIS)制定的基于 XML 的标准,在表达和计算受保护系统资源上的访问控制决策时非常有用。
支持 XACML 的系统由两个主要组件构成:策略执行点(Policy Enforcement Point,PEP)和策略决策点(Policy Decision Point,PDP)。PEP 负责从请求提取信息(如从 SOAP 请求的 WS-Security Header 提取信息),并生成 XACML 消息供 PDP 进行授权许可。PDP 要么接受,要么拒绝对后端资源的访问。PDP 使用 XACML 策略 XML 文件进行决策,此文件使用 XACML 规范定义的基于规则的语言编写。
XACML 之所以强大,是因为所有内容都开放且符合标准,包括 PEP 和 PDP 间的通信以及 XACML 策略文件本身。这意味着,在更改 PDP 供应商(经常具有专用性)的情况下,可以不用更改 PEP。另外,如果更换 PDP 实现,则可以重用为旧 PDP 编写的 XACML 策略。
图 1. 作为 DataPower 的 AAA 框架一部分的 XACML
DataPower 在其标准 AAA(身份验证、授权、审核,Authenticate, Authorize, Audit)框架中将 XACML 授权作为 PEP 加以支持;它既可以用于 PEP,也可以用于 PDP。对于 PDP,不需要事先指定 XACML 策略文件的位置。例如,策略可以从 HTTP URL 获取。最近发布的 IBM Tivoli® Security Policy Manager 支持 XACML 策略,可以作为 DataPower 所使用的授权策略的理想集中存储库。对于 XACML,Tivoli Security Policy Manager 是一个策略管理点(Policy Administration Point,PAP)。
  |
|
IBM DB2® V9(代号 DB2 Viper)通过其 pureXML™ 技术提供了行业领先的 XML 存储功能。DB2 V9 通过新 XML 类型支持 XML 的本机存储。可以使用通过 XQuery 的查询或结合 SQL/XPath 的查询来检索存储在 XML 类型中的任意节点子集。同时还支持各种高级功能,如跨多个 XML 查询的联合,使用 XML 类型的视图和模式验证。最为重要的是,使用 DB2 V9 存储和查询 XML 非常高效,可以在 XML 节点集的任何级别设置索引,以优化 XML 查询。
图 2. 使用 Xquery 语句的 DataPower SQL 操作
DataPower 完全支持针对 DB2 V9 的 XQuery 查询。XQuery 是类似于 SQL 的语言,用于获取数据,但是其数据操作构造更为成熟。与 XSL 类似,XQuery 将 XPath 作为语言的子集包括在内。如果您熟悉 Xpath,使用 DB2 的 XQuery 查询就应该很容易。
DB2 V9 和 DataPower 可以成为功能极为强大的组合。DB2 可以作为 XML 元数据存储库供 DataPower 使用。例如,可以将路由元数据存储在 DB2 中,从而为特定消息选择目的地。不过,请记住,DB2 V9 不是 Web 服务存储库;该产品并未设计用于存储 WSDL 和 Web 服务端点或版本控制信息。IBM WebSphere Service Registry and Repository 更适合存储这种类型的 XML 元数据。
|
|
DataPower 经常置于高负载环境中使用,作为网关处理大量客户端请求,或作为企业服务总线(Enterprise Service Bus,ESB)处理众多异类系统的事务。DataPower 提供服务级别监视(Service-Level Monitoring,SLM)功能,此功能可以在 Web 服务代理或多协议网关 DataPower 服务上实现。
SLM 能够监视流量,并在流量模式满足某个条件时采取特定操作。例如,假定您有一个处理能力为处理 300 个事务/秒(Transactions Per Second,TPS)的大型机后端。可以使用 SLM 在接收到的入站事务超过 300 TPS 时采取特定操作。
又如,假定使用 DataPower 作为 REST XML 服务的网关,客户访问这些服务时将按事务进行收费;不过,每个客户都有 TPS 上限,例如限制每分钟最多 100 个事务。可以使用 DataPower 来确保不会超过此上限,或发送通知来确保恰当地收取超限事务量的费用。
在达到事务阈值时,DataPower SLM 可以通过三种方式采取操作:
- 通知:DataPower 可以通过设备所支持的任何协议向日志记录系统发送通知,包括电子邮件、WebSphere MQ 和 HTTP。例如,对于 REST 客户达到其上限的情况,DataPower 可以向负责通知客户的业务流程发送通知。
- 定形 (Shape):DataPower 可以延迟通信流量,以将事务保持在给定阈值。以后端仅能处理 300 TPS 的情况为例。这里,可以使用定形来对超过此速率的任意事务进行排队。
- 节流:DataPower 可以拒绝超过给定阈值的事务。
图 3. 服务级别监视流量图
可以对相同事务类型使用不同的 SLM 策略操作。以希望特定 Web 服务处理 500 TPS 的情况为例。可以设置 SLM 策略,使其在达到 400 TPS 时发送通知,在达到 500 TPS 时断言定形,在达到 600 TPS 时节流。
您可能会想,在负载平衡器涉及多个 DataPower 设备时是否可以使用 SLM。通过 SLM 对等组共享负载的多个设备支持使用 SLM。对等组中的设备不断彼此进行通信,以确保在整个组共享 SLM 阈值。
|
|
IMS™ Connect 是 TCP/IP 服务器,允许 TCP/IP 客户端与 IMS Open Transaction Manager Access (OTMA) 交换消息。此服务器提供 TCP/IP 客户端和 IMS(数据存储)之间的通信链接。它支持多个 TCP/IP 客户端访问多个数据存储资源。IMS Connect 在 z/OS 上运行。
图 4. DataPower IMS Connect 配置
DataPower 现在包含 IMS Connect 客户端,可替代 WebSphere MQ 与 IMS COBOL 应用程序通信。多协议网关提供 IMS Connect 作为后端 URL 选项。另外还增加了用于 IMS Connect 的新前端处理程序。因此,IMS 现在是 DataPower 标准的 ESB 接入和接出点。
一个常见的用例是将 IMS COBOL 应用程序通过 DataPower 作为 Web 服务公开。这可以通过具有 HTTP 前端处理程序和 IMS Connect 后端 URL 的多协议网关实现。可以使用 IBM WebSphere Transformation eXtender 开发 SOAP COBOL 非 XML 转换,以在网关的处理策略内执行消息映射。
|
|
DataPower 支持计划处理策略规则。计划规则是定期调用的标准处理策略。为了定义计划规则,请选择 XML Manager,然后滚动到顶部的最后一个选项卡,如图 5 中所示。
图 5. 计划的处理策略规则
图中现实了名为 Recurring_Rule 的规则,调用间隔为 120 秒。例如,计划规则可用于定期从存储库(如 WebSphere Service Registry and Repository)获取更新全局变量的 XML 属性文件。计划规则必须匹配所有传入 URL 的匹配操作,否则规则就不会执行。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/15082138/viewspace-605284/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/15082138/viewspace-605284/
5456
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
