Guida de Instalação,Configuração,e Administração paraAcesso Baseado em … · 2016-05-14 · Exemplo de Arquivo de Resposta para o Comando manageRbaConfiguration ... Acesso

IBM Tivoli Federated Identity ManagerVersão 6.2.2.7

Guida de Instalação, Configuração, eAdministração para Acesso Baseadoem Risco

S517-0157-02

��

IBM Tivoli Federated Identity ManagerVersão 6.2.2.7

Guida de Instalação, Configuração, eAdministração para Acesso Baseadoem Risco

S517-0157-02

��

Aviso de Edição

Nota: Esta edição aplica-se à versão 6, liberação 2, modificação 2.7 do IBM Tivoli Federated Identity Manager(número do produto 5724-L73) e a todas as liberações e modificações subsequentes até que seja indicado deoutra forma em novas edições.

© Copyright IBM Corporation 2012, 2013.

Índice

Figuras . . . . . . . . . . . . . . . v

Tabelas . . . . . . . . . . . . . . vii

Sobre Esta Publicação . . . . . . . . ixAcesso a Publicações e Terminologia . . . . . . ixAcessibilidade . . . . . . . . . . . . . . xTreinamento Técnico. . . . . . . . . . . . xInformações sobre Suporte. . . . . . . . . . x

Capítulo 1. Roteiro para Introdução aoAcesso Baseado em Risco . . . . . . 1

Capítulo 2. Visão Geral do AcessoBaseado em Risco . . . . . . . . . . 3Cenários de Negócios . . . . . . . . . . . 3Características . . . . . . . . . . . . . . 4Visão Geral Funcional . . . . . . . . . . . 4Fluxo de Transações . . . . . . . . . . . . 7

Capítulo 3. Instalando . . . . . . . . 11Requisitos de Software. . . . . . . . . . . 11Pré-requisitos de Instalação . . . . . . . . . 12Considerações do Banco de Dados. . . . . . . 12

Usando o Banco de Dados solidDB Integrado . . 13Configurando Manualmente o Banco de Dados 13

Instalando o Acesso Baseado em Risco . . . . . 14Ativando o Suporte ao Idioma para Mensagens EAS 16Implementando o Acesso Baseado em Risco . . . 16Desinstalando o Acesso Baseado em Risco . . . . 18Problemas Conhecidos e Soluções Alternativas . . 19

Capítulo 4. Configurando . . . . . . . 23Roteiro de Configuração . . . . . . . . . . 23Ativando Logs e Rastreios . . . . . . . . . 24Verificando a Configuração . . . . . . . . . 25

Capítulo 5. Administrando . . . . . . 27Gerenciamento de risco . . . . . . . . . . 27

Cálculo da pontuação de risco . . . . . . . 30serviço de Autorização Externa de Serviços deSegurança de Tempo de Execução . . . . . . 30

Configurando o Serviço de AutorizaçãoExterna de Serviços de Segurança de Tempode Execução no WebSEAL . . . . . . . 31Dados de Configuração de Amostra para oServiço de Autorização Externa de Serviços deSegurança de Tempo de Execução . . . . . 34

Configuração de Sessão . . . . . . . . . 36Serviço de Coleta de Atributos . . . . . . 36Configurando o Serviço de Coleta deAtributos . . . . . . . . . . . . . 39

Configuração do Perfil de Risco . . . . . . 40

Configurando o Perfil de Risco . . . . . . 40Armazenamento de Atributo . . . . . . 42Correspondentes de Atributos . . . . . . 43

Configurando o Correspondente de Local 43Configurando o Correspondente deEndereço IP . . . . . . . . . . . 45Configurando o Correspondente de Tempode Login . . . . . . . . . . . . 47Implementando Correspondentes deAtributos Customizados . . . . . . . 48

Configurando o Algoritmo Hash paraArmazenamento de Atributos . . . . . . 50

Gerenciamento de Política . . . . . . . . . 51Idioma de Geração de Política de Autorização . . 51Script de Amostra para Regras de Política deAcesso Baseado em Risco. . . . . . . . . 54Criando uma Política de Acesso Baseado emRisco . . . . . . . . . . . . . . . 55Gerenciamento de Política com o IBM TivoliSecurity Policy Manager . . . . . . . . . 56

Permitindo o Acesso Baseado em Risco noIBM Tivoli Security Policy Manager . . . . 56Migrando Políticas para o IBM Tivoli SecurityPolicy Manager . . . . . . . . . . . 58Criando Políticas de Acesso Baseado em Riscocom o IBM Tivoli Security Policy Manager . . 60

Registro do dispositivo . . . . . . . . . . 61Registro de Dispositivo Silencioso . . . . . . 61Registro de Dispositivo Baseado emConsentimento . . . . . . . . . . . . 61

Configurando o Registro de DispositivoBaseado em Consentimento . . . . . . . 62

Configurando o Número de DispositivosRegistrados para um Usuário . . . . . . . 64

Capítulo 6. Auditoria . . . . . . . . . 67Gerenciando Configurações de Log de Auditoria . . 67Logs de Auditoria . . . . . . . . . . . . 68

Capítulo 7. Referência . . . . . . . . 73Referência de Comando . . . . . . . . . . 73

comando manageRbaConfiguration . . . . . 73Exemplo de Arquivo de Resposta para oComando manageRbaConfiguration . . . . 79

comando manageRbaDevices . . . . . . . 79comando manageRbaPolicy . . . . . . . . 82

Exemplo de Arquivo de Resposta para oComando manageRbaPolicy . . . . . . . 85

comando manageRbaRiskProfile . . . . . . 85Exemplo de Arquivo de Resposta para oComando manageRbaRiskProfile . . . . . 88

Comando manageRbaSessions . . . . . . . 89Propriedades de Configuração . . . . . . . . 90Atributos para Políticas e Perfis de Risco . . . . 97

© Copyright IBM Corp. 2012, 2013 iii

Capítulo 8. Referência de Mensagemde Erro . . . . . . . . . . . . . . 101

Avisos . . . . . . . . . . . . . . 107

Índice Remissivo . . . . . . . . . . 119

iv IBM Tivoli Federated Identity Manager: Guida de Instalação, Configuração, e Administração para Acesso Baseado em Risco

Figuras

1. Arquitetura de Acesso Baseado em Risco 52. Exemplo de Fluxo de Transações de Acesso

Baseado em Risco . . . . . . . . . . . 7

3. Os pontos mais próximos, os pontos médios eos pontos mais distantes nos intervalos deexatidão de dois locais . . . . . . . . . 45

© Copyright IBM Corp. 2012, 2013 v

vi IBM Tivoli Federated Identity Manager: Guida de Instalação, Configuração, e Administração para Acesso Baseado em Risco

Tabelas

1. Roteiro para Introdução ao Acesso Baseado emRisco . . . . . . . . . . . . . . . 1

2. Lista de Verificação de Pré-requisitos deInstalação . . . . . . . . . . . . . 12

3. Roteiro para Configurar o Acesso Baseado emRisco. . . . . . . . . . . . . . . 23

4. Decisões de Acesso do EAS de Serviços deSegurança de Tempo de Execução . . . . . 31

5. Lista de Operadores Lógicos . . . . . . . 536. Elementos de eventos de auditoria . . . . . 687. Parâmetros Obrigatórios e Opcionais para

Operadores do ComandomanageRbaConfiguration . . . . . . . . 74

8. Parâmetros Obrigatórios e Opcionais paraOperadores do Comando manageRbaDevices . . 80

9. Parâmetros Obrigatórios e Opcionais paraOperadores do Comando manageRbaPolicy . . 82

10. Parâmetros Obrigatórios e Opcionais paraOperadores do ComandomanageRbaRiskProfile . . . . . . . . . 86

11. Parâmetros Obrigatórios e Opcionais paraOperadores do Comando manageRbaSessions . 89

12. Uso e Características dos Atributos de Políticae de Contexto: Credencial de Autorização . . 97

13. Uso e características dos atributos de política ede contexto: impressão digital do dispositivo . 98

14. Uso e características dos atributos de política ede contexto: pontuação de risco . . . . . . 99

15. Uso e Características dos Atributos de Políticae de Contexto: Auditoria de Serviços deSegurança de Tempo de Execução . . . . . 99

16. Uso e características dos atributos de políticae de contexto: sessão . . . . . . . . . 100

17. Uso e características dos atributos de políticae de contexto: metadados do usuário . . . 100

© Copyright IBM Corp. 2012, 2013 vii

viii IBM Tivoli Federated Identity Manager: Guida de Instalação, Configuração, e Administração para Acesso Baseado em Risco

Sobre Esta Publicação

Acesso baseado em risco é um componente plugável e configurável do IBM® TivoliFederated Identity Manager. O acesso baseado em risco fornece a decisão e aexecução do acesso que são baseados em uma avaliação de risco dinâmico ou nívelde confiança de uma transação.

O IBM Tivoli Federated Identity Manager Guia de Instalação, Configuração, eAdministração para Acesso Baseado em Risco descreve os procedimentos para instalar,configurar e administrar o acesso baseado em risco. Ele inclui uma visão geral doprocesso e das funções do acesso baseado em risco e informações de referênciapara implementar o acesso baseado em risco.

Acesso a Publicações e TerminologiaEsta seção fornece:v Uma lista de publicações na “Biblioteca do IBM Tivoli Federated Identity

Manager”.v Links para “Publicações Online”.v Um link para o “Website do IBM Terminology” na página x.

Biblioteca do IBM Tivoli Federated Identity Manager

As publicações na biblioteca do IBM Tivoli Federated Identity Manager são:v IBM Tivoli Federated Identity Manager Quick Start Guide, CF38BML

v IBM Tivoli Federated Identity Manager Installation Guide, GC27-2718-01

v IBM Tivoli Federated Identity Manager Configuration Guide, GC27-2719-01

v IBM Tivoli Federated Identity Manager Administration Guide, SC23-6191-02

v IBM Tivoli Federated Identity Manager Guida de Instalação, Configuração, eAdministração para Acesso Baseado em Risco, S517-0157-00

v IBM Tivoli Federated Identity Manager Web Services Security Management Guide,GC32-0169-04

v IBM Tivoli Federated Identity Manager Auditing Guide, GC32-2287-04

v IBM Tivoli Federated Identity Manager Error Message Reference, GC32-2289-04

v IBM Tivoli Federated Identity Manager Troubleshooting Guide, GC27-2715-01

Publicações Online

A IBM posta publicações do produto quando o produto é liberado e quando aspublicações são atualizadas nos seguintes locais:

Centro de Informações do IBM Tivoli Federated Identity ManagerO site do http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html exibe a página deboas-vindas do centro de informações para este produto.

Centro de Informações do IBM SecurityO site http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jspexibe uma lista alfabética de informações gerais sobre toda a documentaçãodo produto IBM Security.

© Copyright IBM Corp. 2012, 2013 ix

http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html


http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp

Centro de Publicações IBMO site http://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss oferece funções de procura customizadas para ajudá-lo a localizartodas as publicações IBM necessárias.

Website do IBM Terminology

O website do IBM Terminology consolida a terminologia para bibliotecas doproduto em um local. Você pode acessar o website Terminology emhttp://www.ibm.com/software/globalization/terminology.

AcessibilidadeOs recursos de acessibilidade ajudam os usuários com deficiência física, comomobilidade restrita ou visão limitada, a utilizarem os produtos de software comêxito. Com este produto, você pode utilizar tecnologias de assistência para escutare navegar na interface. Você também pode usar o teclado em vez do mouse paraoperar todos os recursos da interface gráfica com o usuário.

Treinamento TécnicoPara obter informações sobre treinamento técnico, consulte o seguinte website doIBM Education em http://www.ibm.com/software/tivoli/education.

Informações sobre SuporteO Suporte IBM fornece assistência com problemas relacionados ao código e rotina,instalação de curta duração ou perguntas sobre uso. Você pode acessar diretamenteo site Suporte de Software IBM em http://www.ibm.com/software/support/probsub.html.

Nota: A guia Comunidade e Suporte no centro de informações do produto podefornecer recursos de suporte adicionais.

x IBM Tivoli Federated Identity Manager: Guida de Instalação, Configuração, e Administração para Acesso Baseado em Risco

http://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss

http://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss

http://www.ibm.com/software/globalization/terminology

http://www.ibm.com/software/tivoli/education

http://www.ibm.com/software/support/probsub.html

http://www.ibm.com/software/support/probsub.html

Capítulo 1. Roteiro para Introdução ao Acesso Baseado emRisco

Antes de começar a usar o acesso baseado em risco, familiarize-se com osprincipais conceitos, tarefas e requisitos.

O processo a seguir descreve como entender e trabalhar com o acesso baseado emrisco.

Tabela 1. Roteiro para Introdução ao Acesso Baseado em Risco

Tarefa Para obter mais informações

Leia a visão geral do acesso baseado emrisco e seus recursos.

Consulte:

v Capítulo 2, “Visão Geral do AcessoBaseado em Risco”, na página 3.

v “Cenários de Negócios” na página 3.

v “Características” na página 4.

Estude os diagramas de arquitetura e asinformações sobre transações do acessobaseado em risco.

Consulte:

v “Visão Geral Funcional” na página 4.

v “Fluxo de Transações” na página 7.

Entenda os conceitos e o processo de cálculoda pontuação de risco.

Consulte:

v “Gerenciamento de risco” na página 27.

v Cálculo da pontuação de risco.

Verifique se você atende os requisitos desoftware.

Consulte o “Requisitos de Software” napágina 11.

Certifique-se de que os pré-requisitos sejamatendidos.

Consulte o “Pré-requisitos de Instalação” napágina 12.

Instale e implemente o acesso baseado emrisco.

Consulte:

v “Instalando o Acesso Baseado em Risco”na página 14.

v “Implementando o Acesso Baseado emRisco” na página 16.

Configure os componentes, atributos,propriedades e políticas do acesso baseadoem risco.

Consulte o “Roteiro de Configuração” napágina 23.

Verifique sua instalação e configuração. Consulte o “Verificando a Configuração” napágina 25.

Use a interface da linha de comandos doacesso baseado em risco para gerenciardispositivos, políticas, atributos epropriedades.

Consulte o “Referência de Comando” napágina 73.

© Copyright IBM Corp. 2012, 2013 1

2 IBM Tivoli Federated Identity Manager: Guida de Instalação, Configuração, e Administração para Acesso Baseado em Risco

Capítulo 2. Visão Geral do Acesso Baseado em Risco

O acesso baseado em risco fornece a decisão e a execução do acesso que sãobaseados em uma avaliação de risco dinâmico ou nível de confiança de umatransação. O acesso baseado em risco usa analítica de dados de comportamento econtextuais para calcular o risco.

Acesso baseado em risco é um componente plugável e configurável do IBM TivoliFederated Identity Manager.

Acesso baseado em risco:v Aumenta a segurança durante a autenticação e a autorização de transações de

negócios.v Avalia o risco com base em atributos calculados de forma estática, contextual e

analítica.v Calcula uma pontuação de risco com base em vários atributos ponderados.v Fornece regras de política que determinam se uma solicitação de acesso deve ser

permitida, negada ou desafiada.

Você pode configurar o acesso baseado em risco para:v Registrar silenciosamente ou exigir que os usuários registrem dispositivos que

eles usam comumente.v Associar os dispositivos registrados a credenciais do usuário.v Apresentar um desafio ou solicitar autenticação adicional, se o usuário tentar

autenticar com as mesmas credenciais de outro dispositivo não registrado.v Usar os padrões de comportamento do usuário como um fator no cálculo da

pontuação de risco. Por exemplo, um usuário pode tentar acessar um recursoprotegido em um momento fora do horário comercial normal. Você podeconfigurar a política de acesso baseado em risco para negar acesso ou forçar oacesso do usuário a autenticar com um desafio secundário.

Cenários de NegóciosTransações de negócios que têm um fator de risco de segurança aumentado podemse beneficiar implementando o acesso baseado em risco.

Os exemplos a seguir são alguns cenários nos quais você pode usar o acessobaseado em risco para fornecer um nível mais alto de confiança para a transação:v Um usuário tenta acessar informações sensíveis nas quais um ID de usuário

simples e a autenticação de senha não são suficientes. No entanto, os dados nãosão sensíveis o suficiente para usar um mecanismo de autenticação maiscomplexo, como IDs de token.

v Os usuários requerem acesso de locais remotos que não são confiáveis e usamdispositivos como dispositivos móveis e notebooks. Para assegurar que osusuários remotos sejam suficientemente autenticados, o negócio requer umsegundo fator de autenticação.

v Os usuários precisam acessar um aplicativo que fornece informações de negóciossensíveis. Eles podem acessar as informações fora de seus padrões de trabalhoregular.


v Um usuário acessa um recurso de um dispositivo que o usuário usouanteriormente e mantém padrões de uso típico. O acesso baseado em riscomelhora a experiência do usuário limitando mecanismos de autenticaçãosecundária.

CaracterísticasO acesso baseado em risco fornece vários recursos para identificar possíveis riscose limitar a capacidade para um invasor usar credenciais roubadas.v Registro de dispositivo silencioso no qual o sistema não requer nenhuma

interação com o usuário.v Atributos de política prontos para utilização que são específicos do acesso

baseado em risco.v Um mecanismo de pontuação de risco que calcula uma pontuação de risco para

a transação atual. A pontuação de risco é baseada em pesos configuráveis quesão designados a atributos de contexto e atributos de comportamento. Se apontuação de risco for alta, desafios adicionais são apresentados ao usuário ou oacesso é negado. Se a pontuação de risco for baixa, o usuário terá permissãopara acessar.

v Interface da linha de comandos para configurar e gerenciar as políticas de acessobaseado em risco e os atributos de política. Os comandos estão disponíveisatravés da estrutura AdminTask do WebSphere Application Server, que suportascript de Jacl, script Jython e API Java™ programática.

Visão Geral FuncionalO acesso baseado em risco inclui um serviço de autorização externa (EAS), serviçode autorização de tempo de execução e serviço de coleta de atributos.

O diagrama a seguir ilustra a arquitetura do acesso baseado em risco. O diagramatambém mostra como os vários componentes são conectados ao WebSEAL no IBMTivoli Access Manager para e-business e ao IBM Tivoli Federated Identity Manager.


Serviços de tempo de execução de acesso baseado em riscoO acesso baseado em risco fornece os seguintes serviços de tempo deexecução:

Serviço de autorizaçãoO serviço de autorização de acesso baseado em risco é umcomponente do ambiente de tempo de execução do IBM TivoliFederated Identity Manager. O serviço de autorização de tempo deexecução armazena a política, calcula a pontuação de risco e tomaa decisão de acesso. O serviço de autorização expõe um XACMLsobre o serviço da web SOAP que os pontos de execução deterceiros podem chamar para obter decisões de autorização.

Serviço de Coleta de AtributosO serviço de coleta de atributos é um serviço RepresentationalState Transfer (REST) que coleta atributos do navegador da web ede local do usuário. O serviço de coleta de atributos é um serviçopush. Você pode configurar o serviço de tempo de execução deacesso baseado em risco para usar os atributos coletados como osatributos de política para calcular o risco. Você também pode usaro Java ADK para conectar sua implementação customizada paraum serviço pull que recupera atributos do usuário.

Mecanismo de pontuação de riscoO mecanismo de pontuação de risco calcula o nível de risco ou deconfiança. Ele fornece um único número inteiro que representa a pontuaçãode risco para a transação atual na forma de uma porcentagem. Apontuação de risco é calculada com base nos pesos que são designados aum ou mais dos seguintes atributos de política:v Identificação de dispositivo ou impressão digital, como detalhes de

hardware, endereço IP, informações de local, sistema operacional, tipo denavegador da web, versão do navegador da web e resolução da tela.

Figura 1. Arquitetura de Acesso Baseado em Risco

Capítulo 2. Visão Geral do Acesso Baseado em Risco 5

v Padrões de comportamento, como frequência de login, tempo de acesso,frequência de acesso e tipo de transações.

v Atributos customizados que você pode configurar e gerenciar por meiode uma interface conectável. O serviço de autorização de acesso baseadoem risco é extensível e pode também incluir origens externas paraatributos.

O mecanismo de risco retorna a pontuação de risco final como um atributode política, que é a base da decisão de autorização final.

Ponto de Execução de Política (PEP)WebSEAL é o ponto de execução de política para o acesso baseado emrisco. O acesso baseado em risco integra-se com os mecanismos deautenticação do WebSEAL existentes, como o serviço de autenticação dedomínio cruzado (CDAS) e a interface de autenticação externa (EAI). Oacesso baseado em risco também integra-se com as implementaçõescustomizadas e do Parceiro de Negócios IBM. Pontos de execução deterceiros são suportados. Por exemplo, um aplicativo customizado pode serusado como um ponto de execução.

Serviço de Autorização ExternaO plug-in EAS de serviços de segurança de tempo de execução para oWebSEAL executa a decisão de política. O EAS obtém os dados dasolicitação e envia uma solicitação de decisão de autorização para o serviçode autorização de acesso baseado em risco. O serviço de autorizaçãomapeia a resposta de decisão de autorização para a ação do WebSEALapropriada, como permitir, negar ou avançar autenticação. É possívelgerenciar o EAS com entradas no arquivo webseald.conf com a sintaxe desub-rotina WebSEAL.

Pontos de Informações de Política (PIPs)Pontos de informações de política são componentes do serviço deautorização de acesso baseado em risco. Eles fornecem todos os atributosde política que não são fornecidos na solicitação de acesso inicial. Apontuação de risco e os atributos que são enviados por push ao serviço decoleta de atributos são fornecidos ao serviço de autorização por meio dosPIPs.

Você pode configurar os PIPs com o serviço de autorização de tempo deexecução do IBM Tivoli Federated Identity Manager. A interface coletaatributos de política de terceiros para fornecer dados ao processador dedecisão de política e outros PIPs. O acesso baseado em risco incluiimplementações PIP prontas para uso que fornecem os atributos de políticaque são requeridos. Você também pode fornecer atributos de políticacustomizada ao serviço de autorização por meio de um PIP customizado.

Ponto de Decisão de Política (PDP)O serviço de autorização de tempo de execução é o ponto de decisão depolítica para o acesso baseado em risco. Este serviço é configurado parausar o plug-in de acesso baseado em risco do PEP. A decisão deautorização é baseada em uma política de autorização que usa atributos depolítica e PIPs que são específicos para o acesso baseado em risco. Os PIPsfornecem informações, como pontuação de risco, local do usuário e tipo dedispositivo.

O Ponto de Administração de Política (PAP)O IBM Tivoli Federated Identity Manager é o ponto de administração depolítica para acesso baseado em risco. O acesso baseado em risco fornece


comandos wsadmin para configurar e gerenciar as políticas, regras, atributose pesos, que são requeridos para calcular o risco.

Nota: Se você for um usuário existente do IBM Tivoli Security PolicyManager, você poderá continuar a usá-lo para gerenciar políticas de acessobaseado em risco.

Fluxo de TransaçõesEm uma transação baseada em risco típica, o usuário solicita acesso a um recursoprotegido. O acesso baseado em risco calcula a pontuação de risco e determina seo acesso é permitido, negado ou permitido com uma obrigação.

No exemplo a seguir de uma transação de acesso baseado em risco, a pontuaçãode risco indica que um desafio deve ser apresentado ao usuário. O usuário concluicom êxito o desafio e recebe permissão para acessar o recurso protegido.

O processo a seguir explica o fluxo da transação no cenário de exemplo:1. O usuário interage através de um navegador da web para enviar informações

de autenticação e solicita acesso a um recurso protegido. O recurso protegidoé um aplicativo da web de junção que o WebSEAL protege.

2. O WebSEAL inspeciona a solicitação.O WebSEAL é o servidor proxy reverso que interage com todas as transações.Para o recurso protegido que o usuário solicita, a política do WebSEAL (POP)é configurada para chamar o plug-in EAS de serviços de segurança de tempode execução para autorizar a solicitação. O EAS é um plug-in de bibliotecacompartilhada, que é interno para o processo do WebSEAL, portanto, não hácallout na conexão entre o WebSEAL e o EAS.

3. O EAS primeiro verifica a política do gerenciador de acesso local.

Figura 2. Exemplo de Fluxo de Transações de Acesso Baseado em Risco


a. Se o gerenciador de acesso negar o acesso, o EAS retornará a resposta enão continuará com uma resposta proibida.

b. Se o gerenciador de acesso permitir o acesso, o EAS coletará asinformações de contexto sobre o usuário e a solicitação. A sub-rotinaazn-decision-info do WebSEAL tem as especificações para criar umXACML sobre a solicitação de decisão de autorização SOAP.

c. O EAS envia a solicitação para o serviço de autorização de tempo deexecução de acesso baseado em risco do IBM Tivoli Federated IdentityManager para a decisão de autorização.

4. O serviço de autorização de tempo de execução (PDP) executa a políticaconfigurada e chama os PIPs apropriados com base na política atual.a. Se um atributo de política de pontuação de risco for solicitado, o

mecanismo de risco será chamado.b. O mecanismo de risco utiliza os detalhes do contexto, solicita atributos de

política adicionais, se necessário, e, em seguida, calcula uma pontuação derisco.

c. O serviço de autorização aplica o atributo da política de pontuação derisco em relação à política de autorização e retorna uma resposta dedecisão apropriada para o EAS de serviços de segurança de tempo deexecução.

d. O EAS suporta três tipos de decisão: permitir, negar e permitir comobrigação. Neste exemplo, uma decisão para permitir com obrigação éretornada.1) Se a decisão de política for permissão simples ou negar, a decisão será

mapeada para as decisões permit e not_permit do WebSEAL. Asdecisões do WebSEAL são retornadas da chamadaazn_svc_decision_access_allowed_ext.

2) Se a resposta for para permitir o acesso, o WebSEAL permitirá que asolicitação continue para o recurso solicitado.

3) Se a resposta for para negar o acesso, o WebSEAL exibirá uma páginade erro, que indica que o acesso está proibido.

5. O EAS de serviços de segurança de tempo de execução analisa a resposta eretorna uma das seguintes respostas do EAS ao WebSEAL: permitir, negar,níveis de autenticação de avanço ou reautenticar. Neste exemplo, a resposta épara níveis de autenticação de avanço, portanto, esse WebSEAL pode executaro desafio de autenticação apropriado.O EAS de acesso baseado em risco também fornece uma configuração paramapear a obrigação retornada para um mecanismo da interface deautenticação externa (EAI) do WebSEAL específico. O EAI pode ser ummecanismo de autenticação externa do WebSEAL EAI ou CDAS, que o clienteou o Parceiro de Negócios IBM pode implementar.

6. O WebSEAL especifica o mecanismo de autenticação apropriado para ousuário.

7. O usuário é redirecionado para o mecanismo de autenticação, que constróiuma resposta de desafio.

8. A resposta de desafio é apresentada ao usuário.9. O usuário responde ao desafio.

10. Se a resposta do usuário à solicitação de desafio for bem-sucedida, o desafioserá processado. O aplicativo EAI retorna as credenciais do usuário e um nívelde avanço bem-sucedido na resposta HTTP para o WebSEAL.


11. O WebSEAL atualiza a sessão do usuário com os novos detalhes da credencialque o aplicativo EAI fornece e redireciona o usuário para o recurso protegido.

12. A solicitação do usuário para acessar o recurso protegido é enviada através doredirecionamento 302. A solicitação não requer nenhuma interação com ousuário.

13. O WebSEAL inspeciona a solicitação e a direciona ao EAS de serviços desegurança de tempo de execução para autorização.

14. O EAS coleta todas as informações de contexto sobre o usuário e a solicitaçãoe cria um XACML sobre a solicitação de decisão SOAP. O EAS envia asolicitação para o serviço de autorização de tempo de execução.

15. O serviço de execução de acesso baseado em risco toma o contexto e outrosatributos de política e calcula uma pontuação de risco. O serviço de tempo deexecução aplica a pontuação de risco em relação à política de autorizaçãoconfigurada e retorna uma resposta de decisão de política para permitir oacesso.

16. O EAS de serviços de segurança de tempo de execução interpreta a resposta eretorna a decisão de permissão para o WebSEAL.

17. O WebSEAL permite a solicitação original para continuar sem voltar para onavegador da web do usuário. O usuário não está ciente do processo detransação.



Capítulo 3. Instalando

Use o IBM Update Installer para WebSphere Software para instalar o acessobaseado em risco. Depois de instalar o acesso baseado em risco, use o comandomanageRbaConfiguration para implementar os vários componentes.

Requisitos de SoftwareAntes de instalar e configurar o acesso baseado em risco, você deve assegurar queseu ambiente atenda os requisitos para sistemas operacionais, bancos de dados enavegadores da web.

Sistemas Operacionais Suportados para Servidores

AIX

v AIX 6.1 POWER Systemv AIX 7.1 POWER System

Linux

v Red Hat Enterprise Linux Server Versão 6, em x86-64v Red Hat Enterprise Linux Versão 5 Advanced Platform, em x86-64v SUSE Linux Enterprise Server Versão 10, em x86-64v SUSE Linux Enterprise Server Versão 11, em x86-64

Microsoft Windows

v Microsoft Windows Server 2008 Enterprise Edition, em x86-64v Microsoft Windows Server 2008 R2 Enterprise Edition, em x86-64

Navegadores da Web Suportadosv Mozilla Firefox 11.0 ou posteriorv Google Chromev Microsoft Internet Explorer 8 ou posterior

Nota: Se você planeja usar atributos de local para cálculo da pontuação de risco,você requer o Internet Explorer Versão 9 ou posterior, que suporta a APIGeolocation.

Bancos de Dados Suportadosv IBM DB2, Enterprise Server Edition, Versão 9.7 com fix pack 2 ou posteriorv IBM solidDB Versão 7.0


Pré-requisitos de InstalaçãoAntes de instalar o acesso baseado em risco, você deve preparar o ambienteinstalando e configurando o software obrigatório.

Conclua as tarefas a seguir antes de instalar o acesso baseado em risco.

Tabela 2. Lista de Verificação de Pré-requisitos de Instalação


Faça download e instale a versão maisrecente do IBM Update Installer paraWebSphere Software.

Consulte a página do suporte IBMhttp://www-01.ibm.com/support/docview.wss?uid=swg24020448.

Instale o WebSphere Application Server,Network Deployment, Versão 7.0 com fixpack 15 ou posterior.Nota: Se o WebSphere Application Serverestiver em um ambiente em cluster, vocêdeverá instalar o WebSphere ApplicationServer, Network Deployment, Versão 7.0com fix pack 23 ou posterior.

Consulte a publicação Centro deInformações do WebSphere ApplicationServer Versão 7.0 em http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. Procure instalando o produto.

Inicie o WebSphere Application Server sevocê ainda não tiver feito isso.

Instale o IBM Tivoli Access Manager parae-business Versão 6.1.1 com o fix pack 6 ouposterior e o componente WebSEAL.

Instale o IBM Tivoli Federated IdentityManager Versão 6.2.2 com fix pack 1 ouposterior.

Consulte a publicação Centro deInformações do IBM Tivoli FederatedIdentity Manager Versão 6.2.2 emhttp://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html.

Crie um domínio e implemente o nó detempo de execução para o IBM TivoliFederated Identity Manager.

Consulte o Guia de Configuração no Centro deInformações do IBM Tivoli FederatedIdentity Manager Versão 6.2.2 emhttp://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html. Procure criando eimplementando um novo domínio.

Decida se você deseja fazer umaconfiguração automática ou manual de seubanco de dados.

Consulte “Considerações do Banco deDados”.

Consulte também “ConfigurandoManualmente o Banco de Dados” na página13.

Considerações do Banco de DadosO banco de dados de acesso baseado em risco armazena as propriedades deconfiguração, impressões digitais do dispositivo e atributos de sessão. Você podeescolher entre uma configuração automática de um banco de dados solidDBintegrado ou uma configuração manual de um banco de dados suportado.


http://www-01.ibm.com/support/docview.wss?uid=swg24020448

http://www-01.ibm.com/support/docview.wss?uid=swg24020448

http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp











O acesso baseado em risco fornece as duas opções a seguir para configurar o bancode dados:

Configuração do banco de dados solidDB integradoEsta configuração é uma solução rápida e fácil que está pronta para usoimediato. Ela não requer nenhuma configuração ou instalação manual deum banco de dados. No entanto, essa configuração funciona apenas emuma configuração do WebSphere Application Server independente.

Configuração manual do banco de dadosEsta configuração é preferencial para um ambiente de produção. Ela requerque você instale e configure seu banco de dados e configure manualmenteo esquema do banco de dados. Esta configuração é possívelindependentemente de você ter uma configuração independente doWebSphere Application Server ou uma Implementação de Rede comconfigurações em cluster.

Usando o Banco de Dados solidDB IntegradoA configuração do banco de dados solidDB integrado não requer nenhumainstalação ou configuração manual de um banco de dados.

Sobre Esta Tarefa

Nota: Esta configuração automática do banco de dados solidDB integrado funcionaapenas em uma configuração independente do WebSphere Application Server.

Procedimento1. Antes de implementar o acesso baseado em risco, certifique-se de não criar o

contexto JNDI denominado jdbc/rba no WebSphere Application Server.2. Se a operação deploy não detectar nenhum banco de dados instalado e

pré-configurado com o nome JDNI jdbc/rba, um banco de dados solidDB seráinstalado automaticamente.

3. O esquema do banco de dados também será criado automaticamente no bancode dados solidDB. Nenhuma etapa manual adicional para executar scripts paraconfigurar o esquema é requerida.

4. Opcional: Depois de executar a operação deploy, sugere-se que você altereimediatamente a senha do banco de dados solidDB integrada. Use o seguintecomando manageRbaConfiguration:$AdminTask manageRbaConfiguration {-operation create

-propertyName dbpassword -propertyValue new-password}

O que Fazer Depois

Instalar e implementar o acesso baseado em risco.

Configurando Manualmente o Banco de DadosSe não estiver usando o banco de dados solidDB integrado, você deverá instalar econfigurar o banco de dados e configurar o esquema. Esta configuração de bancode dados manual é preferencial para um ambiente de produção.

Antes de Iniciar

Importante: Se você escolheu a configuração automática do banco de dadossolidDB integrado, não será requerido que você conclua este procedimento paraconfiguração manual.

Capítulo 3. Instalando 13

Procedimento1. Instale um banco de dados suportado.2. Crie e configure um contexto JNDI denominado jdbc/rba no WebSphere

Application Server. Para obter mais informações, consulte Centro deInformações do WebSphere Application Server Versão 7.0 emhttp://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. Procureconfigurando uma origem de dados.

3. Configure as propriedades do esquema customizadas concluindo as seguintesetapas:a. No console administrativo, clique em Recursos > JDBC > Origens de

dados.b. Clique no nome da origem de dados que foi criada na etapa 2 para abrir a

página Configuração.c. Clique em Propriedades customizadas.d. Clique em currentSchema.e. No campo Valor, digite RBA_DB.f. Clique em OK.g. Clique em Salvar diretamente na configuração principal.

4. Execute o script para criar o esquema do banco de dados para acesso baseadoem risco.

Sistemas AIX® ou Linux

Os scripts para criar o banco de dados estão no diretório/opt/IBM/FIM/rba/dbscripts/.a. Execute o shell script create_schema.sh que está na pasta que

corresponde ao seu banco de dados.b. Quando executar o script, especifique o nome de usuário do banco

de dados, que é um parâmetro requerido. Por exemplo, para DB2:/opt/IBM/FIM/rba/dbscripts/db2/create_schema.sh database_user_name

Sistemas Windows

Os arquivos SQL e o arquivo em lote para criar o esquema do banco dedados estão no diretório C:\Program Files\IBM\FIM\rba\dbscripts\.a. Edite o arquivo create_schema.sql e substitua &DBUSER pelo nome

de usuário do banco de dados.b. Execute o arquivo em lote create_schema.bat que está na pasta que

corresponde ao seu banco de dados. Especifique o arquivocreate_schema.sql como o parâmetro de entrada. Por exemplo,para DB2:C:\Program Files\IBM\FIM\rba\dbscripts\db2\create_schema.bat create_schema.sql

5. Quando o script SQL inicia a execução, é solicitada a você uma senha. Insira asenha do usuário do banco de dados para continuar.

O que Fazer Depois


Instalando o Acesso Baseado em RiscoUse o Update Installer para WebSphere Software para instalar os componentes eplug-ins para o acesso baseado em risco.



Antes de Iniciar

Conclua os pré-requisitos de instalação.

Procedimento1. Execute uma das ações a seguir, com base em seu sistema operacional:

Sistemas AIX® ou LinuxInicie sessão como root.

Sistemas WindowsEfetue login como um membro do grupo de administradores

2. Faça download do arquivo 6.2.2.-TIV-ITFIM-FP0000-RBA.pak dohttp://www.ibm.com/support/docview.wss?uid=swg24032796.

3. Para iniciar o assistente do Update Installer, execute o shell script update.shou o arquivo de aplicativo update.exe a partir do diretório-raiz do UpdateInstaller.Por exemplo:

Sistemas AIX® ou Linux/opt/IBM/WebSphere/UpdateInstaller/update.sh

Sistemas WindowsC:\Program Files\IBM\WebSphere\UpdateInstaller\update.exe

Nota: Durante o processo de instalação, o Update Installer pode exibirmensagens de aviso ou de informação. Ignore as mensagens e continue com ainstalação.

4. Na página Bem-vindo, clique em Avançar.5. No campo Caminho do Diretório, especifique o diretório inicial do IBM Tivoli

Federated Identity Manager e clique em Avançar.Por exemplo:

Sistemas AIX® ou Linux/opt/IBM/FIM

Sistemas WindowsC:\Program Files\IBM\FIM

6. Selecione Instalar pacote de manutenção e clique em Avançar.7. Especifique o diretório no qual você colocou o arquivo 6.2.2-TIV-ITFIM-

FP0000-RBA.pak e clique em Avançar.8. Selecione 6.2.2-TIV-ITFIM-FP0000-RBA.pak e clique em Avançar.9. Selecione Verificar minhas permissões para executar a instalação, confirme as

especificações da instalação e clique em Avançar.10. Quando a instalação for concluída, clique em Concluir.11. Reinicie o servidor de aplicativos ou o nó de implementação no qual você

instalou o acesso baseado em risco. Você deve reiniciar porque a interface dalinha de comandos estende a estrutura AdminTask do WebSphere ApplicationServer.

Resultados

Agora, o acesso baseado em risco é instalado.


http://www.ibm.com/support/docview.wss?uid=swg24032796

O que Fazer Depois

Implementar o acesso baseado em risco..

Ativando o Suporte ao Idioma para Mensagens EASPara ativar o suporte ao idioma para mensagens EAS (Serviços de AutorizaçãoExterna), configure seu código de idioma no sistema operacional.

Antes de Iniciar

Instalar o acesso baseado em risco.

Sobre Esta Tarefa

Embora um código de idioma diferente seja especificado, as mensagensrelacionadas ao EAS de serviços de segurança de tempo de execução são exibidasem inglês. Você pode ativar mensagens em um idioma diferente para o EAS deserviços de segurança de tempo de execução.

Procedimento1. Crie o diretório a seguir se ele não existir:

Sistemas operacionais AIX ou Linux/opt/pdwebrte/nls

Sistemas operacionais WindowsC:\Program Files\Tivoli\PDWeb\nls

2. Extraia o conteúdo de FIM_INSTALL_DIRECTORY/rba/eas/nls.zip para essediretório.

3. Configure seu código de idioma no sistema operacional atualizando asvariáveis de ambiente. Por exemplo, para ativar Tcheco em um sistemaoperacional Linux, configure:v LC_ALL=cs_CZ

v LANG=cs_CZ

4. Reinicie sua estação de trabalho se ela for requerida por seu sistemaoperacional.

O que Fazer Depois

Verifique se agora suas mensagens EAS são exibidas no idioma especificado.

Implementando o Acesso Baseado em RiscoDepois de instalar o acesso baseado em risco, use a operação deploy do comandomanageRbaConfiguration para configurar o banco de dados de acesso baseado emrisco e implementar os vários componentes.

Antes de Iniciar1. Instale o acesso baseado em risco.2. Para que a instalação entre em vigor, reinicie o servidor de aplicativos ou o nó

de implementação no qual você instalou o acesso baseado em risco.3. Decida se você deseja fazer uma configuração automática ou manual de seu

banco de dados. Consulte “Considerações do Banco de Dados” na página 12.


Sobre Esta Tarefa

os comandos wsadmin para o acesso baseado em risco são chamados por um nó doGerenciador de Implementação em um ambiente gerenciado com clusters.

Se a operação deploy detectar que o serviço de segurança de tempo de execuçãoestá configurado com o IBM Tivoli Security Policy Manager, a instância existentedo serviço de segurança de tempo de execução não será sobrescrita. Nesse cenário,você pode usar o IBM Tivoli Security Policy Manager como o ponto deadministração de política (PAP) para gerenciar políticas de acesso baseado emrisco. Você não pode usar o comando manageRbaPolicy para gerenciar políticas.Algumas operações manageRbaPolicy são desativadas neste cenário. Os serviços desegurança de tempo de execução do IBM Tivoli Federated Identity Manager e osserviços de segurança de tempo de execução do IBM Tivoli Security PolicyManager devem compartilhar o perfil do WebSphere Application Server para oacesso baseado em risco.

Procedimento1. Abra uma janela de comando e acesse o diretório no qual seu perfil do

WebSphere Application Server está localizado. Por exemplo:

Sistemas AIX® ou Linux/opt/IBM/WebSphere/AppServer70/profiles/AppSrv01/bin

Sistemas Windows:C:\Program Files\IBM\WebSphere\AppServer\profiles\AppSrv01\bin

2. Inicie a ferramenta wsadmin com um dos seguintes comandos:

Sistemas AIX® ou Linux./wsadmin.sh -username username -password password

Sistemas Windows:wsadmin.bat -username username -password password

3. Para implementar o ambiente de tempo de execução de acesso baseado emrisco e os plug-ins, execute o seguinte comando wsadmin:$AdminTask manageRbaConfiguration {-operation deploy}

Uma mensagem informa que o acesso baseado em risco foi implementado comêxito.

4. Ative a segurança para os serviços de segurança de tempo de execução.a. No WebSphere Application Server, crie um grupo.b. No console administrativo do WebSphere Application Server, selecione

Aplicativos > Tipos de Aplicativos > Aplicativos Corporativos doWebSphere > IBM Tivoli Runtime Security Services.

c. Em Propriedades de Detalhes, clique em Função de Segurança paraMapeamento de Usuário/Grupo. Uma lista de funções é exibida.

a. Selecione a função tscc-admin e clique em Mapear Grupos.b. Selecione o grupo que você criou e clique em OK.c. Clique em OK e salve a configuração.d. Use o comando manageRbaConfiguration para configurar as propriedades

rtss.admin.basic.authn.username e rtss.admin.basic.authn.pwd paracorresponder ao nome de usuário e à senha no grupo que você designou àfunção tscc-admin.


$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.basic.authn.username -propertyValue user_name}

$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.basic.authn.pwd -propertyValue password}

5. Proteja a URL de serviço do RTSS se estas condições se aplicarem à suaimplementação do IBM Tivoli Federated Identity Manager:v O RTSS é implementado no servidor.v O produto é unido atrás do WebSEAL.Se estas condições se aplicarem, anexe uma lista de controle de acesso ao/FIM/rtss/admin usando o IBM Tivoli Access Manager para e-business, versão6.1.1 ou posterior.Anexar uma lista de controle de acesso assegura que a página não estejadisponível a todo mundo.Consulte a documentação do IBM Tivoli Access Manager para e-business.

Resultados

O acesso baseado em risco é implementado.

Se nenhum banco de dados for instalado e configurado com o nome de contextoJNDI, jdbc/rba, um banco de dados solidDB integrado será instalado e o esquemaserá criado.

O que Fazer Depois

Configure os atributos de acesso baseado em risco, as políticas e as propriedadesde tempo de execução.

Desinstalando o Acesso Baseado em RiscoUse o comando manageRbaConfiguration para remover os componentes do acessobaseado em risco. Depois de remover os componentes, use o IBM® Update Installerpara WebSphere Software para desinstalar o acesso baseado em risco.

Sobre Esta Tarefa

Se a operação undeploy detectar que o serviço de segurança de tempo de execuçãoestá configurado com o IBM Tivoli Security Policy Manager, a instância do serviçode segurança de tempo de execução não será removida nem terá a implementaçãoremovida.

Procedimento1. Para remover os arquivos de configuração de tempo de execução e os plug-ins,

execute o seguinte comando:$AdminTask manageRbaConfiguration {-operation undeploy}

Uma mensagem indica que o acesso baseado em risco teve a implementaçãoremovida com êxito.

Nota: Se você estiver usando o banco de dados solidDB integrado, a operaçãoundeploy criará um backup do banco de dados em FIM_install_dir/rba/solidDB/backup-timeStampInteger.


2. Para desinstalar o acesso baseado em risco, inicie o assistente do UpdateInstaller. Execute o shell script update.sh ou o arquivo de aplicativosupdate.exe a partir do diretório-raiz do Update Installer. Por exemplo:

Sistemas AIX® ou Linux/opt/IBM/WebSphere/UpdateInstaller/update.sh

Sistemas WindowsC:\Program Files\IBM\WebSphere\UpdateInstaller\update.exe

3. Na página Bem-vindo, clique em Avançar

4. No campo Caminho do Diretório, especifique o diretório no qual o acessobaseado em risco está instalado e clique em Avançar. Por exemplo:

Sistemas AIX® ou Linux/opt/IBM/FIM

Sistemas WindowsC:\Program Files\IBM\FIM

5. Selecione Desinstalar Pacote de Manutenção e clique em Avançar.6. Selecione RBAFP0000.pak e clique em Avançar.7. Reveja as informações de resumo e clique em Avançar.8. Quando a desinstalação for concluída, clique em Concluir (Finish).9. Exclua manualmente o arquivo Java Archive (JAR) que contém a interface da

linha de comandos para o acesso baseado em risco. O assistente dedesinstalação não pode remover este arquivo até o servidor de aplicativos serparado. O arquivo está bloqueado porque o servidor de aplicativos está usandoas classes no arquivo JAR.a. Quando o servidor de aplicativos estiver parado, vá para o diretório

plugins no diretório de instalação do WebSphere Application Server. Porexemplo:

Sistemas AIX® ou Linux/opt/IBM/WebSphere/AppServer/plugins

Sistemas WindowsC:\Program Files\IBM\WebSphere\AppServer\plugins

b. Exclua o arquivo JAR denominado com.tivoli.am.rba.cli_7.0.0.jar.

Problemas Conhecidos e Soluções AlternativasOs problemas de acesso baseado em risco podem incluir problemas com arecuperação ou coleta de atributos, erros de conexão e problemas de desempenho.Use as soluções alternativas para resolver problemas que você pode encontrarquando usar o acesso baseado em risco.

Atributos de Localização Geográfica Não Recuperados

ProblemaOs atributos de local não são recuperados de um dispositivo com umaconexão de Internet com fio depois que você configura o serviço de coletade atributos para coletar atributos de local.

Solução Alternativa

Para recuperar os atributos de local, certifique-se de que o GPS (GlobalPositioning Service) no dispositivo do usuário esteja ativado.

Se o dispositivo não tiver GPS, certifique-se de que o dispositivo estejaconectado a uma rede WiFi para recuperar os atributos de local.


Conexão Não Disponível

ProblemaErros semelhantes à mensagem a seguir são localizados no arquivoSystemOut.log: Conexão não disponível, tempo limite atingido,aguardando. . .

Solução AlternativaNo WebSphere Application Server, aumente o tamanho máximo doconjunto de conexões para um valor que seja três vezes maior que ocarregamento simultâneo máximo esperado.

Por exemplo, se você espera um máximo de 10 usuários simultâneos aqualquer momento, configure o tamanho máximo do conjunto de conexõescomo superior a 30.

Certifique-se de que o tamanho máximo do conjunto de encadeamentosseja pelo menos duas vezes o tamanho máximo do conjunto de conexões.

Para obter mais informações, consulte Centro de Informações doWebSphere Application Server Versão 7.0 em http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. Procure configurações do conjunto deconexões e configurações do conjunto de encadeamentos.

Erro de Recuperação de Atributo

ProblemaO arquivo SystemOut.log contém erros relacionados à recuperação deatributos relacionados ao risco.

Solução AlternativaNas configurações da Java Virtual Machine do WebSphere ApplicationServer, aumente o tamanho de heap Java.

Configure o tamanho de heap inicial para 1 GB e o tamanho de heapmáximo para 2 GB.

Para obter mais informações, consulte Centro de Informações doWebSphere Application Server Versão 7.0 em http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. Procure Configurações da Java VirtualMachine.

O Arquivo JavaScript Falha ao Carregar

ProblemaO info.js falha ao carregar.

Solução AlternativaNas configurações da Java Virtual Machine do WebSphere ApplicationServer, aumente o tamanho de heap Java.

Configure o tamanho de heap inicial para 1 GB e o tamanho de heapmáximo para 2 GB.

Para obter mais informações, consulte Centro de Informações doWebSphere Application Server Versão 7.0 em http://pic.dhe.ibm.com/infocenter/wasinfo/v7r0/index.jsp. Procure Configurações da Java VirtualMachine.








Muitos Arquivos Abertos

ProblemaO WebSphere Application Server processa as solicitações lentamente. Amensagem de erro Muitos arquivos abertos é exibida várias vezes noarquivo SystemOut.log.

Solução AlternativaAumente o limite para o número de descritores de arquivos abertos.

Nos sistemas AIX e Linux, execute o comando ulimit:ulimit -n nnnn

em que nnnn é o número requerido de arquivos, por exemplo, 4096.

Depois de atualizar ulimit, reinicie o WebSphere Application Server apartir do mesmo shell.

O Acesso Baseado em Risco Não Apresenta um Desafio deAutenticação Básica

ProblemaQuando o acesso baseado em risco não apresenta um desafio deautenticação básica, o serviço de autorização externa (EAS) e o serviço desegurança de tempo de execução experimentam uma falha nacomunicação. A modificação das configurações SSL resolve esse problema.

Solução Alternativa

1. Acesso o console administrativo do WebSphere Application Server.2. Selecione Certificado SSL e Gerenciamento de Chaves >

Configurações SSL > Configurações SSL Padrão do Nó > Qualidadede Proteção.

3. Configure Autenticação de Cliente como Suportada.4. Configure Protocolo como SSL_TLS.5. Selecione Segurança Global > Segurança da Web – Configurações

Gerais.6. Certifique-se de que a seguinte opção esteja selecionada: Padrão para

autenticação básica quando a autenticação de certificado para ocliente HTTPS falha.



Capítulo 4. Configurando

Você deve configurar seus mecanismos de autenticação e autorização padrão paraincluir decisões de acesso baseado em risco. Você pode verificar se suaconfiguração é bem-sucedida acessando um recurso que é protegido por acessobaseado em risco. Confirme se o dispositivo está registrado e os atributos de sessãosão capturados para cálculo de pontuação de risco.

Roteiro de ConfiguraçãoAntes de começar a usar o acesso baseado em risco, você deve configurar o serviçode autorização externa (EAS), o serviço de coleta de atributos, os atributosrequeridos, as propriedades e as políticas.

Depois de instalar e implementar o acesso baseado em risco, você deve concluir asseguintes tarefas de configuração.

Tabela 3. Roteiro para Configurar o Acesso Baseado em Risco


Configurar o EAS de serviços de segurançade tempo de execução do WebSEAL.

Consulte o “Configurando o Serviço deAutorização Externa de Serviços deSegurança de Tempo de Execução noWebSEAL” na página 31.

Configurar o serviço de coleta de atributos. Consulte o “Configurando o Serviço deColeta de Atributos” na página 39.

Configurar os atributos que você requerpara o cálculo de pontuação de risco.

Consulte o “Configurando o Perfil de Risco”na página 40.

Usar o script de amostra para criar umapolítica para acesso baseado em risco. Oscript de amostra pronto para utilização noidioma de geração de política de autorizaçãofornece regras básicas para uma política defuncionamento de ponta a ponta.Nota: Se você for um usuário existente doIBM Tivoli Security Policy Manager, poderácontinuar a usá-lo como o ponto deadministração de política para gerenciarpolíticas de acesso baseado em risco. Paraobter informações adicionais, consulte“Gerenciamento de Política com o IBMTivoli Security Policy Manager” na página56.

Consulte:

v “Script de Amostra para Regras dePolítica de Acesso Baseado em Risco” napágina 54.

v “Criando uma Política de Acesso Baseadoem Risco” na página 55.

Ativar logs e rastreios. Consulte o “Ativando Logs e Rastreios” napágina 24.

Verifique a configuração. Consulte o “Verificando a Configuração” napágina 25.

Nota: Depois de usar o comando manageRbaConfiguration oumanageRbaRiskProfile para configurar propriedades ou atributos, você deveexecutar o comando manageRbaConfiguration com a opção reload para que asmudanças entrem em vigor.


Ativando Logs e RastreiosDepois de instalar o acesso baseado em risco, você deve ativar as funções derastreio e de criação de log para componentes do acesso baseado em risco noWebSEAL e IBM Tivoli Federated Identity Manager. Use as informações nosarquivos de log para isolar e depurar problemas.

Procedimento1. Ative a criação de log para o serviço de autorização externa (EAS) de serviços

de segurança de tempo de execução no WebSEAL.Use o shell pdadmin para ativar rastreio e logs para o EAS.pdadmin> server task webseal_server_nametrace set EAS_component_name 9 file path=log_file_path

Por exemplo:pdadmin> server task default-webseald-epcloud127trace set pdweb.rtss 9 file path=/tmp/rtss.log

Nota: A configuração não é persistente. O rastreio é desativado quando vocêreinicia o WebSEAL.O arquivo de log está no caminho de arquivo absoluto do local especificado.

2. Use o console administrativo do WebSphere Application Server para ativar acriação de log para o serviço de segurança de tempo de execução do IBM TivoliFederated Identity Manager.a. No console do WebSphere Application Server, selecione Resolução de

Problemas > Logs e Rastreio > server_name.b. Clique no link Alterar Níveis de Detalhe do Log.c. Em Propriedades Adicionais, clique em Alterar Níveis de Detalhe de Log.d. Na guia Tempo de Execução, inclua a seguinte sequência de rastreio:

*=info:com.ibm.tscc.rtss.*=all:com.tivoli.am.rba.*=all:com.ibm.sec.authz.*=all

e. Selecione Salvar as alterações do tempo de execução na configuraçãotambém.

f. Clique em Aplicar e salve as alterações.g. Reinicie o WebSphere Application Server.Você pode localizar o arquivo de log no seguinte local:WAS_HOME/profiles/profile_name/logs/server1/trace.log.

3. Para ativar a criação de log de baixa granularidade de operações do banco dedados, configure a propriedade db.logging.enabled como true.$AdminTask manageRbaConfiguration {-operation update

-propertyName db.logging.enabled -propertyValue true}

O arquivo de rastreio do WebSphere Application Server começa a registrar cadaconsulta individual juntamente com informações de conexão.

4. Para resolver problemas relacionados ao cálculo de risco, configure apropriedade generate.risk.calculation.reports como true.$AdminTask manageRbaConfiguration {-operation update

-propertyName generate.risk.calculation.reports-propertyValue true}

Toda vez que o risco é calculado, os relatórios de risco HTML são gerados. Osarquivos de relatório são armazenados no diretório temporário do WebSphereApplication Server Java virtual machine (JVM) em uma pasta denominada rba.O valor da propriedade de sistema java.io.tmpdir indica o caminho do


diretório temporário da JVM. Por exemplo, nos sistemas AIX® ou Linux, osarquivos podem ser armazenados no diretório /tmp/rba.

O que Fazer Depois

Verifique a configuração de acesso baseado em risco.

Verificando a ConfiguraçãoVerifique se os serviços de acesso baseado em risco estão em execução e se osdispositivos foram registrados com êxito. Se as etapas de verificação forembem-sucedidas, o acesso baseado em risco foi instalado e configurado corretamenteem seu sistema.

Antes de Iniciarv Instalar e implementar o acesso baseado em risco.v Configurar o EAS de serviços de segurança de tempo de execução do WebSEAL.v Configurar o serviço de coleta de atributos.v Configurar os atributos que você requer para o cálculo de pontuação de risco.v Criar uma política e configurá-la para acesso baseado em risco.v Ativar logs e rastreios.

Procedimento1. Verifique se o serviço de segurança de tempo de execução é configurado para

carregar o plug-in de acesso baseado em risco.No arquivo WAS_HOME/profiles/profile_name/logs/server1/trace.log, procureas seguintes entradas:AuthzRuntimeS 3 Successful registry finder : RBA AttributeSession PIPAuthzRuntimeS 3 Successful registry finder : USER FINGERPRINT COUNT PIPAuthzRuntimeS 3 Successful registry finder : RBA RiskCalculator PIP

Se a entrada existir, o plug-in de acesso baseado em risco será carregado comêxito.Se você não vir as entradas, verifique se a configuração de rastreio para oserviço de segurança de tempo de execução do IBM Tivoli Federated IdentityManager está correto. Consulte o “Ativando Logs e Rastreios” na página 24.

2. Se você configurou a política de amostra pronta para utilização, verifique se apolítica de acesso baseado em risco está funcionando.a. Visite a URL que você configurou como um recurso protegido e efetue

login. É apresentado a você um desafio secundário como uma senhadescartável (OTP). Depois de responder com êxito ao desafio secundário,você deve receber acesso ao recurso. Sua impressão digital do dispositivo éregistrada no banco de dados de acesso baseado em risco e a pontuação derisco é inicializada para zero. Os logs do EAS de serviços de segurança detempo de execução mostram as decisões de autorização que são recebidasdo ponto de decisão de política (PDP).

b. Efetue logout e login novamente com o mesmo ID do usuário que vocêusou na etapa anterior e a partir do mesmo dispositivo. Você pode receberacesso ao recurso sem nenhum desafio secundário.

c. Com o mesmo ID do usuário que você usou na etapa anterior, acesse omesmo recurso de um dispositivo diferente. Se for apresentado um desafiosecundário, a autenticação de avanço de acesso baseado em risco estáfuncionando. Quando os atributos não correspondem à impressão digital

Capítulo 4. Configurando 25

armazenada, um risco potencial é identificado e é apresentado um desafioao usuário. Apenas depois que o usuário responde ao desafio com êxito, onovo dispositivo é registrado. Os logs do EAS de serviços de segurança detempo de execução podem indicar que uma solicitação para um desafiosecundário foi recebida do PDP.

3. Verifique se sua impressão digital do dispositivo está registrada. Execute oseguinte comando wsadmin para listar os dispositivos registrados:$AdminTask manageRbaDevices {-operation search}

4. Verifique se os atributos de sessão foram coletados. Execute o seguintecomando wsadmin para listar atributos de sessão:$AdminTask manageRbaSessions {-operation search}


Capítulo 5. Administrando

Gerencie os vários componentes de acesso baseado em risco, como o serviço deautorização externa (EAS), o serviço de coleta de atributos, os atributos de sessão,os dispositivos e as políticas.

Gerenciamento de riscoAs decisões de política de acesso baseado em risco são baseadas na pontuação derisco. A pontuação de risco é calculada com base nos atributos que são recuperadosdo usuário.

O processo a seguir descreve os principais aspectos do gerenciamento de risco:1. Decida sobre um conjunto de atributos que você requer para cálculo da

pontuação de risco.2. Configure os métodos para recuperá-los.

v Você pode recuperar muitos desses atributos a partir de cabeçalhos HTTPpadrão. Configure esses atributos no arquivo de configuração do WebSEAL.Consulte o “serviço de Autorização Externa de Serviços de Segurança deTempo de Execução” na página 30.

v Para alguns atributos, você pode requerer JavaScript do lado do cliente. Paracoletar esses atributos especiais, use o serviço de coleta de atributos, que éum serviço Representational State Transfer (REST). O serviço de coleta deatributos fornece JavaScript pronto para utilização, que captura os atributosque você configura. Consulte o “Serviço de Coleta de Atributos” na página36.

v Você pode requerer outros atributos que não podem ser recuperados a partirde cabeçalhos HTTP padrão ou atributos que o serviço de coleta de atributosnão captura. Para tais atributos, grave o JavaScript customizado que fornecedados do atributo para o serviço de coleta de atributos. Você também podeusar um arquivo SWF para coletar informações de navegadores da web quesuportam o formato SWF.

3. Configure defina os pesos para todos os atributos independentemente de comoeles são recuperados. Use o comando manageRbaRiskProfile para configuraratributos. Consulte o “Configurando o Perfil de Risco” na página 40.

4. Especifique como você deseja armazenar os atributos. Consulte o“Armazenamento de Atributo” na página 42.

5. Configure as propriedades que especificam configurações para correspondentesde atributos, como local, endereço IP e correspondentes de tempo de login.Consulte o “Correspondentes de Atributos” na página 43.

Cálculo da pontuação de riscoO cálculo de pontuação de risco é o processo pelo qual o mecanismo de riscodetermina uma pontuação de risco. A pontuação de risco demonstra o nível derisco associado a permitir que uma solicitação acesse o recurso. Essa pontuação derisco é comparada a uma pontuação de limite que é configurada em uma política.Uma decisão é tomada com base no resultado desta comparação.


Visão Geral

O mecanismo de risco determina uma pontuação de risco comparando conjuntosde atributos que identificam dispositivos. Esses conjuntos de atributos sãochamados de impressões digitais do dispositivo. Os atributos de impressão digitaldo dispositivo incluem itens como endereço IP, local e tamanho da tela. Cadadispositivo registrado tem uma impressão digital do dispositivo. Como o usuárioacessa o recurso em diferentes locais e em diferentes dispositivos, o usuário podeter muitos dispositivos registrados.

O processo a seguir descreve como a avaliação de risco funciona:1. O dispositivo recebido solicita acesso ao recurso.2. O mecanismo de risco coleta tantos atributos de impressão digital do

dispositivo quantos ele pode do dispositivo de solicitação.3. Depois que os atributos são coletados, o mecanismo de risco:

v Determina a impressão digital do dispositivo.v Calcula a pontuação de risco. A pontuação de risco

– É um número.– Representa a quantia de risco associada à solicitação recebida.– Indica a probabilidade de que a solicitação recebida represente o usuário.

4. O mecanismo de risco:v Compara a impressão digital recebida com cada impressão digital do

dispositivo registrado.v Usa os atributos que estão contidos na impressão digital maior para cada

comparação.v Calcula uma pontuação de risco para cada comparação.

5. Para determinar a pontuação de risco final, o mecanismo de risco:v Escolhe a pontuação de risco menor das comparações entre a impressão

digital recebida e a impressão digital registrada.v Mede a pontuação de risco final em relação a uma pontuação de limite ou

intervalo que o administrador configura em uma política.6. Dependendo da maneira que o administrador grava a política, ocorre um dos

resultados a seguir:

PermitirA pontuação de risco para a solicitação recebida está bem abaixo dapontuação de limite. O usuário recebe acesso ao recurso. Por exemplo,a pontuação de risco é 30 e a pontuação de limite que é configuradapelo administrador é 40.

Permitir com obrigaçãoÉ solicitado que o usuário conclua uma medida de segurança extra,como a autenticação de etapas. Por exemplo, a pontuação de risco é 40e a política que o administrador gravou requer usuários que operemdispositivos com pontuações 30 - 90 para as etapas.

Negar A pontuação de risco para a solicitação recebida está acima dapontuação ou do intervalo de limite. O acesso ao recurso é negado aousuário. Por exemplo, a pontuação de risco é 50 e a pontuação delimite que é configurada pelo administrador é 40.

A pontuação de risco é calculada por meio da seguinte fórmula:


Pontuação de Risco = (peso total dos atributos incompatíveis /peso total de todos os atributos) × 100

Quando os valores que pertencem à impressão digital do dispositivo recebido e àimpressão digital do dispositivo registrado são iguais, os valores têmcorrespondência. Quando os valores que pertencem à impressão digital dodispositivo recebido e à impressão digital do dispositivo registrado não são iguais,os valores são incompatíveis.

Às vezes, as impressões digitais contêm atributos que não têm correspondência ouque são incompatíveis. Esses atributos são chamados de atributos indeterminados.Quando há atributos indeterminados presentes, a seguinte fórmula é usada paracalcular a pontuação de risco:Pontuação de Risco = (peso total dos atributos incompatíveis /(peso total de todos os atributos de atributos indeterminados)) × 100

Cenários

Os cenários de exemplo a seguir demonstram o cálculo da pontuação de risco.

Ambos os cenários supõem que o administradorv Gravou uma política que especifica que qualquer pontuação de risco ou abaixo

de 40 é permitida e qualquer pontuação de risco acima de 40 é negada.v Deu valores de peso iguais a todos os atributos nas tabelas.

– Os atributos nas tabelas têm o mesmo valor de peso de 10.

Cenário 1: A Autenticação É Permitida

As informações de exemplo na tabela são usadas para calcular a pontuação de risco.

Nomes de atributosValoresde peso

Valores de impressãodigital do dispositivorecebido

Valores de impressãodigital do dispositivoregistrado

platform 10 Win32 Win32

screenHeight 10 1080 1080

screenWidth 10 1920 1920

colorDepth 10 32 32

userAgent 10 Mozilla/5.0 (WindowsNT 6.1; WOW64;rv:15.0)Gecko/20120427Firefox/15.0a1

Mozilla/5.0 (WindowsNT 6.1)AppleWebKit/537.36(KHTML, como Gecko)Chrome/28.0.1468.0Safari/537.36

language 10 en-US en-US

ipaddress 10 42.29.144.5 42.29.144.5

v Todos os valores de atributos de impressão digital são correspondentes, excetoos valores de impressão digital do dispositivo recebido e os valores deimpressão digital do dispositivo existentes para userAgent.

v Como userAgent é o único atributo que tem valores incompatíveis, o peso totaldos atributos incompatíveis é 10.

v O peso total de todos os atributos é 70 porque cada atributo tem um valor depeso de 10.

Capítulo 5. Administrando 29

v De acordo com a fórmula do cálculo de pontuação de risco: (10/70)×100=14.Portanto, a pontuação de risco é 14.

v Como a pontuação de risco é inferior a 40, a autenticação é permitida.

Cenário 2: A Autenticação É Negada

As informações de exemplo na tabela são usadas para calcular a pontuação de risco.

Nomes de atributosValoresde peso

Valores de impressãodigital do dispositivorecebido

Valores de impressãodigital do dispositivoregistrado

platform 10 Linux Win32

screenHeight 10 1050 1080

screenWidth 10 1680 1920

colorDepth 10 24 32

userAgent 10 Mozilla/5.0 (X11;Linux i686 (x86_64))AppleWebKit/537.36(KHTML, como Gecko)Chrome/27.0.1453.93Safari/537.36

Mozilla/5.0 (WindowsNT 6.1)AppleWebKit/537.36(KHTML, como Gecko)Chrome/28.0.1468.0Safari/537.36

language 10 en-US en-US

ipaddress 10 9.53.18.164 42.29.144.5

v Nenhum dos valores de atributos de impressão digital é correspondente, excetoo valor de impressão digital do dispositivo recebido e o valor de impressãodigital do dispositivo existente para language.

v Como todos os atributos exceto language têm valores incompatíveis, o pesocoletivo dos atributos incompatíveis é 60.

v O peso total de todos os atributos é 70 porque cada atributo tem um valor depeso de 10.

v De acordo com a fórmula do cálculo de pontuação de risco: (60/70)×100=86.Portanto, a pontuação de risco é 86.

v Como a pontuação de risco é superior a 40, a autenticação é negada.

serviço de Autorização Externa de Serviços de Segurança deTempo de Execução

O serviço de autorização externa (EAS) de serviços de segurança de tempo deexecução para acesso baseado em risco é um plug-in de serviço de autorizaçãomodular. Você pode usar a autorização do IBM Tivoli Access Manager parae-business como um complemento para seus próprios modelos de autorizaçãoquando você tiver o EAS.

O EAS de serviços de segurança de tempo de execução fornece a funcionalidadePEP (Policy Enforcement Point) para acesso baseado em risco. Você podeconfigurar o EAS de serviços de segurança de tempo de execução para incluir asdecisões de acesso baseado em risco como parte da autorização padrão nassolicitações do WebSEAL. O WebSEAL se torna o ponto de execução deautorização para acesso aos recursos que o acesso baseado em risco protege.

O plug-in do EAS de serviços de segurança de tempo de execução usa os recursosde acesso baseado em risco do IBM Tivoli Federated Identity Manager. Para obtermais informações sobre o EAS, consulte o Authorization C API Developer Reference


Guide no Centro de Informações do IBM Tivoli Access Manager para e-businessVersão 6.1.1 em http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.itame.doc/welcome.htm. Procure External authorization service plug-ins.

O EAS de serviços de segurança de tempo de execução constrói uma solicitaçãoque envia para o ponto de decisão de política (PDP), que é IBM Tivoli FederatedIdentity Manager. Com base na decisão de política que é recebida do PDP, o EASexecuta uma das ações a seguir:

Tabela 4. Decisões de Acesso do EAS de Serviços de Segurança de Tempo de Execução

Ação Descrição

Permitir Concede acesso ao recurso protegido.

Permitir comobrigações

Concede acesso ao recurso protegido, depois que o usuário é autenticadocom êxito com um desafio secundário.

Negar Nega acesso ao recurso protegido.

Você deve configurar o EAS de serviços de segurança de tempo de execução doWebSEAL para executar decisões de política que o PDP retorna.

Configurando o Serviço de Autorização Externa de Serviços deSegurança de Tempo de Execução no WebSEALConfigurar o serviço de autorização externa (EAS) de serviços de segurança detempo de execução para reforçar as decisões de política que o PDP (Policy DecisionPoint) retorna. Use a ferramenta tfimcfg para atualizar o arquivo de configuraçãodo WebSEAL.

Antes de Iniciarv Instalar e implementar o acesso baseado em risco.v Certifique-se de que o IBM Tivoli Access Manager para e-business Versão 6.1.1

ou posterior seja instalado com o componente WebSEAL. Se a versão 6.1.1 forinstalada, certifique-se de que o fix pack 6 ou posterior seja aplicado.

v Para executar o arquivo tfimcfg.jar, use PDJrte para configurar o JRE, queinicia a ferramenta.

v Para usar a ferramenta tfimcfg com o IBM Security Access Manager para WebVersão 7.0 ou posterior, você deve atender às seguintes condições:– Obtenha um IBM JRE, versão 6.0, Update 10 ou posterior.– Configure o provedor com.ibm.security.cmskeystore.CMSProvider no arquivo

java.security, que está em $JAVA_HOME/lib/security, do IBM JRE.– Use PDJrte para configurar o JRE, que inicia a ferramenta, no domínio do

Security Access Manager.– A ferramenta ikeyman no $JAVA_HOME/bin deve estar no caminho antes que

você execute a ferramenta.v Execute a ferramenta no mesmo computador em que a instância do WebSEAL

está configurada.v Se você estiver usando o WebSEAL Versão 6.1.1, copie a biblioteca compartilhada

EAS de serviços de segurança de tempo de execução do diretório de instalaçãode acesso baseado em risco para o diretório de instalação do WebSEAL.Por exemplo:

Sistemas AIXCopie o arquivo /opt/IBM/FIM/rba/eas/6.1.1/platform_name/librtsseas.a para o diretório /opt/pdwebrte/lib.


http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.itame.doc/welcome.htm

http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.itame.doc/welcome.htm

Sistemas LinuxCopie o arquivo /opt/IBM/FIM/rba/eas/6.1.1/platform_name/librtsseas.so para o diretório /opt/pdwebrte/lib.

Sistemas WindowsCopie o arquivo C:\Program Files\IBM\FIM\rba\eas\6.1.1\WIN\rtsseas.dll para o diretório C:\Program Files\Tivoli\PDWebrte\lib.

Sobre Esta Tarefa

A ferramenta tfimcfg assegura que os dados corretos sejam transmitidos para oEAS de serviços de segurança de tempo de execução para cada solicitação.

Para incluir as decisões de acesso baseado em risco como parte da autorizaçãopadrão nas solicitações do WebSEAL, use a ferramenta tfimcfg. Em seguida,atualize manualmente o arquivo de configuração e anexe o POP. Esse processo édescrito no procedimento a seguir.

Procedimento1. (Opcional) Copie o certificado de emissor da instância do WebSphere

Application Server que hospeda o serviço de segurança de tempo de execuçãopara um arquivo do banco de dados de chave. Essa etapa faz parte daconfiguração e autenticação SSL do lado do servidor.Anote o local deste arquivo para que você possa especificá-lo para oArquivo-chave SSL de serviços de segurança de tempo de execução opcionaisna ferramenta tfimcfg na etapa 2.

2. Execute a ferramenta tfimcfg.Use os atributos tfimcfg a seguir:v Para um servidor WebSEAL:

java -jar tfimcfg.jar -action tamconfig -cfgfile WebSEAL_filename

v Para um servidor Web Gateway Appliance:java -jar tfimcfg.jar -action wgaconfig -cfgurl Web_Gateway_Appliance_URL

Consulte a “referência de tfimcfg” para obter informações sobre os parâmetrosda ferramenta no Centro de Informações do Federated Identity Manager.Se você estiver usando o JRE fornecido com o WebSphere Application Server,versão 8.0 ou posterior, poderá encontrar um erro quando usar tfimcfg.Consulte o arquivo leia-me do Fix Pack 6 para obter informações sobre maisparâmetros que o tfimcfg requer.Ao executar esta ferramenta, anote os prompts específicos de acesso baseadoem risco a seguir:a. Para o prompt Federação para configurar, selecione Acesso baseado em

risco.

Nota: A ferramenta configura as mesmas ACLs para federações e acessobaseado em risco. Além disso, a ACL itfim_rba_anyauth é anexada aoserviço de coleta de atributos.

b. Forneça os parâmetros de serviços de segurança de tempo de execução aseguir:v Usuário de serviços de segurança de tempo de execuçãov Senha de serviços de segurança de tempo de execuçãov URL de serviços de segurança de tempo de execução


http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html

v Arquivo-chave SSL de serviços de segurança de tempo de execuçãoopcionais

v Arquivo stash SSL de serviços de segurança de tempo de execuçãoopcional

v Rótulo do arquivo-chave SSL de serviços de segurança de tempo deexecução opcional

A ferramenta tfimcfg tenta se conectar ao servidor de serviços de segurançade tempo de execução. Se a conexão for inválida, será solicitado que vocêinsira os parâmetros novamente.Se deseja configurar a autenticação SSL do lado do servidor, especifique osparâmetros do SSL.

3. Anexe o POP, rba-pop, ao recurso que o acesso baseado em risco deveproteger. Por exemplo, se MyJct for o recurso para proteger, execute o comandoa seguir:#pdadmin -a sec_masterInsira a senha: passw0rdpop attach /WebSEAL/localhost-default/MyJct rba-popserver replicatequit

Nota: Anexe o POP na árvore de objetos de modo que o EAS de serviços desegurança de tempo de execução seja usado apenas para os recursos que sãoprotegidos pelo acesso baseado em risco. Se você anexar o POP baseado emrisco a um objeto raiz no espaço de objeto, o POP será usado para cadasolicitação, incluindo tarefas administrativas. A maioria dessas chamadas para oEAS de serviços de segurança de tempo de execução não é requerida e poderesultar em um rendimento mais baixo do desempenho.

4. Atualize o arquivo de configuração do WebSEAL para anexar a sub-rotina[obligations-levels-mapping]. Especifique o mapeamento entre os níveis deobrigação que o PDP retorna e os níveis de autenticação no WebSEAL. Porexemplo, anexe:[obligations-levels-mapping]otp=3consent=4

Consulte o WebSEAL Administration Guide no Centro de Informações do IBMTivoli Access Manager para e-business Versão 6.1.1. Procure “specifyingauthentication levels”.

5. Verifique se cada cabeçalho configurado pela ferramenta tfimcfg sob asub-rotina [azn-decision-info] tem uma configuração de atributocorrespondente no banco de dados de acesso baseado em risco. Os valoresespecificados após o sinal de igual (=) nas entradas devem corresponder aosatributos que você configura com o comando manageRbaRiskProfile.Assegure-se de que o caso do atributo corresponda à entrada correspondentesob a sub-rotina [azn-decision-info] porque as entradas fazem distinção entremaiúsculas e minúsculas. A entrada Subject-UUID é uma exceção. Você não temque configurar cookie:ac.uuid como um atributo com o comandomanageRbaRiskProfile. A entrada Subject-UUID é necessária apenas para oserviço de coleta de atributos funcionar com o EAS de serviços de segurança detempo de execução.Consulte o WebSEAL Administration Guide no Centro de Informações do IBMTivoli Access Manager para e-business Versão 6.1.1. Procure“azn-decision-info”.


http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.itame.doc_6.1.1/welcome.htm




Resultadosv O POP, rba-pop, é criado.v A ACL itfim_rba_anyauth é anexada ao serviço de coleção de atributos.v O EAS dos serviços de segurança de tempo de execução é configurado.

O que Fazer Depois

Consulte o “Configurando o Serviço de Coleta de Atributos” na página 39.

Dados de Configuração de Amostra para o Serviço deAutorização Externa de Serviços de Segurança de Tempo deExecuçãoA sub-rotina [rtss-eas] de amostra contém os detalhes de configuração para oserviço de autorização externa (EAS) de serviços de segurança de tempo deexecução para reforçar as decisões de política. Inclua as entradas de amostra nasub-rotina [rtss-eas] no arquivo de configuração do WebSEAL padrãodenominado webseald-default.conf.

Nota: A formatação, o comentário e as quebras de linha no código a seguir podemser alterados quando você copia e cola de um arquivo PDF. Compare o código quevocê copiou e colou com o código a seguir para assegurar que ele esteja emconformidade com a sintaxe correta.[rtss-eas]# Especifique o nome do IBM Tivoli Access Manager para e-business# componente de rastreio da Web que o EAS usa

trace-component = pdweb.rtss

# Configure esta propriedade como true se desejar que o EAS# verifique primeiro o IBM Tivoli Access Manager para e-business# se o usuário tem permissão para acessar o recurso com base# no conjunto ACL.

apply-tam-native-policy = true

# Especifique o id de contexto que é usado nas solicitações que são# enviadas pelo EAS para o serviço de segurança de tempo de execução.# Se o parâmetro de id de contexto não for configurado, o nome do servidor do WebSEAL# será usado como o valor padrão.##context-id =## Especifique a configuração da criação de log de auditoria. Esta entrada consiste# em um identificador de agente que é seguido por uma lista separada por vírgula# de pares chave-valor de atributos que são associados ao agente.## Por exemplo, para configurar a auditoria de registros para um arquivo:# audit-log-cfg = file path=/tmp/rtss-audit.log,flush=20,# rollover=2000000,buffer_size=8192,queue_size=48# Para enviar logs de auditoria para STDOUT:# audit-log-cfg = STDOUT## Se este atributo estiver ausente ou não configurado, nenhum# evento de auditoria será registrado.

# audit-log-cfg =

# Especifique o nome do cluster SOAP de serviços de segurança de tempo de execução# que contém este serviço SOAP de serviços de segurança de tempo de execução.# Especifique também uma sub-rotina [rtss-cluster:cluster] correspondente# com a definição do cluster.


[rtss-cluster:cluster1]# Especifique as definições para um cluster de servidores SOAP de serviços de segurança# de tempo de execução nesta sub-rotina.

# Defina as especificações do servidor que você usa para se comunicar# com um único servidor SOAP de serviços de segurança de tempo de execução,# que é membro deste cluster.# Os valores para esta entrada são definidos como:# {[0-9],}URL# em que o primeiro dígito (se presente) representa a prioridade do servidor# no cluster (9 sendo a mais alta, 0 sendo a mais baixa). A prioridade de 9 será assumida# se você não especificar uma prioridade. A URL pode ser qualquer# URL HTTP ou HTTPS bem-formada.

# É possível especificar várias entradas do servidor para fins de failover# e balanceamento de carga.# O conjunto completo dessas entradas do servidor define a# associação do cluster para failover e balanceamento de carga.

server = 9,https://localhost:9443/rtss/authz/services/AuthzService

# Especifique o número máximo de manipulações em cache que são usadas ao# comunicar-se com o SOAP de serviços de segurança de tempo de execução.

handle-pool-size = 10

# Especifique o período de tempo, em segundos, antes de uma manipulação inativa ser removida# do cache do conjunto de manipulação.

handle-idle-timeout = 240

# Especifique o período de tempo, em segundos, a aguardar uma resposta do# SOAP de serviços de segurança de tempo de execução.

timeout = 240

# Você poderá usar as seguintes entradas de configuração opcionais se# o servidor SOAP de serviços de segurança de tempo de execução estiver configurado# para requerer# autenticação básica. Se você deixar essas entradas em branco,# o cabeçalho de autenticação básica não será fornecido durante a comunicação# com o servidor SOAP de serviços de segurança de tempo de execução.

# Especifique o nome do usuário para o cabeçalho de autenticação básica.

basic-auth-user =

# Especifique a senha para o cabeçalho de autenticação básica.# Nota: Para ofuscar o valor de uma sub-rotina/chave,# use o seguinte comando pdadmin:# pdadmin> config modify keyvalue set -obfuscate# config-file stanza key value# Por exemplo:# pdadmin> config modify keyvalue set -obfuscate# /opt/pdweb/etc/webseald-default.conf# rtss-eas basic-auth-passwd passw0rd# Para obter mais informações sobre ofuscação, consulte Referência de Comando no# centro de informações do IBM Tivoli Access Manager para e-business.# Procure config modify na seção pdadmin commands.

basic-auth-passwd =

# As seguintes entradas SSL são opcionais e só são necessárias se:# 1. Pelo menos uma entrada do servidor indicar que o SSL deve ser utilizado,# ou seja, começa com https:)# 2. Um certificado diferente do que é usado por este servidor é necessário# ao se comunicar com o policy server. Os detalhes do


# padrão padrão podem ser encontrados na sub-rotina [ssl] deste# arquivo de configuração.# Se estas entradas forem necessárias e não forem encontradas abaixo desta sub-rotina,# a sub-rotina padrão [ssl] será procurada.

# O nome do arquivo do banco de dados de chave que hospeda o certificado de cliente# que deve ser usado.

# ssl-keyfile =

# O nome do arquivo stash de senha do arquivo do banco de dados de chave.

# ssl-keyfile-stash =

# O rótulo do certificado de cliente no banco de dados de chaves.

# ssl-keyfile-label =

# Esta entrada de configuração especifica o nome distinto (DN) do# servidor (obtido do certificado SSL do servidor) que é aceito.# Se nenhuma entrada for configurada, todos os DNs serão considerados válidos.# Vários DNs podem ser especificados incluindo várias# entradas de configuração com este nome.

# ssl-valid-server-dn =

# Esta entrada controla se a comunicação Federal Information Processing# Standard (FIPS) está ativada. Se nenhuma entrada de configuração# estiver presente, a configuração global do FIPS (conforme determinado pelo# policy server do IBM Tivoli Access Manager) entrará em vigor.

# ssl-fips-enabled =

# Defina os mapeamentos entre os níveis de obrigação que o Policy Decision# Point (PDP) retorna e os níveis de autenticação de avanço do WebSEAL.# O mapeamento deve ser um-para-um e o usuário deve ter permissão para autenticar# apenas pelos mecanismos de obrigação apropriados. Essas entradas asseguram que o# EAS mapeia as obrigações para os níveis de autenticação e vice-versa corretamente.

[obligations-levels-mapping]otp=3consent=4

Configuração de SessãoÉ possível capturar os atributos de sessão de um usuário com o serviço de coletade atributos. O acesso baseado em risco usa estes atributos estáticos e contextuaispara calcular a pontuação de risco.

Serviço de Coleta de AtributosO serviço de coleta de atributos é um serviço Representational State Transfer(REST). Ele pode coletar informações do navegador da web e do local do usuáriopara calcular a pontuação de risco.

Visão Geral do Processo

O processo a seguir descreve o serviço de coleta de atributos e como usá-lo:1. Faça chamadas REST para armazenar e excluir atributos no banco de dados. A

solicitação inicial para o serviço recebe um ID de correlação. O ID de correlaçãoé usado para fazer chamadas REST adicionais.


2. Use JavaScript para coletar os atributos de navegador da web. É possívelcolocar a página HTML que chama as funções do JavaScript em qualquerservidor.v O Ajax coleta informações no plano de fundo. Ele não deixa o carregamento

de página mais lento.v É possível fazer solicitações Ajax padrão apenas para o mesmo domínio.

Com o Cross Origin Resource Sharing (CORS), é possível fazer solicitaçõesAjax através dos domínios.

v O cabeçalho de resposta CORS contém as configurações para as seguintesespecificações:– O servidor do qual as solicitações são aceitas.– Os tipos de solicitações que são aceitos.

3. Configure os atributos que você deseja coletar para o cálculo de pontuação derisco. Eles são coletados e listados em FIM_install_dir/pages/C/ac/info.js.

Tipos de Solicitações

As solicitações GET e Post criam um ID de correlação para identificar a sessão nobanco de dados. Um ID de correlação é um UUID que é armazenado em umcookie. O processo do serviço de coleta de atributos usa os seguintes tipos desolicitação:

GET Recupera informações sobre uma sessão de atributo do banco de dados. Assolicitações GET são desativadas por padrão. As solicitações usam uma URLcom um caminho REST, como https://webseal/FIM/sps/ac/rest/UUID.

POST Cria uma sessão de atributo no banco de dados. As solicitações POST usamuma URL como https://webseal/FIM/sps/ac/UUID.

Os atributos da sessão são enviados como uma sequência JSON com asolicitação. Em uma resposta, o servidor configura um cookie que contémo ID de correlação.

Por exemplo, a solicitação POST /sps/ac/9d37e806-24cf-4398-a3b9-d7f13fb2231f cria uma sessão no banco de dados com o UUID de9d37e806-24cf-4398-a3b9-d7f13fb2231f.

É possível também configurar as propriedades de acesso baseado em riscopara usar um cookie existente.

DELETE (ELIMINAR)Exclui uma sessão de atributo do banco de dados.

Propriedades de Tempo de Execução de Acesso Baseado em Risco

Use o comando manageRbaConfiguration para configurar as propriedades de acessobaseado em risco que são requeridas para o serviço de coleta de atributos.

As propriedades a seguir especificam informações sobre o servidor do qual assolicitações são recebidas e o local do serviço de coleta de atributos:

ac.request.serverO servidor do qual as solicitações são recebidas.

Por exemplo: http://mywebsealhost.company.com.

ac.service.locationO local do serviço de coleta de atributos.


Por exemplo: http://mywebsealhost.company.com/webseal-junction-name.

session.timeoutUm valor numérico que representa o número de segundos antes de umasessão de acesso baseado em risco expirar automaticamente, a menos que asessão seja atualizada.

Se qualquer atributo na sessão for atualizado, o tempo de expiração para asessão será estendido pelo número de segundos especificado nestapropriedade. O valor padrão é 3600.

Este valor deve ser maior ou igual ao tempo de vida máximo da sessão doWebSEAL. Se não for, os atributos de dispositivo coletados expiram e aspolíticas RBA falham.

As propriedades de configuração a seguir são usadas pelo serviço de coleta deatributos para acessar o método GET do serviço REST:

ac.get.attributes.enabledIndica se o acesso ao método GET é permitido.

O valor padrão é false.

ac.get.attributes.allowed.clientsUma lista separada por vírgula de endereços IP ou nomes do host quepodem acessar o método GET.

Se esta propriedade não estiver configurada e ac.get.attributes.enabledfor configurado como true, qualquer pessoa poderá acessar o método GET.

Se esta propriedade estiver configurada, mas ac.get.attributes.enabledfor configurado como false, esta propriedade será ignorada.

Use o comando manageRbaConfiguration para configurar essas propriedades e seusvalores no arquivo de configuração de tempo de execução de acesso baseado emrisco. Para obter informações adicionais, consulte “comandomanageRbaConfiguration” na página 73.

Funções do JavaScript

Use as funções do JavaScript no arquivo FIM_install_dir/pages/C/ac/info.jspara fazer solicitações para o servidor. Inclua o arquivo info.js na página de loginHTML de seu aplicativo. Quando info.js é carregado, ele chama as seguintesfunções:

sendSession()

Faz uma solicitação POST para o serviço delegado.

A função sendSession() coleta os atributos de navegador da web e osenvia ao servidor. Eles são armazenados no banco de dados. Chame estafunção quando um usuário efetuar login.

deleteSession()

Faz uma solicitação DELETE para um ID de correlação especificado.

A solicitação POST de sendSession() retorna um ID de correlação. Combase no ID de correlação, a função deleteSession() exclui os atributos dobanco de dados. Chame esta função quando o usuário efetuar logout ouquando a sessão atual atingir o tempo limite.


getLocation()Detecta o local do dispositivo do qual as solicitações são feitas. Se asinformações do local forem enviadas para o servidor, chame a funçãogetLocation() antes da função sendSession(). Os seguintes navegadoresda web suportam a detecção do local: Mozilla Firefox, Google Chrome,Opera, Apple Safari e Microsoft Internet Explorer 9.

Nota: Para que as funções do JavaScript funcionem no Microsoft Internet Explorer,inclua a seguinte instrução na página HTML da qual você chama a função. Ainstrução a seguir força o Microsoft Internet Explorer a usar o modo de padrões:<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"

"http://www.w3.org/TR/html4/loose.dtd">

Para obter as etapas e os exemplos de configuração, consulte “Configurando oServiço de Coleta de Atributos”.

Configurando o Serviço de Coleta de AtributosAntes de poder coletar informações do cálculo de risco, você deve especificar oservidor e o local do serviço de coleta. Você também deve especificar um arquivoJavaScript para coletar os atributos da sessão.

Antes de Iniciar

Execute a ferramenta tfimcfg para configurar o EAS de serviços de segurança detempo de execução. Consulte o “Configurando o Serviço de Autorização Externade Serviços de Segurança de Tempo de Execução no WebSEAL” na página 31.

Procedimento1. Para publicar páginas e plug-ins e carregar o ambiente de tempo de execução

do Tivoli Federated Identity Manager, execute o seguinte comando:$AdminTask manageRbaConfiguration {-operation reload}

2. Crie e configure as propriedades de acesso baseadas em risco para o serviço decoleta de atributos.a. Crie e configure ac.request.server para especificar o local do serviço de

coleta de atributos. Execute o seguinte comando e substitua a variável emitalics por seus valores:$AdminTask manageRbaConfiguration {-operation create

-propertyName ac.request.server-propertyValue request_server_url}

Nota: O valor de request_server url é uma lista separada por espaço de hostsdos quais as solicitações são permitidas. Os nomes do host devem começarcom http:// ou https://.O comando a seguir mostra um valor de amostra para a propriedade:$AdminTask manageRbaConfiguration {-operation create

-propertyName ac.request.server-propertyValue http://mywebsealhost.company.com}

b. Crie e configure ac.service.location para especificar o local do serviço decoleta de atributos. Execute o seguinte comando e substitua a variável emitalics por seus valores:$AdminTask manageRbaConfiguration {-operation create

-propertyName ac.service.location-propertyValue https://host_name/webseal-junction-name}

O comando a seguir mostra um valor de amostra para a propriedade:


$AdminTask manageRbaConfiguration {-operation create-propertyName ac.service.location-propertyValue https://mywebsealhost.company.com/FIM}

3. Inclua a URL de info.js no bloco <head> na página de entrada HTML de seuaplicativo. O arquivo info.js chama funções que são requeridas para coletaratributos da sessão. Siga este formato:<script src="https://host_name/webseal-junction-name/sps/ac/js/info.js"></script>

Nota: Quando o arquivo info.js é incluído em uma página HTML, a coleta deatributos pelas chamadas do Ajax pode demorar para ser concluída. Para evitarproblemas, a coleta de atributos deve terminar antes de você sair da página.Por exemplo, se a coleta de atributos ainda estiver em execução e um nome deusuário e uma senha forem inseridos, a política falhará em resolver os atributosda sessão. Para evitar este problema, modifique o JavaScript para evitar que ousuário continue até depois que a chamada do Ajax for concluída.

Resultados

A configuração básica do serviço de coleta de atributos para o acesso baseado emrisco está concluída. Para obter informações adicionais, consulte “Serviço de Coletade Atributos” na página 36.

O que Fazer Depois

Configure atributos e os pesos que você requer para cálculo de pontuação de risco.Para obter informações adicionais, consulte “comando manageRbaRiskProfile” napágina 85.

Configuração do Perfil de RiscoVocê deve criar atributos de risco e especificar seus pesos. Você também podeconfigurar os correspondentes de atributo prontos para utilização ou gravar seupróprio correspondente de atributo customizado.

Configurando o Perfil de RiscoVocê pode recuperar atributos de cabeçalhos HTTP padrão ou usar o serviço decoleta de atributos para coletar atributos. Para usar esses atributos para cálculo depontuação de risco, você deve configurar pesos apropriados para cada atributo.

Antes de Iniciar

Conclua as seguintes etapas de configuração:v “Configurando o Serviço de Autorização Externa de Serviços de Segurança de

Tempo de Execução no WebSEAL” na página 31v “Configurando o Serviço de Coleta de Atributos” na página 39

Sobre Esta Tarefa

Use o comando manageRbaRiskProfile para criar os atributos e configurar pesospara os atributos que você requer para cálculo de pontuação de risco.

Procedimento1. Crie os atributos e especifique pesos para os atributos configurados no arquivo

de configuração do WebSEAL denominado webseald-default.conf para oserviço de autorização externa (EAS) dos serviços de segurança de tempo de


execução. Os atributos que você configura devem ser um subconjunto dasentradas incluídas na sub-rotina [azn-decision-info].Use os exemplos a seguir para configurar os atributos que são capturados doscabeçalhos HTTP padrão:$AdminTask manageRbaRiskProfile {-operation create

-attributeId header:user-agent-weight 75}

$AdminTask manageRbaRiskProfile {-operation create-attributeId header:content-type-weight 50}

$AdminTask manageRbaRiskProfile {-operation create-attributeId header:accept-charset-weight 80}

2. Crie os atributos que você deseja que o serviço de coleta de atributos recuperee especifique pesos para os atributos.Use os exemplos a seguir para configurar os atributos e os pesos:$AdminTask manageRbaRiskProfile {-operation create -attributeId language

-weight 95}$AdminTask manageRbaRiskProfile {-operation create -attributeId platform

-weight 60}$AdminTask manageRbaRiskProfile {-operation create -attributeId plugins

-weight 25}$AdminTask manageRbaRiskProfile {-operation create -attributeId fonts

-weight 80}

Nota: Se você configurar o atributo fonts, você também deverá incluir o objetoSWF fcollector.swf na página de login de seu aplicativo, por exemplo, apágina login.html do WebSEAL. Inclua o seguinte elemento de objeto noelemento de corpo de sua página de login no final, logo antes da tag definalização </BODY>. Substitua variables em itálico pelos seus valores:<object width="1" height="1">

<param name="movie" value="https://host_name/webseal_junction_name/sps/ac/js/fcollector.swf"><embed src="https://host_name/webseal_junction_name/sps/ac/js/fcollector.swf" width="1" height="1"></embed>

</object>

Por exemplo:<object width="1" height="1">

<param name="movie" value="https://myservicehost.company.com/FIM/sps/ac/js/fcollector.swf"><embed src="https://myservicehost.company.com/FIM/sps/ac/js/fcollector.swf" width="1" height="1"></embed>

</object>

3. Opcional: Para ativar o acesso baseado em risco com base no local, o endereçoIP ou o tempo de login, você pode configurar os seguintes atributos adicionais.Esses atributos são requeridos para correspondentes prontos para utilização quesão fornecidos com acesso baseado em risco. Para obter informações adicionais,consulte “Correspondentes de Atributos” na página 43.Use os exemplos a seguir para configurar os atributos para os correspondentesde atributos especificados:

Correspondente de local$AdminTask manageRbaRiskProfile {-operation create

-attributeId longitude -weight 75}$AdminTask manageRbaRiskProfile {-operation create

-attributeId latitude -weight 75}$AdminTask manageRbaRiskProfile {-operation create

-attributeId accuracy -weight 75}

correspondente de endereço IP$AdminTask manageRbaRiskProfile {-operation create

-attributeId ipaddress -weight 50}


Correspondente de tempo de login$AdminTask manageRbaRiskProfile {-operation create

-attributeId accessTime -weight 45 –behavior true}$AdminTask manageRbaRiskProfile {-operation create

-attributeId urn:oasis:names:tc:xacml:1.0:resource:resource-id-weight 0 –behavior true}

$AdminTask manageRbaRiskProfile {-operation create-attributeId cookie:ac.uuid -weight 0 –behavior true}

O que Fazer Depois1. Configure as propriedades específicas que são requeridas para os seguintes

correspondentes de atributos:v correspondente de endereço IPv Correspondente de localv Correspondente de tempo de login

2. Crie e configure uma política de acesso baseado em risco. Utilize um dosseguintes métodos:v Especifique as regras de política em um script com o idioma de geração de

política de autorização. O script de amostra pronto para utilização no idiomade geração de política de autorização fornece regras básicas para umapolítica de funcionamento de ponta a ponta. Use o script para criar umapolítica de acesso baseado em risco e configure-o para uso com o acessobaseado em risco.

v Se você for um usuário existente do IBM Tivoli Security Policy Manager,poderá continuar a usá-lo como o ponto de administração de política paragerenciar políticas de acesso baseado em risco. Para obter informaçõesadicionais, consulte “Gerenciamento de Política com o IBM Tivoli SecurityPolicy Manager” na página 56.

Armazenamento de AtributoO acesso baseado em risco usa a impressão digital do dispositivo, ocomportamento e os atributos de sessão do usuário para calcular a pontuação derisco. Esses atributos são persistidos ou armazenados no banco de dados de acessobaseado em risco.

Dados da impressão digital do dispositivoConsiste em atributos que são armazenados quando um dispositivo éregistrado. A impressão digital do dispositivo recebido é comparada a esterepositório armazenado de impressões digitais do dispositivo confiável.

Dados da sessãoConsiste nos atributos de sessão do usuário que são armazenadostemporariamente até a sessão atingir o tempo limite. No entanto, se odispositivo for registrado, os atributos de sessão também serãoarmazenados como parte da impressão digital do dispositivo.

Dados de comportamentoSão dados históricos que são armazenados no banco de dados e usadospara correspondência de atributos com base no comportamento. Porexemplo, os registros de data e hora de login do usuário sobre os trêsmeses anteriores.

Quando você configura atributos com o comando manageRbaRiskProfile, podetambém especificar como cada atributo deve ser armazenado no banco de dadosde acesso baseado em risco. Use os parâmetros -device, -session e -behavior paraarmazenar os atributos como impressão digital do dispositivo, sessão ou atributosde comportamento.


Por exemplo, se você quiser que o atributo browser seja armazenado como dadosde comportamento, execute o seguinte comando:$AdminTask manageRbaRiskProfile {-operation create -attributeId browser

-weight 75 –behavior true}

Para obter informações adicionais, consulte “comando manageRbaRiskProfile” napágina 85.

Correspondentes de AtributosUm correspondente de atributo compara os valores de um atributo especificado naimpressão digital do dispositivo recebido com a impressão digital do dispositivoexistente do usuário. O acesso baseado em risco usa as informações retornadaspelos correspondentes de atributos para calcular a pontuação de risco.

O correspondente exato é o correspondente de atributo padrão. Ele é usado se vocênão configurar nenhum correspondente de atributo. Ele verifica se os valores deum único atributo são os mesmos nas impressões digitais do dispositivo recebido edo dispositivo existente.

Em alguns cenários, vários atributos ou um conjunto de atributos compostosdevem ser correspondidos. Por exemplo, longitude, latitude e exatidão são trêsatributos relacionados ao local. Suponha que duas impressões digitais dodispositivo sejam consideradas uma correspondência se a distância entre doispontos de localização não for maior que um valor do limite especificado. Nestecenário, a comparação apenas do atributo longitude não fornece resultadosprecisos. O correspondente deve fazer uma comparação mais complexa ou umacorrespondência composta, em que ela corresponde vários atributos de ambas asimpressões digitais.

O correspondente retorna uma correspondência ou um resultado deincompatibilidade. Uma incompatibilidade aumenta a pontuação de risco com baseno peso designado aos atributos.

O correspondente pode se abster de fazer parte do cálculo de risco nas seguintessituações:v A impressão digital do dispositivo recebido não contém os atributos requeridos.v Os dados históricos não estão disponíveis para um correspondente tomar uma

decisão de correspondência ou de incompatibilidade.

O acesso baseado em risco fornece correspondentes de atributos prontos parautilização que comparam atributos compostos ou analisam um intervalo de valoresde atributos. É possível configurar um ou mais dos correspondentes de atributosque são descritos nas seções a seguir.

Configurando o Correspondente de Local:

O correspondente de local verifica se o local de um dispositivo está dentro de umadistância específica dos locais conhecidos anteriores do dispositivo. Configure aspropriedades do correspondente de local para especificar o intervalo de precisão ecomo comparar as informações do local.


Sobre Esta Tarefa

Procedimento

1. Inclua os atributos longitude, latitude e accuracy na configuração daimpressão digital e especifique um valor numérico para os pesos que vocêrequer. Use a sintaxe a seguir para o comando manageRbaRiskProfile:$AdminTask manageRbaRiskProfile {-operation create -attributeId unique_ID

-weight weight}

Limitação: A recuperação dos atributos de local depende do navegador da webe das configurações que o usuário especifica no navegador da web. Onavegador da web deve suportar a API Geolocation. Além disso, em algunsnavegadores da web, poderá ocorrer um erro se um usuário tentar acessar umrecurso protegido de um dispositivo com uma conexão de Internet com fio.

Nota: A análise baseada em local processa todos os três atributos de local(longitude, latitude e exatidão) coletivamente quando determina acorrespondência para o local. Embora os pesos sejam designados a todos os trêsatributos, o peso apenas para o atributo longitude é considerado. Os pesosdesignados aos atributos latitude e exatidão de suporte são ignorados.

2. Configure as propriedades de acesso baseado em risco a seguir para ocorrespondente de local:

location.comparisonIndica como você deseja que o correspondente de atributo calcule ointervalo de exatidão das coordenadas de local.

Configure a propriedade para um dos valores a seguir:v Especifique o valor como closest para calcular a distância entre os

pontos mais próximos no intervalo de exatidão de dois locais. Estecálculo é o mais restritivo.

v Especifique o valor como midpoint para calcular a distância entre ospontos médios dos círculos sem considerar a exatidão.

v Especifique o valor como farthest para calcular a distância entre ospontos mais distantes nos intervalos de exatidão dos dois locais. Estecálculo é o menos restritivo.

A figura a seguir ilustra os pontos mais próximos, os pontos médios eos pontos mais distantes dos intervalos de exatidão de dois locais.Nesta figura, o círculo representa o intervalo de exatidão e o centro docírculo representa o local.


location.allowable.distanceA distância máxima entre o novo local e os locais históricos. A unidadedo valor numérico é quilômetros.

O valor padrão é 40.Use a sintaxe a seguir para o comando manageRbaConfiguration para configuraressas propriedades:$AdminTask manageRbaConfiguration {-operation create -propertyName property_name

-propertyValue property_value}

Exemplo

O exemplo a seguir mostra como configurar as propriedades de acesso baseado emrisco para o correspondente de local:$AdminTask manageRbaConfiguration {-operation create

-propertyName location.comparison -propertyValue midpoint}$AdminTask manageRbaConfiguration {-operation create

-propertyName location.allowable.distance -propertyValue 100}

Configurando o Correspondente de Endereço IP:

Configure as propriedades que especificam listas de endereços IP para que vocêpossa usar os endereços IP como correspondentes de atributos para calcular apontuação de risco.

Figura 3. Os pontos mais próximos, os pontos médios e os pontos mais distantes nos intervalos de exatidão de doislocais


Sobre Esta Tarefa

O correspondente de endereço IP compara o endereço IP de uma solicitação comuma lista branca (lista de inclusão) ou lista preta (lista de exclusão) de endereçosIP ou com os endereços IP históricos do dispositivo.

Procedimento

1. Inclua o atributo ipaddress na configuração da impressão digital e especifiqueum valor numérico para o peso que você requer. Use a sintaxe a seguir para ocomando manageRbaRiskProfile:$AdminTask manageRbaRiskProfile {-operation create -attributeId unique_ID

-weight weight}

2. Configure as propriedades de acesso baseado em risco a seguir para ocorrespondente de endereço IP:

ip.whitelistUma lista de endereços IP separados por vírgula ou sub-redes que vocêdeseja permitir. Inclua X.X.X.X como um valor para -propertyValuepara comparar o endereço IP recebido com o endereço IP com o qual odispositivo é registrado.

ip.whitelist.netmaskUma lista de máscaras de rede separadas por vírgula para os endereçosIP que você listou na propriedade ip.whitelist. Especifique a lista demáscaras de rede na mesma ordem em que especificou a lista deendereços IP. O número total de máscaras de rede deve corresponderexatamente ao número total de endereços IP.

ip.blacklistUma lista de endereços IP separados por vírgula que você deseja/nãodeseja permitir.

ip.blacklist.netmaskUma lista de máscaras de rede separadas por vírgula para os endereçosIP que você listou na propriedade ip.blacklist. Especifique a lista demáscaras de rede na mesma ordem em que especificou a lista deendereços IP. O número total de máscaras de rede deve corresponderexatamente ao número total de endereços IP.

Use a sintaxe a seguir para o comando manageRbaConfiguration para configuraressas propriedades:$AdminTask manageRbaConfiguration {-operation create -propertyName property_name

-propertyValue property_value}

Exemplo

Use esses exemplos para configurar as propriedades de acesso baseado em riscopara o correspondente de endereço IP.

A configuração a seguir permite solicitações feitas de qualquer endereço IP nasub-rede 9.0.0.0, exceto para endereços IP que começam com 9.5:$AdminTask manageRbaConfiguration {-operation create

-propertyName ip.whitelist -propertyValue 9.0.0.0}$AdminTask manageRbaConfiguration {-operation create

-propertyName ip.whitelist.netmask -propertyValue 255.0.0.0}$AdminTask manageRbaConfiguration {-operation create

-propertyName ip.blacklist -propertyValue 9.5.0.0}$AdminTask manageRbaConfiguration {-operation create

-propertyName ip.blacklist.netmask -propertyValue 255.255.0.0}


Para comparar o endereço IP recebido com os endereços IP anteriores dodispositivo, inclua um endereço com X para os números nos valores ip.whiteliste ip.whitelist.netmask.

A configuração a seguir permite solicitações feitas da sub-rede 9.0.0.0, exceto parasolicitações da sub-rede 9.5.0.0. A configuração também permite solicitações deendereços IP cujos três primeiros números são os mesmos que as impressõesdigitais do dispositivo histórico.$AdminTask manageRbaConfiguration {-operation create

-propertyName ip.whitelist-propertyValue 9.0.0.0, X.X.X.X}

$AdminTask manageRbaConfiguration {-operation create-propertyName ip.whitelist.netmask-propertyValue 255.0.0.0, 255.255.255.0}

$AdminTask manageRbaConfiguration {-operation create-propertyName ip.blacklist-propertyValue 9.5.0.0}

$AdminTask manageRbaConfiguration {-operation create-propertyName ip.blacklist.netmask-propertyValue 255.255.0.0}

Configurando o Correspondente de Tempo de Login:

Use o correspondente de tempo de login para comparar e analisar os dados detempo de login históricos do usuário com o tempo de login atual do usuário. Épossível usar os dados como entrada para o cálculo da pontuação de risco.

Sobre Esta Tarefa

O correspondente de tempo de login detecta principalmente os logins por sessãocom base no atributo chamado accessTime.

O primeiro dos vários tempos de acesso que são capturados dentro da sessão éconsiderado o tempo de login do usuário. O resultado da análise determina aprobabilidade de um usuário fraudulento.

Procedimento

1. Configure os atributos a seguir como atributos de comportamento e especifiqueseus pesos usando o comando manageRbaRiskProfile:v Atributo accessTime com o peso que você requer.v Atributo urn:oasis:names:tc:xacml:1.0:resource:resource-id com 0 como

seu peso.v Atributo cookie:ac.uuid com 0 como seu peso.

Por exemplo:$AdminTask manageRbaRiskProfile {-operation create

-attributeId accessTime -weight weight –behavior true}$AdminTask manageRbaRiskProfile {-operation create

-attributeId urn:oasis:names:tc:xacml:1.0:resource:resource-id-weight 0 –behavior true}

$AdminTask manageRbaRiskProfile {-operation create-attributeId cookie:ac.uuid -weight 0 –behavior true}

Nota: A propriedade cookie:ac.uuid permite que o correspondente de tempode login fique ciente dos limites da sessão para os tempos de acesso que sãocapturados. Se você especificou um valor diferente de ac.uuid para apropriedade de configuração ac.uuid, deverá usar esse valor como o nome do


atributo, em vez de cookie:ac.uuid. Por exemplo, se você configurar ac.uuidcomo ac_cookie_name, execute o comando a seguir:$AdminTask manageRbaRiskProfile {-operation create

-attributeId cookie:ac_cookie_name -weight 0 –behavior true}

2. Configure o valor de probabilidade de login:$AdminTask manageRbaConfiguration {-operation create

-propertyName login.time.probability.threshold-propertyValue property_value}

Em que property_value especifica a probabilidade de login como um valornumérico de 0 a 1. O valor padrão é .3.Este valor indica qual é a probabilidade de um usuário efetuar login dentro deuma hora dos tempos de login anteriores. Com um valor mais baixo, aschances de o correspondente retornar true são mais altas e a pontuação de riscoé mais baixa. Com um valor mais alto, as chances de o correspondente retornartrue são mais baixas e a pontuação de risco é mais alta. Por exemplo, se vocêconfigurar um valor de .5, o correspondente quase sempre retorna false.

3. Configure o número de vezes que um usuário deve efetuar login antes de ocorrespondente fornecer um resultado:$AdminTask manageRbaConfiguration {-operation create

-propertyName min.usage.history.required-propertyValue property_value}

Em que property_value especifica o número de vezes que o mesmo usuário deveefetuar login antes de o correspondente fornecer a entrada para o cálculo dapontuação de risco. O valor padrão é 8. O valor padrão significa que a análisedo tempo de login coleta dados para oito tempos de login pelo mesmo usuárioantes de fornecer a entrada para o cálculo da pontuação de risco.Até esse valor ser correspondido, o correspondente de tempo de login retornaum resultado INDETERMINATE e seu peso é considerado como zero.

4. Carregue as mudanças do correspondente de tempo de login:$AdminTask manageRbaConfiguration {-operation reload}

Implementando Correspondentes de Atributos Customizados:

Crie JavaScript customizado para especificar atributos e instruções deprocessamento que o JavaScriptMatcher deve seguir no lugar do processamento docorrespondente de atributos padrão. Os resultados são incluídos no cálculo dapontuação de risco.

Antes de Iniciar

As correspondências customizadas funcionam apenas com atributos que sãoarmazenados como atributos da sessão. Por exemplo, para incluir um atributo dedispositivo, você deve primeiro armazená-lo como um atributo da sessão. Consulte“Armazenamento de Atributo” na página 42.

Sobre Esta Tarefa

Você pode usar vários arquivos JavaScript para correspondentes customizados. Noentanto, não use vários scripts para processar o mesmo atributo.

Um script de exemplo é fornecido para assistência.

Você pode fazer referência aos seguintes parâmetros no arquivo customizado:


IFingerprint de origemA impressão digital do dispositivo existente do banco de dados. Use comatributos de dispositivo.

IFingerprint de destinoA impressão digital do dispositivo da sessão de login atual. Use com atributosda sessão.

IUsageData[] historyUma matriz que contém todos os atributos históricos que são armazenados nobanco de dados para o usuário. Use com atributos de comportamento.

Sequência attributeNameO nome do atributo a ser correspondido.

booleano processadoIndica se o JavaScript processou o atributo atual. Configure processed comotrue no script customizado.

sequência correspondidaO resultado que é retornado pelo correspondente. Os valores válidos sãoMATCHED, MISMATCHED e INDETERMINATE.

Procedimento

1. Crie um arquivo JavaScript para identificar os atributos e as ações deprocessamento que você deseja concluir de acordo com as instruções. Siga essasrecomendações quando você gravar o arquivo JavaScript:a. Importe os seguintes pacotes:

v Packages.com.tivoli.am.rba.fingerprinting

v Packages.com.tivoli.am.rba.extensions

b. Identifique o nome do atributo incluindo o seguinte código:if(attributeName.equals("attribute_name"))

em que attribute_name é o atributo para o qual você deseja criar umaespecificação de correspondência customizada.

c. Identifique o valor de cada atributo incluindo uma das seguintes linhas decódigo:

Para atributos da sessão:if(target.getValue(attributeName).equals("attribute_value"))

Para atributos de dispositivo:if(source.getValue(attributeName).equals("attribute_value"))

Para atributos de comportamento:if(history[0].getValue(attributeName).equals("attribute_value"))

em que 0 é qualquer índice na matriz de objetos IUsageData.d. Configure cada atributo como processed = true para assegurar que

JavaScriptMatcher use suas especificações em vez do processamento padrão.e. Configure a propriedade matched para indicar sua preferência de

correspondência de atributo. Os valores válidos são MATCHED, MISMATCHED eINDETERMINATE.

2. Salve o arquivo JavaScript no seguinte diretório:WAS_PROFILE_HOME/config/itfim/rba/javascript/matchers/


3. Execute o comando a seguir para inserir os atributos que são identificados noarquivo JavaScript customizado na propriedade de tempo de execuçãojavascript.attributes:$AdminTask manageRbaConfiguration {-operation create -propertyName javascript.attributes

-propertyValue attribute_name,attribute_name}

em que attribute_name é o nome do atributo.

Nota: Separe vários atributos por vírgula. Por exemplo, se você desejarverificar o idioma e a cor, insira os seguintes comandos:$AdminTask manageRbaConfiguration {-operation create

-propertyName javascript.attributes -propertyValue language,color}

Esta etapa assegura que o processador usa as instruções customizadas paraatributos identificados em vez do processamento padrão.

4. Carregue as mudanças de propriedade:$AdminTask manageRbaConfiguration {-operation reload}

Resultados

Os atributos que são identificados no arquivo customizado e configurados comoprocessed = true são, agora, processados de acordo com suas especificações.

Depois que um arquivo JavaScript processa com êxito um atributo especificado eretorna um resultado, os arquivos JavaScript restantes não são avaliados para esseatributo. Como a sequência de processamento dos arquivos não é definida, talvezvocê não consiga identificar o JavaScript que processou o atributo.

Exemplo

Um arquivo JavaScript de amostra está no seguinte diretório:/WAS_PROFILE_HOME/config/itfim/rba/javascript/matchers/language.js

Este código verifica se seu idioma é inglês americano. Se for, um valor de"MATCHED" será retornado. Se não for, um valor de "MISMATCHED" será retornado.importPackage(Packages.com.tivoli.am.rba.fingerprinting);importPackage(Packages.com.tivoli.am.rba.extensions);

if(attributeName.equals("language")) {processed = true;if(target.getValue(attributeName).equals("en-US")) {matched = "MATCHED";}else {matched = "MISMATCHED";}}

Configurando o Algoritmo Hash para Armazenamento deAtributosO hashing codifica uma sequência de caracteres como uma sequência de bits decomprimento fixo para comparação. O acesso baseado em risco executa hash emcertos atributos por padrão. Você pode alterar o algoritmo hash e especificaratributos adicionais dos quais deseja executar hash.


Sobre Esta Tarefa

Por padrão, quando os atributos são armazenados no banco de dados de acessobaseado em risco, os atributos que excedem o comprimento máximo de acordocom o esquema têm hash executado. Você também pode especificar qualquer outroatributo que você requer que tenha hash executado. Por exemplo, talvez vocêqueira executar hash de valores que são considerados confidenciais ou privados.

O algoritmo hash padrão que o acesso baseado em risco usa para armazenar essesatributos é SHA256. Você pode especificar qualquer outro algoritmo hash que o JavaSecurity suporta.

Procedimento1. Use o comando manageRbaConfiguration para especificar o nome do algoritmo

hash que você deseja usar.Por exemplo:$AdminTask manageRbaConfiguration {-operation create

-propertyName attributes.hash.algorithm-propertyValue SHA256}

2. Especifique os atributos adicionais para os quais deseja ativar o hashing. Use ocomando manageRbaConfiguration para especificar uma lista de atributosseparada por vírgula.Por exemplo:$AdminTask {manageRbaConfiguration -operation create

-propertyName attributes.hash.enabled-propertyValue header:user-agent,fonts,plugins}

Gerenciamento de PolíticaUse o idioma de geração de política de autorização para criar regras de política.Você pode criar e configurar uma política de autorização com base nessas regraspara acesso baseado em risco.

Nota: Se você for um usuário existente do IBM Tivoli Security Policy Manager,poderá continuar a usá-lo como o ponto de administração de política paragerenciar políticas de acesso baseado em risco. Você pode criar uma política deacesso baseado em risco com o IBM Tivoli Security Policy Manager ou importar aspolíticas de acesso baseado em risco existentes.

Idioma de Geração de Política de AutorizaçãoO idioma de geração de política de autorização é um formato simplificado queajuda a especificar as regras de política em um script. Você pode usar este scriptpara criar e configurar uma política de autorização para acesso baseado em risco.

Use qualquer editor de texto para criar o script. O script consiste nas seguintespartes principais:v “Política” na página 52v “Regra” na página 52v “Variáveis” na página 52v “Lógica” na página 53

Consulte o “Script de Amostra para Regras de Política de Acesso Baseado emRisco” na página 54.


Política

Cada política de autorização tem um bloco Política externo no qual você deveespecificar as propriedades e regras da política. Use o bloco Política no idioma degeração de política de autorização para criar um conjunto de políticas no arquivode políticas que contém uma ou mais políticas.

Especifique as seguintes propriedades no bloco Política:

Nome O nome da política.

Em um ambiente do IBM Tivoli Access Manager para e-business que usaWebSEAL, o nome da política deve corresponder ao nome do servidorespecificado no arquivo de configuração WebSEAL. Por exemplo,localhost-default.

Regra

Defina as regras de política no bloco Regra, que está no bloco Política. O blocoRegra deve conter as seguintes propriedades:

Nome O nome da regra.

DestinoO assunto, ação e recurso para o escopo da regra.

AssuntoOs usuários, grupos ou funções aos quais a regra se aplica.

Para especificar que a regra se aplica a qualquer pessoa que tentarefetuar login, use o valor any.

Para especificar usuários, grupos ou funções, use o seguinteformato de lista separada por vírgula:Subject = {user: username1, username2, . . .

group: groupname1, groupname2, . . .role: rolename1, rolename2, . . .}

O bloco de assunto deve conter pelo menos um usuário, grupo oufunção.

Ação As ações que são permitidas para os recursos aos quais a regra seaplica.

Especifique o valor como any, uma ação específica ou uma lista deações separada por vírgula.

RecursoUm ou mais recursos aos quais a regra se aplica.

Especifique o valor como any, um recurso específico ou uma listade vários recursos separada por vírgula.

Variáveis

As variáveis são definidas logo antes da lógica das regras.

Use a sintaxe a seguir para definir uma variável:resource|action|subject|environment integer|double|date|time variable_name

Uma variável tem três partes:


v A parte da solicitação de onde vem a variável. Os valores válidos são resource,action, subject e environment.

v O tipo de dados da variável. Os valores válidos são integer, double, date etime.

v O nome da variável. Os valores válidos são caracteres alfanuméricos esublinhado. O nome da variável deve começar com um caractere alfabético ouum sublinhado.

Por exemplo, action integer Risk declara um número inteiro denominado Risklocalizado na parte da ação da solicitação.

Lógica

Depois de definir o nome, o destino e as variáveis, você deve definir a lógica paraas regras como uma série de instruções if-else.

Cada instrução if e else corresponde a uma regra separada.

A tabela a seguir lista os operadores lógicos que você pode usar no idioma degeração de política de autorização.

Tabela 5. Lista de Operadores Lógicos

Operadores Lógicos Símbolo

E &

Ou |

Comparison operators Símbolo

Maior que >

Menor que <

Maior ou igual a >=

Menor ou igual a <=

Igual a ==

Diferente de !=

Quando você comparar dois valores, certifique-se de que eles sejam do mesmo tipode dados, caso contrário, ocorrerá um erro.

Os resultados das instruções if-else pode ser uma das decisões a seguir:

permitA solicitação deve ter permissão para transmissão.

deny A solicitação deve ser negada e não ter permissão para transmissão.

permit-with-obligationÉ solicitado que o usuário faça alguma coisa antes da solicitação terpermissão para transmissão.

No bloco de obrigação, declare um nome que seja uma URL (LocalizadorUniforme de Recursos) ou um URN (Nome de Recurso Uniforme). A URLou o URN deve especificar o que deve ser feito para que a solicitação sejapermitida.


Opcional: Você também pode definir uma série de atributos. Cada atributodeve ter um nome, tipo e valor, que são retornados com a obrigação. Onome e o tipo devem ser uma URL ou URN.

O exemplo a seguir mostra o formato de uma declaração de obrigação:permit obligation {

name=urn:oasis:names:tc:xacml:example:obligation:emailattribute {

name=xyztype=http://www.w3.org/2001/XMLSchema#stringvalue=qwerty

}}

Depois de gravar o script com regras de política, você pode usar o script para criaruma política de acesso baseado em risco.

Script de Amostra para Regras de Política de Acesso Baseadoem Risco

Grave um script no idioma de geração de política de autorização e use o scriptpara gerar uma política de acesso baseado em risco. O script de amostra prontopara utilização define as regras básicas que são requeridas para uma política defuncionamento de ponta a ponta.

O script de amostra tem as seguintes regras de política:v Se não houver nenhum dispositivo registrado para o usuário e o nível de

autenticação for 3, por exemplo, quando um usuário efetua login pela primeiravez:– Registre o dispositivo silenciosamente.– Permita que o usuário acesse o recurso depois de responder com êxito a um

desafio secundário.v Se houver um ou mais dispositivos registrados para o usuário e o nível de

autenticação for 3, permite o acesso ao recurso.v Se a pontuação de risco for igual ou menor que 40, permita o acesso ao recurso.v Se a pontuação de risco for maior que 40, permita o acesso ao recurso depois

que o usuário responder com êxito ao desafio secundário.Policy {

name = localhost-default

Rule {name = RBADemoApplicationPolicyRule1

Target {subject = anyaction = anyresource = any

}

resource integer http://security.ibm.com/attributes/resource/riskScoresubject integer http://security.ibm.com/attributes/subject/registeredDeviceCountsubject string AUTHENTICATION_LEVEL

if http://security.ibm.com/attributes/subject/registeredDeviceCount == 0 & AUTHENTICATION_LEVEL == "3"permit obligation {

name=http://security.ibm.com/obligations/registerDevice}

if http://security.ibm.com/attributes/subject/registeredDeviceCount >= 1 & AUTHENTICATION_LEVEL == "3"permit

if http://security.ibm.com/attributes/resource/riskScore <= 40 & AUTHENTICATION_LEVEL == "1"permit

if http://security.ibm.com/attributes/resource/riskScore > 40 & AUTHENTICATION_LEVEL == "1"permit obligation {

name=otp}

}}


Para obter mais informações sobre os elementos de script, consulte “Idioma deGeração de Política de Autorização” na página 51. Use o script de regra de políticapara criar uma política de acesso baseada em risco.

Criando uma Política de Acesso Baseado em RiscoDepois de gravar um script que especifica as regras de política, você deve criar econfigurar a política de autorização para acesso baseado em risco.

Procedimento1. Use o comando manageRbaConfiguration para configurar o serviço de

segurança de tempo de execução. Execute os comandos a seguir para criarpropriedades e substituir os valores de amostra em italics pelos valoresnecessários.$AdminTask manageRbaConfiguration {-operation create

-propertyName rtss.admin.basic.authn.pwd-propertyValue passw0rd}

$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.basic.authn.username-propertyValue wasadmin}

$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.port-propertyValue 9080}

$AdminTask manageRbaConfiguration {-operation create-propertyName rtss.admin.ws.host-propertyValue localhost}

2. Use o idioma de geração de política para criar um script que especifique asregras de política. Para obter informações adicionais, consulte “Idioma deGeração de Política de Autorização” na página 51.

3. Use o comando manageRbaPolicy para criar a política. Especifique o caminho eo nome do arquivo do arquivo de script como o valor do parâmetropolicyFile.Por exemplo:$AdminTask manageRbaPolicy {-operation create -policyFile /tmp/rbapolicy}

Nota: Você não pode usar o comando manageRbaPolicy para gerenciar políticasde acesso baseado em risco, se o serviço de segurança de tempo de execuçãoestiver configurado com o IBM Tivoli Security Policy Manager como o ponto deadministração de política. Para obter informações adicionais, consulte“Gerenciamento de Política com o IBM Tivoli Security Policy Manager” napágina 56.

Resultados

A saída é um arquivo de política de autorização baseado nas regras que vocêespecificou no script. O acesso baseado em risco é, agora, configurado para usar oarquivo de política de autorização.

O que Fazer Depois

Ativar logs e rastreios para acesso baseado em risco.


Gerenciamento de Política com o IBM Tivoli Security PolicyManager

Se o serviço de segurança de tempo de execução for configurado com o IBM TivoliSecurity Policy Manager, você poderá usá-lo como o ponto de administração depolítica (PAP) para gerenciar políticas de acesso baseado em risco.

Você deve primeiro configurar o IBM Tivoli Security Policy Manager para ogerenciamento de política de acesso baseado em risco.

Você pode, então, criar uma política de acesso baseado em risco com o IBM TivoliSecurity Policy Manager ou importar políticas de acesso baseado em riscoexistentes.

Nota: Você não pode usar o comando manageRbaPolicy para gerenciar políticas deacesso baseado em risco se o serviço de segurança de tempo de execução estiverconfigurado com o IBM Tivoli Security Policy Manager como o ponto deadministração de política.

Para obter informações detalhadas sobre como criar e gerenciar políticas com oIBM Tivoli Security Policy Manager, consulte:v O Centro de Informações do IBM Tivoli Security Policy Manager Versão 7.1 em

http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html

v O wiki do IBM Tivoli Security Policy Manager em https://www.ibm.com/developerworks/wikis/display/tivolisecuritypolicymanager/Home

Permitindo o Acesso Baseado em Risco no IBM Tivoli SecurityPolicy ManagerAntes de criar e gerenciar políticas, você deve configurar os pontos de informaçõesde política (PIPs) do acesso baseado em risco e criar os serviços requeridos,obrigações e parâmetros de regra.

Antes de Iniciar


Nota: Quando você implementa o acesso baseado em risco, a operação deploydetecta que o serviço de segurança de tempo de execução está configurado com oIBM Tivoli Security Policy Manager. A instância existente do serviço de segurançade tempo de execução não é sobrescrita. Os serviços de segurança de tempo deexecução do IBM Tivoli Federated Identity Manager e os serviços de segurança detempo de execução do IBM Tivoli Security Policy Manager devem compartilhar omesmo perfil do WebSphere Application Server para acesso baseado em risco.

Procedimento1. Certifique-se de que o servidor de serviços de segurança de tempo de execução

seja registrado como um alvo de distribuição de política (PDT). Para obteretapas detalhadas, consulte o Guia de Configuração no Centro de Informações doIBM Tivoli Security Policy Manager Versão 7.1 em http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procureregistrando o servidor de serviços de segurança de tempo de execução.

2. Ative os PIPs de acesso baseado em risco no IBM Tivoli Security PolicyManager.




https://www.ibm.com/developerworks/wikis/display/tivolisecuritypolicymanager/Home

https://www.ibm.com/developerworks/wikis/display/tivolisecuritypolicymanager/Home



a. Pare a instância do WebSphere Application Server em que o IBM TivoliSecurity Policy Manager está instalado.

b. Para configurar os PIPs, modifique o arquivo security-services.xmi nodiretório WAS_profiles_dir/config/cells/cell_name/rtss. Inclua asinformações a seguir na seção <subComponentsname="AttributeRetrievalServices">:<subComponents name="AttributeRetrievalServices">

<items name="RBA AttributeSession PIP"><properties>

<values name="return.section" value="Resource" type="java.lang.String"/><values name="type" value="custom" type="java.lang.String"/><values name="id" value="com.tivoli.am.rba.pip.AttributeSessionPIP"

type="java.lang.String"/><values name="enabled" value="true" type="java.lang.String"/>

</properties></items><items name="RBA RiskCalculator PIP">

<properties><values name="return.section" value="Resource" type="java.lang.String"/><values name="return.attributeId" value="risk.score" type="java.lang.String"/><values name="type" value="custom" type="java.lang.String"/><values name="id" value="com.tivoli.am.rba.pip.RiskCalculatorPIP"


</properties></items><items name="USER FINGERPRINT COUNT PIP">

<properties><values name="return.section" value="Resource" type="java.lang.String"/><values name="type" value="custom" type="java.lang.String"/><values name="id" value="com.tivoli.am.rba.pip.UserFingerprintsCountPIP"


</properties></items>

</subComponents>

Para obter informações sobre as precauções que você deve tomar antes deeditar o arquivo security-services.xmi, consulte o Guia de Configuração noCentro de Informações do IBM Tivoli Security Policy Manager Versão 7.1em http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure o arquivo security-services.xmi.

c. Salve uma cópia deste arquivo security-services.xmi atualizado para suareferência.

d. Reinicie o IBM Tivoli Security Policy Manager ou reinicie o WebSphereApplication Server.

e. Verifique o arquivo security-services.xmi para assegurar que as mudançasque você fez ainda existam. Verifique também os arquivos de log doservidor WebSphere Application Server para verificar se o arquivo JAR doplug-in PIP é carregado com êxito.

3. Inclua os parâmetros de regra que são requeridos para atributos de política deacesso baseado em risco.Os seguintes parâmetros de regra predefinidos que são específicos parapolíticas de acesso baseado em risco são fornecidos com o IBM Tivoli SecurityPolicy Manager, Versão 7.1 com fix pack 4 ou posterior:

Pontuação de Risco do IBM SecurityA pontuação de risco que é calculada pelo acesso baseado em riscoRiskCalculatorPIP. Esse ponto de informações de política (PIP) calculao risco associado a uma solicitação recebida.

Contagem de dispositivos registrados do IBM SecurityA contagem de dispositivo que é calculada pelo acesso baseado emrisco UserFingerprintCountPIP. Este PIP calcula a contagem dosdispositivos que são registrados para um ID do usuário específico nobanco de dados de acesso baseado em risco.




a. Para ativar os parâmetros de regras predefinidas, copie o arquivo Javaarchive (JAR) necessário no local a seguir:TSPM_install_dir/rba/com.ibm.tspm.osgi.policy.rba.attributes_7.1.0.jar

Copie o arquivo JAR para o seguinte diretório WebSphere ApplicationServer em que o IBM Tivoli Security Policy Manager é instalado:WAS_profiles_dir/config/tspm/eclipse/plugins

b. Pontuação de risco do IBM Security e Contagem de dispositivoregistrado do IBM Security estão, agora, disponíveis na lista Parâmetro deregra no console do IBM Tivoli Security Policy Manager.

c. Inclua quaisquer parâmetros de regra customizada que você possa requererpara as regras de política de acesso baseado em risco. Por exemplo:TRANSACTION_AMOUNT. Consulte o Guia de Administração no Centro deInformações do IBM Tivoli Security Policy Manager Versão 7.1 emhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure incluindo um parâmetro deregra e siga as etapas para criar parâmetros de regra customizada paraacesso baseado em risco.

4. Crie um serviço para acesso baseado em risco. Consulte o Guia de Administraçãono Centro de Informações do IBM Tivoli Security Policy Manager Versão 7.1 emhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure criando um novo serviço e concluaas etapas para criar um serviço para acesso baseado em risco. Os detalhes aseguir são específicos do acesso baseado em risco:a. Na página Nome e Descrição, insira o nome do servidor WebSEAL nos

campos Nome do aplicativo e ID do aplicativo. Por exemplo:localhost-default.

b. Na página Especificar Ações, selecione Nenhuma ação definida (definirabaixo).

c. Na página Estrutura de Serviço, no campo ID do elemento, insira o recursoque deve ser protegido pelo acesso baseado em risco, por exemplo, o nomeda junção do WebSEAL, /FIM.

5. Inclua as obrigações requeridas.a. No console do IBM Tivoli Security Policy Manager, clique em Identidade e

Acesso > Obrigações.b. Na página Obrigações, clique em Incluir.c. Especifique o nome, identificador e descrição da obrigação. Por exemplo:

Nome: Registro de Dispositivo

Identificador: http://security.ibm.com/obligations/registerDeviceDescrição: Dispositivo de registro

O que Fazer Depois

Você pode migrar as políticas de acesso baseado em risco existentes ou criarpolíticas de acesso baseado em risco no console do IBM Tivoli Security PolicyManager.

Migrando Políticas para o IBM Tivoli Security Policy ManagerSe o serviço de segurança de tempo de execução for configurado com o IBM TivoliSecurity Policy Manager, você poderá usá-lo como o ponto de administração depolítica para gerenciar políticas de acesso baseado em risco. Você pode exportar as






políticas dos serviços de segurança de tempo de execução de acesso baseado emrisco, importá-los para o IBM Tivoli Security Policy Manager.

Antes de Iniciarv Instalar e implementar o acesso baseado em risco.v Ativar o acesso baseado em risco no IBM Tivoli Security Policy Manager.

Procedimento1. Para exportar todas as políticas no serviço de segurança de tempo de execução

de acesso baseado em risco, execute o comando a seguir:$AdminTask manageRbaPolicy {-operation export -fileId file_path}

em que a variável file_path representa o caminho e o nome do arquivo doarquivo Java archive (JAR), por exemplo, /tmp/policy.jar.As políticas são exportadas no formato XML para um arquivo JAR.

2. Extraia as políticas individuais do arquivo JAR.3. Importe as políticas individuais para o IBM Tivoli Security Policy Manager.

Consulte o Guia de Administração no Centro de Informações do IBM TivoliSecurity Policy Manager Versão 7.1 em http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure importandouma política de autorização e siga as etapas para importar os arquivos de políticaXML.

4. Anexe as políticas importadas a um serviço. Consulte o Guia de Administraçãono Centro de Informações do IBM Tivoli Security Policy Manager Versão 7.1 emhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure anexando um serviço a uma políticaexistente. As etapas a seguir descrevem como você pode anexar várias políticasa um serviço:a. No console do IBM Tivoli Security Policy Manager, clique em Identidade e

Acesso > Serviços.b. Na página Serviços, clique no serviço que você criou para o acesso baseado

em risco. Por exemplo: localhost-default.c. Em Políticas, inclua as políticas de acesso baseado em risco que você

importou.5. Implemente as políticas de acesso baseado em risco. Consulte o Guia de

Administração no Centro de Informações do IBM Tivoli Security Policy ManagerVersão 7.1 em http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure implementando políticas deautorização e siga as tarefas para configurar e distribuir políticas de autorização.

6. Use IBM Tivoli Security Policy Manager para gerenciar as políticas de acessobaseado em risco. Para obter mais informações, consulte o Guia de Administraçãono Centro de Informações do IBM Tivoli Security Policy Manager Versão 7.1 emhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure gerenciando políticas de autorização.

O que Fazer Depois

Você também pode criar políticas de acesso baseado em risco com o IBM TivoliSecurity Policy Manager.










Criando Políticas de Acesso Baseado em Risco com o IBM TivoliSecurity Policy ManagerSe o serviço de segurança de tempo de execução for configurado com o IBM TivoliSecurity Policy Manager, você poderá usá-lo para criar e gerenciar políticas deacesso baseado em risco.

Antes de Iniciarv Instalar e implementar o acesso baseado em risco.v Ativar o acesso baseado em risco no IBM Tivoli Security Policy Manager.

Sobre Esta Tarefa

Nota: Você não pode usar o comando manageRbaPolicy para criar políticas deacesso baseado em risco se o serviço de segurança de tempo de execução estiverconfigurado com IBM Tivoli Security Policy Manager como o ponto deadministração de política.

Procedimento1. Criar uma política de autorização. Consulte o Guia de Administração no Centro

de Informações do IBM Tivoli Security Policy Manager Versão 7.1 emhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure criando uma política de autorizaçãode regra e conclua as etapas para criar uma política para acesso baseado emrisco. Os detalhes a seguir são específicos do acesso baseado em risco:a. No campo Nome, insira o nome da política de acesso baseado em risco.

Você deve prefixar o nome da política com a sequência RPS:. Por exemplo:RPS:RBA_OneTimePassword.

b. Em Definição de Política, na seção Serviços, especifique o serviço que vocêcriou para o acesso baseado em risco. Por exemplo: localhost-default.

c. Defina as Regras usando parâmetros de regra predefinidos ou parâmetrosde regra customizados que você criou para o acesso baseado em risco. Porexemplo:If IBM Security risk score > 40and IBM Security registered device count <= 70and AUTHENTICATION_LEVEL=1Then Permit access

Nota: Você pode usar os seguintes parâmetros de regra predefinidos quesão específicos para políticas de acesso baseado em risco. Esses parâmetrossão fornecidos com o IBM Tivoli Security Policy Manager, Versão 7.1 com fixpack 4 ou posterior:

Pontuação de risco do IBM SecurityA pontuação de risco que é calculada pelo acesso baseado em riscoRiskCalculatorPIP. Esse ponto de informações de política (PIP)calcula o risco associado a uma solicitação recebida.

Contagem de dispositivo registrado do IBM SecurityA contagem de dispositivo que é calculada pelo acesso baseado emrisco UserFingerprintCountPIP. Este PIP calcula a contagem dosdispositivos que são registrados para um ID do usuário específicono banco de dados de acesso baseado em risco.

Restrição: O operador != (não igual a) não é suportado no console do IBMTivoli Security Policy Manager.




d. Especifique as Obrigações. Por exemplo: Return “Device Registration” onpermit.

2. Implemente as políticas de acesso baseado em risco. Consulte o Guia deAdministração no Centro de Informações do IBM Tivoli Security Policy ManagerVersão 7.1 em http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure implementando políticas deautorização e siga as tarefas para configurar e distribuir políticas de autorização.

3. Use IBM Tivoli Security Policy Manager para gerenciar as políticas de acessobaseado em risco. Para obter mais informações, consulte o Guia de Administraçãono Centro de Informações do IBM Tivoli Security Policy Manager Versão 7.1 emhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html. Procure gerenciando políticas de autorização.

Registro do dispositivoO registro de dispositivo é o processo que armazena a impressão digital dodispositivo do usuário no banco de dados de acesso baseado em risco. A impressãodigital do dispositivo contém informações requeridas para cálculo de pontuação derisco.

As regras que você especifica na política de acesso baseado em risco determinamse um dispositivo é registrado silenciosamente ou apenas depois que o usuárioconsentir com o registro. Use uma das políticas de amostra de ponta a ponta paraespecificar as regras básicas para o registro silencioso ou baseado emconsentimento.

Você também pode configurar o número máximo de dispositivos que podem serregistrados para um usuário.

Registro de Dispositivo SilenciosoO registro de dispositivo silencioso é o processo de registrar o dispositivo depoisque o usuário responder com êxito a um desafio secundário. O registro silenciosonão requer nenhuma interação ou consentimento adicional do usuário. A políticade acesso baseada em risco que você configura determina se um dispositivo deveser registrado silenciosamente.

Você pode usar o “Script de Amostra para Regras de Política de Acesso Baseadoem Risco” na página 54 para configurar uma política que registra silenciosamenteo dispositivo do usuário. O script pronto para utilização define as regras básicasque são requeridas para uma política de funcionamento de ponta a ponta.

Registro de Dispositivo Baseado em ConsentimentoO registro de dispositivo baseado em consentimento é o processo de registrar aimpressão digital do dispositivo apenas depois que o usuário consente para oregistro do dispositivo. Use as regras de amostra para configurar uma política quepermite ao usuário especificar se inclui o dispositivo na lista de dispositivosregistrados.

Um cenário típico que pode requerer registro de dispositivo baseado emconsentimento é quando um usuário tenta acessar um recurso protegido de umambiente de acesso público. Por exemplo, um usuário pode efetuar login de umcafé com internet ou de um quiosque no aeroporto. Depois que o usuário efetualogin e responde com êxito ao desafio secundário, um formulário de consentimento






é apresentado. O formulário de consentimento pode ser uma página HTML naqual os usuários podem especificar que consentem o registro do dispositivo.v Se o usuário consentir o registro do dispositivo, o dispositivo será registrado e o

acesso será permitido. A próxima vez que o usuário efetuar login do mesmodispositivo, o formulário de consentimento não será apresentado porque odispositivo já está registrado.

v Se o usuário não consentir o registro do dispositivo, o dispositivo não seráregistrado e o acesso será permitido. Se o usuário efetuar login do mesmodispositivo novamente, o desafio secundário e o formulário de consentimentoserão apresentados novamente. O processo é repetido porque a pontuação derisco é alta quando um usuário efetua login de um dispositivo que não estáregistrado.

Configurando o Registro de Dispositivo Baseado emConsentimentoConfigure os atributos e propriedades requeridos para que você possa solicitar aum usuário consentimento para registrar um dispositivo.

Antes de Iniciar

Atualize o arquivo de configuração do WebSEAL:1. Anexe a sub-rotina [obligations-levels-mapping]. Especifique o mapeamento

entre os níveis de obrigação que o PDP retorna e os níveis de autenticação noWebSEAL. Por exemplo, anexe:[obligations-levels-mapping]otp=3consent=4

2. Insira uma nova URL do acionador na sub-rotina [eai-trigger-urls] para oformulário de consentimento. Use a mesma URL que aquela usada para a etapa12 na página 64. Por exemplo, insira:trigger = /FIM/sps/ac/html/consent-form.html*

3. Atualize a sub-rotina [authentication-levels] para especificar que o nível deautenticação de consentimento deve usar EAI. Os exemplos neste procedimentomostram um nível de autenticação de 4. Por exemplo, para especificar um nívelde autenticação EAI de 4, insira o texto a seguir:level = unauthenticatedlevel = passwordlevel = ext-auth-interfacelevel = ext-auth-interfacelevel = ext-auth-interface

Consulte o WebSEAL Administration Guide no centro de informações do IBM TivoliAccess Manager para e-business para obter mais informações.

Procedimento1. Ative o registro baseado em consentimento incluindo http://

security.ibm.com/attributes/environment/userConsent como um atributo dasessão:$AdminTask manageRbaRiskProfile {-operation create

-attributeId http://security.ibm.com/attributes/environment/userConsent-weight 0 -session true -device false}

2. Configure a propriedade para o cabeçalho da interface de autenticação externa(EAI) para o nível de autenticação. O valor da propriedade deve corresponderao valor que é configurado para eai-auth-level-header na sub-rotina [eai]do arquivo de configuração do WebSEAL.


$AdminTask manageRbaConfiguration {-operation create-propertyName eai.header.auth.level -propertyValue am-eai-auth-level}

3. Configure a propriedade para o cabeçalho EAI para o ID do usuário. O valorda propriedade deve corresponder ao valor que é configurado paraeai-user-id-header na sub-rotina [eai] do arquivo de configuração doWebSEAL.$AdminTask manageRbaConfiguration {-operation create

-propertyName eai.header.user.id -propertyValue am-fim-eai-user-id}

4. Opcional: Crie um atributo device.name para que o usuário possa escolherqualquer nome de dispositivo para representar seu dispositivo durante oregistro do dispositivo baseado em consentimento.$AdminTask manageRbaRiskProfile {-operation create

-attributeId device.name -weight 0 -session true -device true}

5. Carregue as mudanças:$AdminTask manageRbaConfiguration {-operation reload}

6. Crie uma política que contenha regras de registro baseadas em consentimento.A política de amostra a seguir mostra regras para o registro baseado emconsentimento. Este exemplo chamará uma interface de autenticação externaextra, como um formulário de consentimento, se o dispositivo não estiverregistrado no banco de dados de acesso baseado em risco.Policy {

name = localhost-defaultRule {

name = RBADemoApplicationPolicyRule1Target {

subject = anyaction = anyresource = any

}resource integer http://security.ibm.com/attributes/resource/riskScoresubject string AUTHENTICATION_LEVELenvironment string http://security.ibm.com/attributes/environment/userConsent

if AUTHENTICATION_LEVEL == "1" & http://security.ibm.com/attributes/resource/riskScore > 40permit obligation {name=otp

}if AUTHENTICATION_LEVEL == "3"

permit obligation {name=consent

}if AUTHENTICATION_LEVEL == "4" & http://security.ibm.com/attributes/environment/userConsent ==

"true" & http://security.ibm.com/attributes/resource/riskScore > 40permit obligation {name=http://security.ibm.com/obligations/registerDevice

}if AUTHENTICATION_LEVEL == "4" & http://security.ibm.com/attributes/environment/userConsent == "false"

permit

if http://security.ibm.com/attributes/resource/riskScore < 40permit

}

7. Salve a política.8. Torne ativas as mudanças de política executando um dos comandos a seguir:

v Para uma nova política, execute o comando a seguir:$AdminTask manageRbaPolicy {-operation create -policyFile policy_file}

v Para uma política atualizada, execute o comando a seguir:$AdminTask manageRbaPolicy {-operation update -policyFile policy_file}

em que policy_file é o caminho e o nome do arquivo de políticas que foiatualizado ou criado.

9. Crie uma política de objeto protegido (POP) para definir o nível deautenticação para um recurso protegido.pdadmin> pop create pop_name

10. Modifique o nível de autenticação no POP para restringir o acesso ao recursoapenas a usuários com um nível de autenticação de 3:


pdadmin> pop modify pop_name set ipauth anyothernw 3

11. Anexe o POP ao recurso protegido:pdadmin> pop attach object_name pop_name

em que object_name é o nome do recurso protegido, como/WebSEAL/webseal_instance/webseal_junction_name/sps/ac/html/consent-form.html.

12. Use a seguinte URL para redirecionar o usuário para o formulário HTML deconsentimento pronto para utilização que é fornecido com o acesso baseadoem risco:http://myhost.company.com/FIM/sps/ac/html/consent-form.html?eai-auth-level=stepup_level

em que:v myhost.company.com é o nome do host.v eai-auth-level corresponde ao valor da propriedade de

eai-auth-level-header na sub-rotina [eai] do arquivo de configuração doWebSEAL.

v stepup_level é o valor que mapeia a obrigação de consentimento, que éespecificada no arquivo de configuração do WebSEAL na sub-rotina[obligations-levels-mapping].

Resultados

Agora, é solicitado que o usuário forneça consentimento para registrar umdispositivo.

Se você tiver usado a opção na etapa 4 na página 63, o usuário poderá registrar odispositivo dele usando um nome de dispositivo que ele escolher.

Configurando o Número de Dispositivos Registrados para umUsuário

Para minimizar o risco de acesso fraudulento, um limite deve ser configurado nonúmero máximo de dispositivos que estão registrados para um usuário. Porpadrão, um máximo de 10 dispositivos estão registrados para cada usuário. Vocêpode alterar este número modificando o valor da propriedade de configuraçãomax.no.of.registered.devices.

Procedimento

Use o comando manageRbaConfiguration para configurar a propriedademax.no.of.registered.devices. Especifique um valor que indica o númeromáximo de dispositivos que um usuário pode registrar. O valor padrão é 10. Osvalores válidos são 1 a 20.Por exemplo:$AdminTask manageRbaConfiguration {-operation update

-propertyName max.no.of.registered.devices -propertyValue 12}

Resultados

Quando um usuário registra um dispositivo, o acesso baseado em risco conta onúmero de dispositivos que já estão registrados para o usuário e executa asseguintes ações:


v Se a contagem for igual ou maior que o valor da propriedademax.no.of.registered.devices, as informações do registro para o dispositivomais antigo serão excluídas. O novo dispositivo será, então, registrado.

v Se a contagem for menor que o valor da propriedademax.no.of.registered.devices, o novo dispositivo será registrado.



Capítulo 6. Auditoria

O acesso baseado em risco gera registros de auditoria de eventos críticos. Osregistros de auditoria são gravados no arquivo de log de auditoria. Use os logs deauditoria para monitorar as atividades e rastrear possíveis problemas de segurançaque estão relacionados ao acesso baseado em risco.

Os registros de auditoria são gerados para comandos que gerenciam aconfiguração, as políticas, os atributos e as sessões de acesso baseado em risco. Osregistros de auditoria também são gerados para operações críticas relacionadas aospontos de informações de política (PIPs) de acesso baseado em risco e ao registrode dispositivo.

Gerenciando Configurações de Log de AuditoriaVocê pode usar propriedades de configuração específicas para ativar ou desativar aauditoria e para alterar as configurações do log de auditoria padrão. Por exemplo,você pode alterar as configurações para o nome, local e tamanho máximo dosarquivos de log de auditoria.

Sobre Esta Tarefa

Por padrão, a auditoria é ativada para acesso baseado em risco. As configuraçõespadrão são especificadas para os arquivos de log de auditoria. Você pode usar asseguintes propriedades de configuração se desejar alterar as configurações deauditoria padrão:

com.tivoli.am.rba.audit.enableAuditing

Ativa ou desativa a auditoria.

O valor-padrão é true.

com.tivoli.am.rba.audit.file.name

Especifica como os arquivos de log de auditoria são nomeados.

O prefixo padrão do nome do arquivo de log é rba_audit_log.

com.tivoli.am.rba.audit.file.location

Especifica o local do arquivo de log de auditoria.

O local padrão é o diretório rba_audit no diretório logs padrão doWebSphere Application Server.

Sistemas AIX® ou Linux/opt/IBM/WebSphere/AppServer/profiles/profile_name/logs/rba_audit

Sistemas WindowsC:\Program Files\IBM\WebSphere\AppServer\profiles\profile_name\logs\rba_audit

O local que você especifica para a propriedadecom.tivoli.am.rba.audit.file.location é relativo ao diretório logspadrão para o WebSphere Application Server.


Por exemplo, em um sistema Windows, se você especificar o valor comorba, os arquivos de log serão armazenados no diretório C:\ProgramFiles\IBM\WebSphere\AppServer\profiles\profile_name\logs\rba.

com.tivoli.am.rba.audit.file.size

Especifica o tamanho máximo do arquivo de auditoria em megabytes (MB).

O valor padrão é 100000 MB.

com.tivoli.am.rba.audit.number.of.files

Especifica o número máximo de arquivos de auditoria que são criadosantes do arquivo mais antigo ser sobrescrito.

O valor padrão é 10.

Procedimento1. Use o comando manageRbaConfiguration para configurar as propriedades de

acesso baseado em risco para auditoria.$AdminTask manageRbaConfiguration {-operation update

[-propertyName property_name][-propertyValue property_value]}

Em que:property_name é uma das propriedades descritas em Sobre esta tarefa.property_value é o valor associado para a propriedade descrita em Sobre estatarefa.

2. Para configurar registros de auditoria para solicitações do serviço deautorização externa (EAS) de serviços de segurança de tempo de execução,especifique a entrada audit-log-cfg sob a sub-rotina [rtss-eas] do arquivo deconfiguração do WebSEAL padrão denominado webseald-default.conf. Porexemplo, você pode incluir a seguinte entrada:audit-log-cfg = file path=/tmp/rtss-audit.log,flush=20,rollover=2000000,

buffer_size=8192,queue_size=48

Para obter informações adicionais, consulte “Dados de Configuração deAmostra para o Serviço de Autorização Externa de Serviços de Segurança deTempo de Execução” na página 34.

Logs de AuditoriaOs arquivos de log de auditoria são gerados em Linguagem de MarcaçãoExtensível (XML). Os arquivos de log contêm elementos que registram os detalhesde cada evento de auditoria, como usuário, hora, ação e resultado.

Para obter informações sobre como localizar os arquivos de log de auditoria,consulte a descrição da propriedade com.tivoli.am.rba.audit.file.location no“Gerenciando Configurações de Log de Auditoria” na página 67.

A tabela a seguir lista os elementos de auditoria para os eventos de auditoria deacesso baseado em risco.

Tabela 6. Elementos de eventos de auditoria

Elemento de evento de auditoria Descrição

userInfoList O usuário que acionou o evento

creationTime A data e hora em que o evento foi gerado


Tabela 6. Elementos de eventos de auditoria (continuação)

Elemento de evento de auditoria Descrição

actionInfo O nome do evento, que indica a operação

Por exemplo: POLICY_CREATE_EVENT

outcome O resultado da operação especificada comoSUCCESSFUL ou FAILURE

globalInstanceId O identificador para o evento de auditoria

extensionName O nome do tipo de evento

Por exemplo, para auditoria de acessobaseado em risco, o tipo de evento éSECURITY_RBA_AUDIT_AUTHZ.

messages Detalhes da mensagem da ação de evento

As operações de acesso baseado em risco a seguir são registradas no fragmento deexemplo do arquivo de log de auditoria:v A procura por atributo foi bem-sucedida.v A criação de um atributo falhou.v A pontuação de risco foi calculada com êxito.v O dispositivo foi registrado com êxito.v As informações de registro do dispositivo foram excluídas com êxito.<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"

globalInstanceId="uuiddc425c98-0138-1039-b7ba-882c9b14694c"msg="The command manageRbaConfiguration’s operation was succuessful with the given arguments

{operation=search}"version="1.0.1">

<extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string"><values>1.1</values>

</extendedDataElements><extendedDataElements name="actionInfo" type="noValue">

<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>RUNTIME_CONFIGURATION_SEARCH_EVENT</values>

</children></extendedDataElements><extendedDataElements name="outcome" type="noValue">

<children name="result" type="string"><values>SUCCESSFUL</values>

</children></extendedDataElements><extendedDataElements name="userInfoList" type="noValue">

<children name="appUserName" type="string"><values>defaultWIMFileBasedRealm/wasadmin</values>

</children></extendedDataElements>

</CommonBaseEvent>

<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"globalInstanceId="uuiddc51c52c-0138-1620-b4ab-882c9b14694c"msg="The command manageRbaConfiguration’s operation was unsuccuessful with the given arguments

{operation=create}" version="1.0.1"><extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string">

<values>1.1</values></extendedDataElements><extendedDataElements name="actionInfo" type="noValue">

<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>RUNTIME_CONFIGURATION_CREATE_EVENT</values>


<children name="result" type="string"><values>FAILURE</values>


<children name="appUserName" type="string"><values>defaultWIMFileBasedRealm/wasadmin</values>


</CommonBaseEvent>

<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"

Capítulo 6. Auditoria 69

globalInstanceId="uuid93126693-0137-1b69-9a86-ae316fbc293b"msg="FBTRBA200I Calculated risk percentage: "100"." version="1.0.1">

<extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string"><values>1.1</values>

</extendedDataElements><extendedDataElements name="actionInfo" type="noValue">

<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>CALCULATE_RISK_SCORE_EVENT</values>




<children name="appUserName" type="string"><values>cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com</values>


</CommonBaseEvent>

<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"globalInstanceId="uuid93126720-0137-1684-923c-ae316fbc293b"msg="FBTRBA201I A new device registered for user:

"cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com"." version="1.0.1"><extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string">


<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>DEVICE_REGISTRATION_EVENT</values>






</CommonBaseEvent>

<CommonBaseEvent creationTime="2012-08-01 04:45:56 CDT" extensionName="SECURITY_RBA_AUDIT_AUTHZ"globalInstanceId="uuid9312b115-0137-1a81-a981-ae316fbc293b"msg="FBTRBA203I A device deleted for user:

"cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com"." version="1.0.1"><extendedDataElements name="AUDIT_SCHEMA_VERSION" type="string">


<children name="urn:oasis:names:tc:xacml:1.0:action:action-id" type="string"><values>DEVICE_DELETION_EVENT</values>






</CommonBaseEvent>

O log a seguir é um exemplo de um registro de auditoria para uma solicitação doserviço de autorização externa (EAS) de serviços de segurança de tempo deexecução. Um registro de auditoria é gerado para cada solicitação EAS.<rtss-event>

<operation>r</operation><pdp-decision>Permit</pdp-decision><pdp-obligation>otp</pdp-obligation><protected-resource>/WebSEAL/localhost-Default2/WAS</protected-resource><server-name>localhost-Default2</server-name><stepup-level>3</stepup-level><tam-policy-decision>AZN_C_PERMITTED</tam-policy-decision><timestamp>2012-05-06 13:55:22 GMT</timestamp>


<user>sec_master</user><user-agent>Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.1 (KHTML, like Gecko)

Chrome/21.0.1145.0 Safari/537.1</user-agent></rtss-event>

Capítulo 6. Auditoria 71


Capítulo 7. Referência

As informações de referência são organizadas para ajudá-lo a localizardeterminados fatos rapidamente. Estão incluídas informações sobre os comandospara gerenciar o acesso baseado em risco, atributos para configurar o perfil derisco e propriedades para configurar o acesso baseado em risco.

Referência de ComandoA interface da linha de comandos de acesso baseado em risco usa a estrutura decomando wsadmin. Use a sintaxe de comando e os exemplos para configurar egerenciar atributos, políticas, propriedades de tempo de execução, impressõesdigitais e dispositivos para acesso baseado em risco.

comando manageRbaConfigurationUse o comando manageRbaConfiguration para criar e configurar propriedades deacesso baseado em risco. As propriedades especificam a configuração para o bancode dados, serviço de coleta de atributos, serviço de segurança de tempo deexecução, correspondentes de atributos e outros componentes de acesso baseadoem risco.

Propósito

Use o comando manageRbaConfiguration para criar, atualizar, excluir ou procurarpropriedades de configuração. Você também pode usar este comando paraimplementar e remover a implementação do acesso baseado em risco e carregar oureconfigurar as definições de configuração.

Para obter uma lista de todas as propriedades de acesso baseado em risco, consulte“Propriedades de Configuração” na página 90.

Nota: Se você configurar uma propriedade com um nome que termine comassword ou pwd, o valor da propriedade será ofuscado quando ela for armazenadano banco de dados.

Sintaxe$AdminTask manageRbaConfiguration {-operation operator [-propertyName property_name]

[-propertyValue property_value] [-fileId response_file_path]}

Parâmetros

Use os parâmetros a seguir com o comando manageRbaConfiguration:

-operation operatorEspecifica a operação para configuração de acesso baseado em risco. Esseparâmetro é obrigatório.

Os valores válidos são deploy, undeploy, configure, create, delete, update,unconfigure, search, reload e createResponseFile.


Tabela 7. Parâmetros Obrigatórios e Opcionais para Operadores do ComandomanageRbaConfiguration

Operador DescriçãoParâmetrosNecessários Parâmetros opcionais

Implementação de Implementa o acessobaseado em riscoinstalando o arquivoEAR de tempo deexecução e osarquivos deconfiguração noservidor deaplicativos.

Para obterinformaçõesadicionais, consulte“Implementando oAcesso Baseado emRisco” na página 16.

Nota: Se a operaçãodeploy detectar que oserviço de segurançade tempo deexecução estáconfigurado com oIBM Tivoli SecurityPolicy Manager, ainstância existente doserviço de segurançade tempo deexecução não serásobrescrita.

Nenhum Nenhum


Tabela 7. Parâmetros Obrigatórios e Opcionais para Operadores do ComandomanageRbaConfiguration (continuação)


undeploy Remove aimplementação doacesso baseado emrisco removendo oarquivo EAR detempo de execução eos arquivos deconfiguração deacesso baseado emrisco do repositóriode configuração doservidor deaplicativos.

Nota: Se a operaçãoundeploy detectarque o serviço desegurança de tempode execução estáconfigurado com oIBM Tivoli SecurityPolicy Manager, ainstância do serviçode segurança detempo de execuçãonão será removidanem terá aimplementaçãoremovida.

Nenhum Nenhum

criar Cria umapropriedade deconfiguração deacesso baseado emrisco e configura seuvalor.

-propertyName,-propertyValue

Nenhum

delete Exclui umapropriedade deconfiguração deacesso baseado emrisco.

-propertyName Nenhum

update Atualiza umapropriedade deconfiguração deacesso baseado emrisco existente.

-propertyName,-propertyValue

Nenhum

desconfigurar Desconfigura oureconfigura asdefinições deconfiguração deacesso baseado emrisco.

Nenhum Nenhum

Capítulo 7. Referência 75

Tabela 7. Parâmetros Obrigatórios e Opcionais para Operadores do ComandomanageRbaConfiguration (continuação)


search Procura umapropriedadeespecificada ou listatodas aspropriedades evalores.

Nenhum -propertyName

reload Publica páginas eplug-ins e recarrega oambiente de tempode execução do TivoliFederated IdentityManager.

Nenhum Nenhum

createResponseFile Cria um modelo dearquivo de resposta.

-fileId Nenhum

configure Configura o acessobaseado em riscousando um arquivode resposta paraexecutar operaçõesem lote parapropriedades deconfiguração.

-fileId Nenhum

-propertyName property_nameO nome da propriedade de configuração de acesso baseado em risco, porexemplo, dbdatasource.

-propertyValue property_valueO valor da propriedade de configuração de acesso baseado em risco.

-fileId response_file_pathO caminho do arquivo de resposta de entrada ou de saída:v Para sair de um modelo de arquivo de resposta XML para o comando

manageRbaConfiguration, use o operador createResponseFile com oparâmetro fileId.

v Para entrar em um arquivo de resposta XML para configurar o acessobaseado em risco, use o operador configure com o parâmetro fileId. Oarquivo de resposta especificado deve conter as informações que você,geralmente, especificaria na linha de comandos. Você pode editar o arquivode resposta XML com um editor de texto para especificar os valores quevocê requer. Para obter informações adicionais, consulte “Exemplo deArquivo de Resposta para o Comando manageRbaConfiguration” na página79.

Nota: Você pode usar o parâmetro fileId apenas com o parâmetro operator.Qualquer outro parâmetro que você especificar será ignorado.

Exemplos

Os exemplos a seguir mostram a sintaxe correta para várias operações do comandomanageRbaConfiguration:


Implementar o acesso baseado em risco:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation deploy}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation deploy]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’deploy’])

Para obter informações adicionais, consulte “Implementando o AcessoBaseado em Risco” na página 16.

Remover a implementação do acesso baseado em risco:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation undeploy}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation undeploy]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’undeploy’])

Configurar o acesso baseado em risco:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation configure -fileId /tmp/resp.xml}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation configure -fileId /tmp/resp.xml]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’configure’,

’-fileId’, ’/tmp/resp.xml’])

Desconfigurar ou reconfigurar as definições de configuração do acesso baseadoem risco:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation unconfigure}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation unconfigure]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’unconfigure’])

Criar uma propriedade de configuração de acesso baseado em risco e especificarseu valor:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation create -propertyName dbdatasource

-propertyValue jdbc/rbadb}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation create -propertyName dbdatasource

-propertyValue jdbc/rbadb]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’create’,

’-propertyName’, ’dbdatasource’, ’-propertyValue’, ’jdbc/rbadb’])

Atualizar o valor de uma propriedade de configuração de acesso baseado emrisco existente:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation update -propertyName dbdatasource

-propertyValue jdbc/rba2db}

v Utilizando a cadeia Jython:


$AdminTask manageRbaConfiguration(’[-operation update -propertyName dbdatasource-propertyValue jdbc/rba2db]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’update’,

’-propertyName’, ’dbdatasource’, ’-propertyValue’, ’jdbc/rba2db’])

Excluir uma propriedade de configuração de acesso baseado em risco e seuvalor:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation delete -propertyName dbdatasource}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation delete -propertyName dbdatasource]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’delete’,

’-propertyName’, ’dbdatasource’])

Procurar uma propriedade especificada para visualizar a propriedade e seuvalor:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation search -propertyName dbdatasource}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation search -propertyName dbdatasource]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’search’,

’-propertyName’, ’dbdatasource’])

Visualizar todas as propriedades de acesso baseado em risco e seus valores:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation search}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation search]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’search’])

Publicar páginas e plug-ins e recarregar o ambiente de tempo de execução doTivoli Federated Identity Manager:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation reload}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation reload]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’reload’])

Criar um modelo de arquivo de resposta para este comando:

v Utilizando Jacl:$AdminTask manageRbaConfiguration {-operation createResponseFile

-fileId /tmp/resp.xml}

v Utilizando a cadeia Jython:$AdminTask manageRbaConfiguration(’[-operation createResponseFile

-fileId /tmp/resp.xml]’)

v Utilizando a lista Jython:$AdminTask manageRbaConfiguration([’-operation’, ’createResponseFile’,



Nota: Depois de usar o comando manageRbaConfiguration para alterarpropriedades de configuração, você deve executar o comandomanageRbaConfiguration com a opção reload para que as mudanças entrem emvigor.

Exemplo de Arquivo de Resposta para o ComandomanageRbaConfigurationUse um arquivo de resposta para executar operações em lote para o comandomanageRbaConfiguration. O arquivo de resposta contém informações que vocênormalmente especificaria na linha de comandos. Usar um arquivo de respostaajuda a automatizar o processo de configuração.

Para criar um modelo de arquivo de resposta, use o parâmetro fileId com ooperador createResponseFile do comando manageRbaConfiguration. Edite omodelo de arquivo de resposta para especificar os valores que você requer. Paraobter mais informações sobre o parâmetro fileId, consulte “comandomanageRbaConfiguration” na página 73.

O exemplo de arquivo de resposta a seguir mostra como criar uma propriedade deconfiguração para a origem de dados e especificar o valor da propriedade deconfiguração:<?xml version="1.0" encoding="UTF-8"?><java version="1.5.0" class="java.beans.XMLDecoder"><object class="java.util.Properties"><void method="put">

<string>dbdatasource</string><string>jdbc/rbadb</string>

</void></object></java>

comando manageRbaDevicesUse o comando manageRbaDevices para gerenciar os dispositivos registrados e asimpressões digitais do dispositivo. A impressão digital do dispositivo consiste noID do usuário e nos pares chave-valor de atributos, que são armazenados no bancode dados de acesso baseado em risco.

Propósito

Use o comando manageRbaDevices para criar, procurar ou excluir informações deregistro do dispositivo.

Sintaxe$AdminTask manageRbaDevices {-operation operator [-userId unique_user_ID]

[-deviceId unique_device_ID] [-attributes attribute_list]}

Parâmetros

Use os parâmetros a seguir com o comando manageRbaDevices:

-operation operatorEspecifica a operação para o atributo. Esse parâmetro é obrigatório.

Os valores válidos são create, delete e search.


Tabela 8. Parâmetros Obrigatórios e Opcionais para Operadores do ComandomanageRbaDevices


criar Cria informações deregistro para umdispositivo.

-userId, -attributes -delimiter

delete Exclui as informaçõesde registro de umdispositivoespecificado ou todosos dispositivos deum usuárioespecificado

-userId ou -deviceIdé requerido

-userId, -deviceId

search Lista todos osdispositivosregistrados ouprocura osdispositivos que sãoregistrados para umusuário especificado.

Nenhum -userId

-userId unique_user_IDUm valor alfanumérico que é o ID exclusivo do usuário.

Se você não especificar o ID do usuário para uma operação search, todos osdispositivos registrados serão listados.

-deviceId unique_device_IDUm valor alfanumérico que é o ID exclusivo de um dispositivo.

Se você não especificar o ID do dispositivo para uma operação delete, todas asinformações de registro para o ID do usuário especificado serão excluídas.

-attributes attribute_listUma lista de pares chave-valor de atributos.

O delimitador padrão é o símbolo de percentual (%).

-delimiter delimiterO caractere que delimita os pares chave-valor na lista de atributos.

Use o parâmetro -delimiter para especificar o delimitador quando vocêregistrar um dispositivo com o parâmetro -attributes.

Se você não especificar o parâmetro delimiter, o símbolo de percentual (%) seráo delimitador padrão.

Exemplos

Os exemplos a seguir mostram a sintaxe correta para várias operações do comandomanageRbaDevices:

Criar informações de registro para um dispositivo. O exemplo a seguir usa odelimitador padrão, que é o símbolo de percentual (%):

v Utilizando Jacl:$AdminTask manageRbaDevices {-operation create -userId user1

-attributes attribute1=value1%attribute2=value2%attribute3=value3}

v Utilizando a cadeia Jython:


$AdminTask manageRbaDevices(’[-operation create -userId user1-attributes attribute1=value1%attribute2=value2%attribute3=value3]’)

v Utilizando a lista Jython:$AdminTask manageRbaDevices([’-operation’, ’create’, ’-userId’, ’user1’,

’-attributes’ ’attribute1=value1%attribute2=value2%attribute3=value3’])

Criar registro para um dispositivo e especificar um delimitador para a lista deatributos. O exemplo a seguir usa uma vírgula (,) como o delimitador:

v Utilizando Jacl:$AdminTask manageRbaDevices {-operation create -userId user1 -delimiter ,

-attributes attribute1=value1,attribute2=value2,attribute3=value3}

v Utilizando a cadeia Jython:$AdminTask manageRbaDevices(’[-operation create -userId user1 -delimiter ,

-attributes attribute1=value1,attribute2=value2,attribute3=value3]’)

v Utilizando a lista Jython:$AdminTask manageRbaDevices([’-operation’, ’create’, ’-userId’, ’user1’,

’-delimiter’ ’,’’-attributes’ ’attribute1=value1,attribute2=value2,attribute3=value3’])

Listar todos os dispositivos registrados:

v Utilizando Jacl:$AdminTask manageRbaDevices {-operation search}

v Utilizando a cadeia Jython:$AdminTask manageRbaDevices(’[-operation search]’)

v Utilizando a lista Jython:$AdminTask manageRbaDevices([’-operation’, ’search’])

Procurar os dispositivos que são registrados para um usuário específico:

v Utilizando Jacl:$AdminTask manageRbaDevices {-operation search -userId user1}

v Utilizando a cadeia Jython:$AdminTask manageRbaDevices(’[-operation search -userId user1]’)

v Utilizando a lista Jython:$AdminTask manageRbaDevices([’-operation’, ’search’, ’-userId’, ’user1’])

Excluir as informações de registro de todos os dispositivos para um usuárioespecificado:

v Utilizando Jacl:$AdminTask manageRbaDevices {-operation delete -userId user1}

v Utilizando a cadeia Jython:$AdminTask manageRbaDevices(’[-operation delete -userId user1]’)

v Utilizando a lista Jython:$AdminTask manageRbaDevices([’-operation’, ’delete’, ’-userId’, ’user1’])

Excluir as informações de registro de um dispositivo especificado:

v Utilizando Jacl:$AdminTask manageRbaDevices {-operation delete -deviceId device1}

v Utilizando a cadeia Jython:$AdminTask manageRbaDevices(’[-operation delete -deviceId device1]’)

v Utilizando a lista Jython:$AdminTask manageRbaDevices([’-operation’, ’delete’, ’-deviceId’, ’device1’])


comando manageRbaPolicyDepois de gravar um script com regras de política, você deve usar o comandomanageRbaPolicy para criar e configurar uma política de autorização para acessobaseado em risco.

Propósito

Use o comando manageRbaPolicy para criar, atualizar, excluir e procurar políticas.

Antes de criar uma política, você deve gravar um script que especifique as regrasde política no “Idioma de Geração de Política de Autorização” na página 51.

Nota: Você não pode usar o comando manageRbaPolicy para gerenciar políticas deacesso baseado em risco se o serviço de segurança de tempo de execução estiverconfigurado com o IBM Tivoli Security Policy Manager como o ponto deadministração de política. Para obter informações adicionais, consulte“Gerenciamento de Política com o IBM Tivoli Security Policy Manager” na página56.

Sintaxe$AdminTask manageRbaPolicy {-operation operator [-policyId unique_ID]

[-policyFile file_name] [-serviceName service_name] [-fileId response_file_path]}

Parâmetros

Use os parâmetros a seguir com o comando manageRbaPolicy:

-operation operatorEspecifica a operação para a política. Esse parâmetro é obrigatório.

Os valores válidos são create, update, delete, search, export ecreateResponseFile.

Tabela 9. Parâmetros Obrigatórios e Opcionais para Operadores do ComandomanageRbaPolicy


criar Cria uma política. -policyFile -policyId, -fileId

update Atualiza umapolítica.

-policyFile -policyId, -fileId

delete Exclui uma política. -serviceName -policyId, -fileId

search Procura políticas. Nenhum -policyId,-serviceName

export Exporta uma políticapara um arquivo Javaarchive (JAR).

-fileId Nenhum

createResponseFile Cria um modelo dearquivo de respostaou usa um arquivode resposta paraexecutar operaçõesem lote.

-fileId Nenhum

-policyId unique_IDUm valor alfanumérico que é o ID exclusivo da política.


Nota: Em um ambiente do IBM Tivoli Access Manager para e-business queusa WebSEAL, o valor do parâmetro -policyId é tipicamente o mesmo que odo parâmetro -serviceName. Em tais casos, os serviços de segurança de tempode execução armazenam a política com _DEFAULT_ como o ID de política.Portanto, quando procurar uma política especificada, você deverá procurarcom o valor -policyId como _DEFAULT_ juntamente com o parâmetro-serviceName.

-policyFile file_pathO caminho e o nome do arquivo da política.

-serviceNameO nome do serviço que a política usa.

Em um ambiente do IBM Tivoli Access Manager para e-business que usaWebSEAL, o nome do serviço é igual ao nome do servidor WebSEAL, porexemplo, localhost-default.

Você pode usar o nome do serviço para procurar uma política específica.

-fileId response_file_pathO caminho do arquivo de resposta de entrada ou de saída ou o arquivo depolítica exportado:v Para sair de um modelo de arquivo de resposta XML para o comando

manageRbaPolicy, use o operador createResponseFile com o parâmetrofileId.

v Para entrar em um arquivo de resposta XML para configurar políticas, useos operadores create, update ou delete com o parâmetro fileId. O arquivode resposta especificado deve conter as informações que você, geralmente,especificaria na linha de comandos. Edite o arquivo de resposta XML comum editor de texto para especificar os valores que você requer. Para obterinformações adicionais, consulte “Exemplo de Arquivo de Resposta para oComando manageRbaPolicy” na página 85.

v Para exportar todas as políticas no serviço de segurança de tempo deexecução que é configurado para acesso baseado em risco, use o operadorexport com o parâmetro fileId. As políticas são exportadas no formatoXML para um arquivo JAR.

Nota: Você pode usar o parâmetro fileId apenas com o parâmetro operator.Qualquer outro parâmetro que você especificar será ignorado.

Exemplos

Os exemplos a seguir mostram a sintaxe correta para várias operações do comandomanageRbaPolicy:

Criar uma política:

v Utilizando Jacl:$AdminTask manageRbaPolicy {-operation create -policyId RBA_policy

-policyFile /tmp/policy001}

v Utilizando a cadeia Jython:$AdminTask manageRbaPolicy(’[-operation create -policyId RBA_policy

-policyFile /tmp/policy001]’)

v Utilizando a lista Jython:$AdminTask manageRbaPolicy([’-operation’, ’create’, ’-policyId’, ’RBA_policy’,

’-policyFile’ ’/tmp/policy001’])

Modificar uma política:

v Utilizando Jacl:


$AdminTask manageRbaPolicy {-operation update -policyFile /tmp/policy001}

v Utilizando a cadeia Jython:$AdminTask manageRbaPolicy(’[-operation update -policyFile /tmp/policy001]’)

v Utilizando a lista Jython:$AdminTask manageRbaPolicy([’-operation’, ’update’, ’-policyFile’, ’/tmp/policy001’])

Procurar uma política por seu ID:

v Utilizando Jacl:$AdminTask manageRbaPolicy {-operation search -policyId RBA_policy}

v Utilizando a cadeia Jython:$AdminTask manageRbaPolicy(’[-operation search -policyId RBA_policy]’)

v Utilizando a lista Jython:$AdminTask manageRbaPolicy([’-operation’, ’search’, ’-policyId’, ’RBA_policy’])

Procurar todas as políticas:

v Utilizando Jacl:$AdminTask manageRbaPolicy {-operation search}

v Utilizando a cadeia Jython:$AdminTask manageRbaPolicy(’[-operation search]’)

v Utilizando a lista Jython:$AdminTask manageRbaPolicy([’-operation’, ’search’])

Excluir uma política

v Utilizando Jacl:$AdminTask manageRbaPolicy {-operation delete -serviceName localhost-default}

v Utilizando a cadeia Jython:$AdminTask manageRbaPolicy(’[-operation delete -serviceName localhost-default]’)

v Utilizando a lista Jython:$AdminTask manageRbaPolicy([’-operation’, ’delete’, ’-serviceName’, ’localhost-default’])

Exportar políticas para um arquivo JAR:

v Utilizando Jacl:$AdminTask manageRbaPolicy {-operation export -fileId /tmp/policy.jar}

v Utilizando a cadeia Jython:$AdminTask manageRbaPolicy(’[-operation export -fileId /tmp/policy.jar]’)

v Utilizando a lista Jython:$AdminTask manageRbaPolicy([’-operation’, ’export’, ’-fileId’, ’/tmp/policy.jar’])


v Utilizando Jacl:$AdminTask manageRbaPolicy {-operation createResponseFile -fileId /tmp/resp.xml}

v Utilizando a cadeia Jython:$AdminTask manageRbaPolicy(’[-operation createResponseFile -fileId /tmp/resp.xml]’)

v Utilizando a lista Jython:$AdminTask manageRbaPolicy([’-operation’, ’createResponseFile’,


Criar uma política usando um arquivo de resposta como entrada:

v Utilizando Jacl:$AdminTask manageRbaPolicy {-operation create -fileId /tmp/resp.xml}

v Utilizando a cadeia Jython:$AdminTask manageRbaPolicy(’[-operation create -fileId /tmp/resp.xml]’)

v Utilizando a lista Jython:$AdminTask manageRbaPolicy([’-operation’, ’create’, ’-fileId’, ’/tmp/resp.xml’])


Exemplo de Arquivo de Resposta para o ComandomanageRbaPolicyUse um arquivo de resposta para executar operações em lote para o comandomanageRbaPolicy. O arquivo de resposta contém informações que vocênormalmente especificaria na linha de comandos. Usar um arquivo de respostaajuda a automatizar o processo de configuração.

Para criar um modelo de arquivo de resposta, use o parâmetro fileId com ooperador createResponseFile do comando manageRbaPolicy. Edite o modelo dearquivo de resposta para especificar os valores que você requer. Para obter maisinformações sobre o parâmetro fileId, consulte “comando manageRbaPolicy” napágina 82.

O exemplo de arquivo de resposta a seguir mostra como criar uma políticadenominada rbapolicy e especificar propriedades de política como policyId epolicyFile:<?xml version="1.0" encoding="UTF-8"?><java version="1.5.0" class="java.beans.XMLDecoder"><object class="java.util.ArrayList"><void method="add"><object class="com.tivoli.am.rba.cli.CLIPolicyParameters"><void property="policyId"><string>rbapolicy</string></void><void property="policyFile"><string>/tmp/policy001.xml</string></void></object></void></object></java>

comando manageRbaRiskProfileUse o comando manageRbaRiskProfile para gerenciar e configurar pesos para osatributos de risco. O cálculo da pontuação de risco é baseado nos pesos que vocêespecifica para os atributos.

Propósito

Use o comando manageRbaRiskProfile para criar, atualizar, excluir e procuraratributos.

Para obter uma lista de todos os atributos de acesso baseado em risco, consulte“Atributos para Políticas e Perfis de Risco” na página 97.

Sintaxe$AdminTask manageRbaRiskProfile {-operation operator [-attributeId unique_ID]

[-weight weight] [-device true|false] [-session true|false][-behavior true|false] [-fileId response_file_path]}

Parâmetros

Use os parâmetros a seguir com o comando manageRbaRiskProfile:

-operation operatorEspecifica a operação para o atributo. Esse parâmetro é obrigatório.

Os valores válidos são create, update, delete, search e createResponseFile.


Nota: Ocorrerá um erro se você tentar excluir um atributo que estáarmazenado no banco de dados como parte de uma impressão digital dodispositivo registrado. Uma impressão digital do dispositivo consiste em umID do usuário e um conjunto de pares chave-valor de atributos que identificamum usuário particular. Você pode excluir apenas os atributos que não sãoregistrados como parte de qualquer impressão digital do dispositivo no bancode dados.

Tabela 10. Parâmetros Obrigatórios e Opcionais para Operadores do ComandomanageRbaRiskProfile


criar Cria um atributo eespecifica seu peso.

-attributeId,-weight

-fileId, -device,-session, -behavior

update Atualiza um atributoexistente.

-attributeId,-weight

-fileId, -device,-session, -behavior

delete Exclui um atributo. -attributeId -fileId

search Procura um atributoespecífico ou listatodos os atributos.

Nenhum -attributeId,-fileId

createResponseFile Cria um modelo dearquivo de respostaou usa um arquivode resposta paraexecutar operaçõesem lote.

-fileId Nenhum

-attributeId unique_IDUm valor alfanumérico que é o ID exclusivo do atributo.

Se você não especificar o ID do atributo para uma operação search, a procuraserá feita em todos os atributos.

-weight weightUm valor numérico que é o peso do atributo.

O acesso baseado em risco usa o peso para calcular a pontuação de risco.

-device true|falseIndica se o atributo deve ser armazenado como parte da impressão digital dodispositivo.

O valor padrão deste parâmetro é true.

-session true|falseIndica se o atributo deve ser armazenado como um atributo de sessão.

O valor padrão deste parâmetro é true.

-behavior true|falseIndica se o atributo deve ser armazenado como um atributo de comportamentona área de armazenamento histórico.

O valor padrão deste parâmetro é false.

-fileId response_file_pathO caminho do arquivo de resposta de entrada ou de saída:v Para sair de um modelo de arquivo de resposta XML para o comando

manageRbaRiskProfile, use o operador createResponseFile com o parâmetrofileId.


v Para entrar em um arquivo de resposta XML para configurar atributos, useos operadores create, update, delete ou search com o parâmetro fileId. Oarquivo de resposta especificado deve conter as informações que você,geralmente, especificaria na linha de comandos. Edite o arquivo de respostaXML com um editor de texto para especificar os valores que você requer.Para obter informações adicionais, consulte “Exemplo de Arquivo deResposta para o Comando manageRbaRiskProfile” na página 88.

Nota: Use o parâmetro fileId apenas com o parâmetro operator. Qualqueroutro parâmetro que você especificar será ignorado.

Exemplos

Os exemplos a seguir mostram a sintaxe correta para várias operações do comandomanageRbaRiskProfile:

Criar um atributo:

v Utilizando Jacl:$AdminTask manageRbaRiskProfile {-operation create -attributeId browser

-weight 75}

v Utilizando a cadeia Jython:$AdminTask manageRbaRiskProfile(’[-operation create -attributeId browser

-weight 75]’)

v Utilizando a lista Jython:$AdminTask manageRbaRiskProfile([’-operation’, ’create’, ’-attributeId’, ’browser’,

’-weight’, ’75’])

Procurar um atributo específico:

v Utilizando Jacl:$AdminTask manageRbaRiskProfile {-operation search -attributeId browser}

v Utilizando a cadeia Jython:$AdminTask manageRbaRiskProfile(’[-operation search -attributeId browser]’)

v Utilizando a lista Jython:$AdminTask manageRbaRiskProfile([’-operation’, ’search’, ’-attributeId’, ’browser’])

Listar todos os atributos:

v Utilizando Jacl:$AdminTask manageRbaRiskProfile {-operation search}

v Utilizando a cadeia Jython:$AdminTask manageRbaRiskProfile(’[-operation search]’)

v Utilizando a lista Jython:$AdminTask manageRbaRiskProfile([’-operation’, ’search’])

Modificar o peso de um atributo existente:

v Utilizando Jacl:$AdminTask manageRbaRiskProfile {-operation update -attributeId browser

-weight 25}

v Utilizando a cadeia Jython:$AdminTask manageRbaRiskProfile(’[-operation update -attributeId browser

-weight 25]’)

v Utilizando a lista Jython:$AdminTask manageRbaRiskProfile([’-operation’, ’update’, ’-attributeId’, ’browser’,

’-weight’, ’25’])

Excluir um atributo:

v Utilizando Jacl:


$AdminTask manageRbaRiskProfile {-operation delete -attributeId browser}

v Utilizando a cadeia Jython:$AdminTask manageRbaRiskProfile(’[-operation delete -attributeId browser]’)

v Utilizando a lista Jython:$AdminTask manageRbaRiskProfile([’-operation’, ’delete’, ’-attributeId’, ’browser’])


v Utilizando Jacl:$AdminTask manageRbaRiskProfile {-operation createResponseFile -fileId /tmp/resp.xml}

v Utilizando a cadeia Jython:$AdminTask manageRbaRiskProfile(’[-operation createResponseFile

-fileId /tmp/resp.xml]’)

v Utilizando a lista Jython:$AdminTask manageRbaRiskProfile([’-operation’, ’createResponseFile’,


Criar vários atributos com um arquivo de resposta como entrada:

v Utilizando Jacl:$AdminTask manageRbaRiskProfile {-operation create -fileId /tmp/resp.xml}

v Utilizando a cadeia Jython:$AdminTask manageRbaRiskProfile(’[-operation create -fileId /tmp/resp.xml]’)

v Utilizando a lista Jython:$AdminTask manageRbaRiskProfile([’-operation’, ’create’, ’-fileId’, ’/tmp/resp.xml’])

Nota: Depois de usar o comando manageRbaRiskProfile para alterar os atributos,você deve reiniciar o comando manageRbaConfiguration com a opção reload paraque as mudanças entrem em vigor.

Exemplo de Arquivo de Resposta para o ComandomanageRbaRiskProfileUse um arquivo de resposta para executar operações em lote para o comandomanageRbaRiskProfile. O arquivo de resposta contém informações que vocênormalmente especificaria na linha de comandos. Usar um arquivo de respostaajuda a automatizar o processo de configuração.

Para criar um modelo de arquivo de resposta, use o parâmetro fileId com ooperador createResponseFile do comando manageRbaRiskProfile. Edite o modelode arquivo de resposta para especificar os valores que você requer. Para obter maisinformações sobre o parâmetro fileId, consulte “comando manageRbaRiskProfile”na página 85.

O exemplo de arquivo de resposta a seguir mostra como criar um atributochamado browser e especificar seu peso:<?xml version="1.0" encoding="UTF-8"?><java version="1.5.0" class="java.beans.XMLDecoder"><object class="java.util.ArrayList"><void method="add"><object class="com.tivoli.am.rba.cli.CLIConfigParameters"><void property="attrId"><string>browser</string></void><void property="weight"><string>80</string></void></object></void></object></java>


Comando manageRbaSessionsUse o comando manageRbaSessions para gerenciar os atributos de sessão que oserviço de coleta de atributos coleta. Os atributos de sessão do usuário sãoarmazenados temporariamente até a sessão atingir o tempo limite. No entanto, se odispositivo for registrado, os atributos de sessão também serão armazenados comoparte da impressão digital do dispositivo.

Propósito

Use o comando manageRbaSessions para listar, procurar ou excluir atributos desessão.

Sintaxe$AdminTask manageRbaSessions {-operation operator [-userId unique_user_ID]}

Parâmetros

Use os parâmetros a seguir com o comando manageRbaSessions:

-operation operatorEspecifica a operação para os atributos de sessão. Esse parâmetro é obrigatório.

Os valores válidos são search e delete.

Tabela 11. Parâmetros Obrigatórios e Opcionais para Operadores do ComandomanageRbaSessions

Operador Parâmetros Necessários Parâmetros opcionais

search Lista todos os atributos desessão ou procura osatributos de sessão de umusuário especificado.

-userId

delete Exclui os atributos de sessãode um usuário especificadoou todos os atributos desessão do banco de dados.

-userId

-userId unique_user_IDO ID exclusivo do usuário.

Exemplos

Os exemplos a seguir mostram a sintaxe correta para várias operações do comandomanageRbaSessions:

Listar todos os atributos de sessão:

v Utilizando Jacl:$AdminTask manageRbaSessions {-operation search}

v Utilizando a cadeia Jython:$AdminTask manageRbaSessions(’[-operation search]’)

v Utilizando a lista Jython:$AdminTask manageRbaSessions([’-operation’, ’search’])

Procurar os atributos de sessão de um usuário especificado:

v Utilizando Jacl:$AdminTask manageRbaSessions {-operation search -userId myname}


v Utilizando a cadeia Jython:$AdminTask manageRbaSessions(’[-operation search -userId myname]’)

v Utilizando a lista Jython:$AdminTask manageRbaSessions([’-operation’, ’search’, ’-userId’, ’myname’])

Excluir todos os atributos de sessão:

v Utilizando Jacl:$AdminTask manageRbaSessions {-operation delete}

v Utilizando a cadeia Jython:$AdminTask manageRbaSessions(’[-operation delete]’)

v Utilizando a lista Jython:$AdminTask manageRbaSessions([’-operation’, ’delete’])

Excluir os atributos de sessão de um usuário especificado:

v Utilizando Jacl:$AdminTask manageRbaSessions {-operation delete -userId myname}

v Utilizando a cadeia Jython:$AdminTask manageRbaSessions(’[-operation delete -userId myname]’)

v Utilizando a lista Jython:$AdminTask manageRbaSessions([’-operation’, ’delete’, ’-userId’, ’myname’])

Propriedades de ConfiguraçãoEspecificar propriedades para configurar vários componentes de acesso baseadoem risco, como o banco de dados, serviço de coleta de atributos, serviço desegurança de tempo de execução e correspondentes de atributos.

Você pode usar o “comando manageRbaConfiguration” na página 73 para criar econfigurar as seguintes propriedades de acesso baseado em risco.

Importante: Depois de usar o comando manageRbaConfiguration para alterarpropriedades de configuração, você deve reiniciar o WebSphere Application Serverpara que as mudanças entrem em vigor.

Nota: Se você configurar uma propriedade com um nome que termine compassword ou pwd, o valor da propriedade será ofuscado quando ela for armazenadano banco de dados.

Propriedades para o Serviço de Coleta de Atributos

ac.uuidO nome do cookie que armazena o ID de correlação.

O ID de correlação é um UUID que é armazenado em um cookie, que é usadopelo serviço de coleta de atributos. Este cookie contém os dados da sessão dousuário. Os dados da sessão podem ser capturados mesmo antes de o usuáriopassar o primeiro nível de autenticação. Como os dados da sessão não podemser sempre armazenados, o cookie armazena os dados da sessão.

O valor padrão é ac.uuid.

ac.request.serverO servidor do qual as solicitações são recebidas.

O valor é o nome do host do servidor no qual o arquivo info.js estálocalizado. O arquivo info.js é o arquivo JavaScript do serviço de coleta deatributos que é servido para o navegador do usuário.


O valor padrão é rbademo.ibm.com.

ac.service.locationO local do serviço de coleta de atributos.

O valor é a URL base do serviço de coleta de atributos do IBM TivoliFederated Identity Manager. Ele hospeda o serviço de coleta de atributos e oJavaScript de suporte e o arquivo SWF para capturar atributos.

O valor padrão é http://rbademo.ibm.com/FIM/sps/ac/.

session.timeoutUm valor numérico que representa o número de segundos antes de uma sessãode acesso baseado em risco expirar automaticamente, a menos que a sessãoseja atualizada. Se qualquer atributo na sessão for atualizado, o tempo deexpiração para a sessão será estendido pelo número de segundos especificadonesta propriedade.


ac.get.attributes.enabledUma propriedade booleana que indica se o acesso ao método GET do serviçoRepresentational State Transfer (REST) é permitido.


ac.get.attributes.allowed.clientsUma lista separada por vírgula de endereços IP ou nomes do host que podemacessar o método GET do serviço REST.

Se esta propriedade não estiver configurada e a propriedadeac.get.attributes.enabled estiver configurada como true, qualquer pessoapoderá acessar o método GET.

Se esta propriedade estiver configurada, mas a propriedadeac.get.attributes.enabled estiver configurada como false, esta propriedadeserá ignorada.

Propriedades para Armazenamento de Valor de Atributo

attributes.hash.algorithmDetermina o algoritmo que é usado para hash dos atributos.

Por exemplo: SHA256

attributes.hash.enabledUma lista separada por vírgula de valores que devem ser colocados em hash.

Propriedades para Auditoria

com.tivoli.am.rba.audit.file.nameEspecifica como os arquivos de log de auditoria são nomeados.

O prefixo padrão do nome do arquivo de log é rba_audit_log.

com.tivoli.am.rba.audit.enableAuditingIndica se a auditoria está ativada ou desativada.

O valor-padrão é true.

com.tivoli.am.rba.audit.file.locationO local do arquivo de log de auditoria.

O local padrão é o diretório /rba_audit no diretório logs padrão doWebSphere Application Server.


O local que você especifica para a propriedadecom.tivoli.am.rba.audit.file.location é relativo ao diretório logs padrãopara o WebSphere Application Server.

Por exemplo, em um sistema Windows, se você especificar o valor como rba,os arquivos de log serão armazenados no diretório C:\ProgramFiles\IBM\WebSphere\AppServer\profiles\profile_name\logs\rba.

com.tivoli.am.rba.audit.file.sizeUm valor numérico que especifica o tamanho máximo do arquivo de auditoriaem megabytes (MB).


com.tivoli.am.rba.audit.number.of.filesUm valor numérico que especifica o número máximo de arquivos de auditoriaque são criados antes do arquivo mais antigo ser sobrescrito.


Propriedades para Configuração do Banco de Dados

dbdatasourceO nome da origem de dados JNDI para acesso ao banco de dados, que éconfigurado no WebSphere Application Server.

O valor padrão é jdbc/rba. Use esta propriedade para especificar outro nomeJNDI apenas se houver um problema com o valor padrão.

dbpasswordUma propriedade especial para que os usuários possam configurar a senha dobanco de dados. Esta propriedade funcionará apenas se você estiver usando obanco de dados solidDB integrado; caso contrário, ela será ignorada.

Propriedades para Registro de Dispositivo

subject.id.attribute.nameO nome do atributo na seção de assunto da solicitação recebida do EAS, quefornece o ID do usuário para o acesso baseado em risco.

Quando um dispositivo é registrado, o atributo fornece o ID do usuário queestá com login efetuado.

O valor padrão é AZN_CRED_PRINCIPAL_NAME.

max.no.of.registered.devicesUm valor numérico que especifica o número máximo de impressões digitais dedispositivo que podem ser registradas para um usuário.


Os valores válidos são 1 a 20. Valores que excedem esse padrão de intervaloaté 20.

Propriedades para a Interface de Autenticação Externa (EAI) e oRegistro Baseado em Consentimento

O acesso baseado em risco fornece uma implementação EAI pronta para utilizaçãoque suporta o registro baseado em consentimento. As propriedades a seguiraplicam-se principalmente à função de registro baseado em consentimento.

eai.header.auth.levelO cabeçalho EAI para nível de autenticação.


Este valor deve corresponder ao valor da propriedade de configuração EAI doWebSEAL correspondente.

Por exemplo: am-eai-auth-level.

eai.header.user.idO cabeçalho EAI para ID do usuário.

Este valor deve corresponder ao valor da propriedade de configuração EAI doWebSEAL correspondente.

Por exemplo: am-eai-user-id.

user.consent.attribute.idO ID do atributo de sessão que indica a decisão de consentimento do usuáriopara registro do dispositivo.

O valor padrão é http://security.ibm.com/attributes/environment/userConsent.

device.nameO nome do dispositivo como especificado pelo usuário.

Este valor é capturado como parte do registro do dispositivo baseado emconsentimento.

O valor padrão é device.name.

consent.application.attribute.idO aplicativo que captura o consentimento do usuário.

O valor padrão é http://security.ibm.com/attributes/environment/consentApplication.

Propriedades para Log e Relatório

db.logging.enabledIndica se a criação de log de baixa granularidade está ativada para instruçõesSQL do banco de dados que são disparadas pelo acesso baseado em risco.


generate.risk.calculation.reportsIndica se relatórios de cálculo de risco devem ser gerados.


Se o valor for true, os relatórios serão armazenados no diretório temporário doWebSphere Application Server Java Virtual Machine (JVM) em uma pastadenominada rba. O valor da propriedade de sistema java.io.tmpdir indica ocaminho do diretório temporário da JVM. Por exemplo, nos sistemas AIX ouLinux, os arquivos podem ser armazenados no diretório /tmp/rba.

Propriedades para Correspondentes

As seções a seguir listam as propriedades de configuração que são requeridas paraos vários correspondentes prontos para uso e o correspondente JavaScript paragravar correspondentes customizados.

Propriedades para Correspondente de Endereço IP

O correspondente de endereço IP processa o atributo ipaddress.


ip.whitelistUma lista de endereços IP separados por vírgula ou sub-redes que você desejapermitir. Inclua X.X.X.X como um valor para -propertyValue para comparar oendereço IP recebido com o endereço IP com o qual o dispositivo é registrado.

ip.whitelist.netmaskUma lista separada por vírgula de máscaras de rede para os endereços IP quesão listados na propriedade ip.whitelist.

A lista de máscaras de rede deve ser especificada na mesma ordem que a listade endereços IP na propriedade ip.whitelist. O número total de máscaras derede deve corresponder exatamente ao número total de endereços IP.

ip.blacklistUma lista separada por vírgula de endereços IP que não devem ser permitidos.

ip.blacklist.netmaskUma lista separada por vírgula de máscaras de rede para os endereços IP quesão listados na propriedade ip.blacklist.

A lista de máscaras de rede deve ser especificada na mesma ordem que a listade endereços IP na propriedade ip.blacklist. O número total de máscaras derede deve corresponder exatamente ao número total de endereços IP.

Propriedades para o Correspondente de Local

O atributo de correspondente de local processa os atributos de longitude, latitude,exatidão e altitude.

location.comparisonIndica como você deseja que o correspondente de atributo calcule o intervalode exatidão das coordenadas de local.

Os valores válidos são closest, midpoint e farthest.

O valor padrão é midpoint.

location.allowable.distanceA distância máxima entre o novo local e os locais históricos.

A unidade do valor numérico é quilômetros.


Propriedades para o Correspondente de Tempo de Login

O correspondente de tempo de login é um correspondente baseado emcomportamento que usa tempos de acesso históricos para determinar aprobabilidade de um usuário fraudulento. Os tempos de acesso são registrados nobanco de dados de acesso baseado em risco.

login.time.probability.thresholdRepresenta a probabilidade de que um usuário pode efetuar login em umdeterminado momento.

Os valores válidos são 0 a 1 de tipo de dados duplo.

O valor padrão é .3.

Propriedades para o Correspondente JavaScript

O correspondente JavaScript processa todos os atributos que são identificados pelovalor da propriedade javascript.attributes.


javascript.attributesUma lista separada por vírgula de atributos JavaScript que são processadospelo correspondente de atributos JavaScript.

Por exemplo: userLanguage,fonts,screenHeight,plugins,userAgent.

Propriedades para Correspondentes de Comportamento

min.usage.history.requiredEsta propriedade controla a quantidade de registros de dados de uso que deveser considerada como suficiente para correspondentes de comportamento,como o correspondente de tempo de login.

O valor padrão é 8. Quando menos de oito logins forem detectados nos dadosde uso, o correspondente de tempo de login retornará um resultadoINDETERMINATE, o que significa que seu peso é considerado como zero.

usage.data.cap.per.userO número máximo de registros de dados de uso que o sistema podearmazenar para cada usuário.


Propriedades para Ofuscação de Senha

Algumas propriedades de configuração de tempo de execução sãoautomaticamente ofuscadas pelo acesso baseado em risco. Por exemplo, se vocêconfigurar uma propriedade com um nome que termina com assword ou pwd, ovalor da propriedade será ofuscado por padrão quando for armazenado no bancode dados.

obfuscator.defaultIdentifica a propriedade que especifica o nome da classe do ofuscador padrão.

Por exemplo: Password.ClassName.MyObfuscator.

Se o valor desta propriedade não for especificado, o ofuscador padrão que éfornecido com o acesso baseado em risco será usado.

obfuscator.filenameO nome do arquivo Java archive (JAR) que contém uma ou mais classes doofuscador.

Se este arquivo não for localizado no diretório lib do WebSphere ApplicationServer, serão carregados ofuscadores customizados. Os ofuscadorescustomizados são identificados por propriedades com nomes que seassemelham a obfuscator.classname.*. Um máximo de 10 propriedades podeser configurado para especificar vários ofuscadores de senha que o acessobaseado em risco pode usar.

Por exemplo:obfuscator.classname.MyObfuscator=com.xyz.MyObfuscatorobfuscator.classname.1=com.xyz.PasswordObfuscator1obfuscator.classname.2=com.xyz.PasswordObfuscator2obfuscator.classname.3=com.xyz.PasswordObfuscator3

Propriedades para Pontos de Informações de Política (PIPs)

pip.attributes.user.fingerprint.countArmazena o ID do atributo da contagem de dispositivo que é calculada peloacesso baseado em risco UserFingerprintCountPIP. Este PIP calcula a contagem


dos dispositivos que são registrados para um ID do usuário específico nobanco de dados de acesso baseado em risco.

O valor padrão é http://security.ibm.com/attributes/subject/registeredDeviceCount.

pip.attributes.risk.scoreArmazena o ID do atributo da pontuação de risco que é calculada pelo acessobaseado em risco RiskCalculatorPIP, que calcula o risco associado a umasolicitação recebida.

O valor padrão é http://security.ibm.com/attributes/resource/riskScore.

Propriedades para o Serviço de Segurança de Tempo deExecução

rtss.admin.ws.hostO nome do host no qual o serviço de segurança de tempo de execução estálocalizado.

Por exemplo: rbademo.ibm.com.

rtss.admin.portO número da porta de administração do serviço de segurança de tempo deexecução.

rtss.admin.wssecurity.enabledIndica se a segurança está ativada para o serviço de segurança de tempo deexecução.

rtss.admin.keystore.aliasO alias do keystore do serviço de segurança de tempo de execução.

rtss.admin.keystore.fileO nome do arquivo do keystore do serviço de segurança de tempo deexecução.

rtss.admin.keystore.file.pwdA senha para o arquivo keystore do serviço de segurança de tempo deexecução.

rtss.admin.keystore.key.pwdA senha para a chave de serviço de segurança de tempo de execução nokeystore.

rtss.admin.keystore.typeO tipo do keystore que é usado pelo servidor de serviço de segurança detempo de execução.

rtss.admin.truststore.fileO local do arquivo de armazenamento confiável para o servidor de serviço desegurança de tempo de execução.

rtss.admin.truststore.file.pwdA senha para o armazenamento confiável para o servidor de serviço desegurança de tempo de execução.

rtss.admin.truststore.file.typeO tipo do armazenamento confiável.

rtss.admin.basic.authn.usernameO nome de usuário para acessar o servidor de serviço de segurança de tempode execução com autenticação básica.


rtss.admin.basic.authn.pwdA senha para acessar o servidor de serviço de segurança de tempo de execuçãocom autenticação básica.

policy.service.nameO nome do serviço de política no serviço de segurança de tempo de execução.

Por exemplo: webseald-localhost-default.

O nome do serviço deve corresponder ao ID de contexto de nível superior detodas as políticas de acesso baseado em risco. Todas as solicitações recebidasdo serviço de autorização externa (EAS) dos serviços de segurança de tempode execução no WebSEAL contêm o nome da instância do servidor WebSEALcomo o ID de contexto. Você pode customizar o nome do serviço no arquivode configuração do WebSEAL. Se este valor não corresponder ao ID decontexto vindo do EAS, as políticas não serão aplicadas às solicitaçõesrecebidas do EAS.

Atributos para Políticas e Perfis de RiscoO acesso baseado em risco armazena dados relacionados ao usuário e aodispositivo na forma de atributos. Esses atributos são usados para calcular o risco.Use os atributos a seguir para criar ou customizar políticas e provedores deinformações de política (PIPs):

As tabelas a seguir mostram todos os atributos para políticas e perfis de risco:v Atributos de credencial de autorizaçãov Atributos da impressão digital do dispositivov Atributos de pontuação de riscov Atributos de auditoria de serviços de segurança de tempo de execuçãov Atributos de sessãov Atributos de metadados do usuário

Tabela 12. Uso e Características dos Atributos de Política e de Contexto: Credencial de Autorização.

Contém informações sobre a identidade e o recurso de autorização do assunto da credencial.

Armazenado na credencial de autorização do usuário.

Atributos CategoriaTipo dedados Descrição

AUTHENTICATION_LEVEL Assunto Sequência Nível de autenticação de um usuário.

AZN_CRED_AUTHNMECH_INFO Assunto Sequência Mecanismo de autenticação.

AZN_CRED_AUTHZN_ID Assunto Sequência Nome de registro do usuário.

AZN_CRED_AUTH_METHOD Assunto Sequência Método de autenticação usado. Por exemplo: senha.

AZN_CRED_BROWSER_INFO Assunto Sequência Agente do usuário.

AZN_CRED_GROUPS Assunto Sequência Grupos dos quais o usuário é membro.

AZN_CRED_GROUP_REGISTRY_IDS Assunto Sequência IDs de registro dos grupos dos quais o usuário é membro.

AZN_CRED_GROUP_UUIDS Assunto Sequência UUID (Universally Unique Identifer) dos grupos dos quais ousuário é membro.

AZN_CRED_IP_FAMILY Assunto Sequência Família IP.

AZN_CRED_MECH_ID Assunto Sequência ID do mecanismo.

AZN_CRED_NETWORK_ADDRESS_BIN Assunto Sequência Representação binária do IP.

AZN_CRED_NETWORK_ADDRESS_STR Assunto Sequência Representação em sequência do IP

AZN_CRED_PRINCIPAL_DOMAIN Assunto Sequência Domínio no qual o usuário é autenticado.


Tabela 12. Uso e Características dos Atributos de Política e de Contexto: Credencial de Autorização (continuação).

Contém informações sobre a identidade e o recurso de autorização do assunto da credencial.

Armazenado na credencial de autorização do usuário.


AZN_CRED_PRINCIPAL_NAME Assunto Sequência Nome de usuário.

AZN_CRED_PRINCIPAL_UUID Assunto Sequência UUID do usuário.

AZN_CRED_QOP_INFO Assunto Sequência Informações sobre a qualidade de proteção.

AZN_CRED_REGISTRY_ID Assunto Sequência ID do usuário no registro.

AZN_CRED_USER_INFO Assunto Sequência Informações extras sobre o usuário. Por exemplo: nome.

AZN_CRED_VERSION Assunto Sequência Versão da credencial.

tagvalue_login_user_name Assunto Sequência Atributo de credencial que registra o nome de usuário.

Por exemplo: sec_master.

tagvalue_session_index Assunto Sequência Índice de sessão na credencial do usuário.

tagvalue_user_session_id Assunto Sequência Nome e valor do ID de sessão do usuário na credencial do usuário.

urn:oasis:names:tc:xacml:1.0:subject:group-id

Assunto SequênciaouX500Name

Grupos dos quais o usuário faz parte.

Por exemplo:cn=SecurityGroup,1.3.6.1.4.1.4228.1.3=Default1,dc=ibm,dc=com

urn:oasis:names:tc:xacml:1.0:subject:subject-id

Assunto SequênciaouX500Name

Identidade do solicitante.

Por exemplo:cn=SecurityMaster,secAuthority=Default1,dc=ibm,dc=com

Tabela 13. Uso e características dos atributos de política e de contexto: impressão digital do dispositivo.

Recuperado de cabeçalhos HTTP padrão.

Configure os atributos que você deseja recuperar na sub-rotina [azn-decision-info] do arquivo de configuração doWebSEAL.

Os atributos configurados são fornecidos quando uma solicitação de acesso é roteada do serviço de autorizaçãoexterna (EAS) para o serviço de segurança de tempo de execução. Para obter mais informações, consulte Serviçode autorização externa dos serviços de segurança de tempo de execução.


header:Accept Ambiente Sequência Tipos de conteúdos que são aceitáveis.

header:Accept-Charset Ambiente Sequência Conjuntos de caracteres que são aceitáveis.

header:Accept-Encoding Ambiente Sequência Tipos de codificações que são aceitáveis.

header:Accept-Language Ambiente Sequência Idiomas que são aceitáveis.

header:Authorization Ambiente Sequência Credenciais de autenticação.

header:Cache-Control Ambiente Sequência Usado para especificar as diretrizes que devem ser obedecidaspor todos os mecanismos de armazenamento em cache aolongo da cadeia de solicitações e da cadeia de respostas.

header:Connection Ambiente Sequência Tipo de conexão que o agente do usuário prefere.

header:Content-Type Ambiente Sequência Tipo MIME do corpo da solicitação.

header:Host Ambiente Sequência Host solicitado.

header:Pragma Ambiente Sequência Cabeçalhos específicos de implementação que podem ter váriosefeitos em qualquer lugar ao longo da cadeia desolicitação-resposta.

header:rspcode Ambiente Sequência Código de resposta.


Tabela 13. Uso e características dos atributos de política e de contexto: impressão digital dodispositivo (continuação).

Recuperado de cabeçalhos HTTP padrão.

Configure os atributos que você deseja recuperar na sub-rotina [azn-decision-info] do arquivo de configuração doWebSEAL.

Os atributos configurados são fornecidos quando uma solicitação de acesso é roteada do serviço de autorizaçãoexterna (EAS) para o serviço de segurança de tempo de execução. Para obter mais informações, consulte Serviçode autorização externa dos serviços de segurança de tempo de execução.


header:Transfer-Encoding Ambiente Sequência Tipo de codificação da resposta.

header:User-Agent Ambiente Sequência Sequência que dá a você informações sobre o ambiente do qualvocê acessa o recurso. Por exemplo: informações do navegadorou informações da versão.

header:X-Requested-With Ambiente Sequência Identifica solicitações Ajax.

method Ambiente Sequência Tipo de solicitação feita. Por exemplo: GET ou POST.

scheme Ambiente Sequência Tipo de protocolo que a solicitação está usando. Por exemplo:HTTP ou HTTPS.

uri Ambiente Sequência Recurso solicitado. A sequência de consultas é incluída com aURI.

Tabela 14. Uso e características dos atributos de política e de contexto: pontuação de risco. Contém a pontuação derisco calculada.

Atributos Categoria Tipo de dados Descrição

http://security.ibm.com/attributes/resource/riskScore Recurso Número inteiro Pontuação de riscocalculada.

Tabela 15. Uso e Características dos Atributos de Política e de Contexto: Auditoria de Serviços de Segurança deTempo de Execução.

Usado pelo ponto de decisão de política (PDP) dos serviços de segurança de tempo de execução.

Não usado para políticas de criação.


urn:oasis:names:tc:xacml:1.0:action:action-id Ação Sequência Ação que é executada no recurso.Por exemplo: read.

urn:oasis:names:tc:xacml:1.0:environment:current-date Ambiente Data Data da solicitação.

urn:oasis:names:tc:xacml:1.0:environment:current-time Ambiente Horário Horário da solicitação.

urn:oasis:names:tc:xacml:1.0:resource:resource-id Recurso Sequência ID do recurso que é acessado.

urn:oasis:names:tc:xacml:1.0:subject:subject-id Assunto Sequência Assunto que acessa o recurso.


Tabela 16. Uso e características dos atributos de política e de contexto: sessão. Usa as funções que são fornecidasno arquivo info.js para coletar atributos da sessão. Conclua as seguintes etapas para empregar:

1. Integre o código JavaScript que chama as funções no arquivo info.js na página de entrada de seu aplicativo.

2. Use o comando manageRbaRiskProfile para configurar atributos e seus pesos para o cálculo da pontuação derisco.


accessTime Ambiente Sequência Horário que é feita uma solicitação.

accuracy Ambiente Sequência Raio ao redor da latitude e da longitude que contém alocalização real do dispositivo em metros.

altitude Ambiente Sequência Altitude do dispositivo.

availableHeight Ambiente Sequência Indica a altura da tela do dispositivo solicitante sem a barra deferramentas do Windows.

availableWidth Ambiente Sequência Indica a largura da tela do dispositivo solicitante sem a barrade ferramentas do Windows.

colorDepth Ambiente Sequência Indica a intensidade de bits da paleta de cores do dispositivo.

fonts Ambiente Sequência Determina todas as fontes instaladas no navegador.

ipaddress Ambiente Sequência Contém o endereço IP da solicitação recebida.

language Ambiente Sequência Determina o idioma que o dispositivo está usando.

latitude Ambiente Sequência Latitude do dispositivo baseada no padrão de localizaçãogeográfica w3c.

longitude Ambiente Sequência Longitude do dispositivo baseada no padrão de localizaçãogeográfica w3c.

platform Ambiente Sequência Determina o sistema operacional (S.O.) que o dispositivo estáexecutando.

plugins Ambiente Sequência Todos os plug-ins instalados no navegador.

screenHeight Ambiente Sequência Indica a altura da tela do dispositivo solicitante.

screenWidth Ambiente Sequência Indica a largura da tela do dispositivo solicitante.

urn:oasis:names:tc:xacml:1.0:action:action-id

Ação Sequência Ação que deve ser executada no recurso.

Geralmente, a ação é um método de HTTP, como GET, POSTou OPTIONS.

urn:oasis:names:tc:xacml:1.0:resource:resource-id

Recurso Sequência URI do recurso no qual a ação deve ser executada.

Não inclui a sequência de consultas.

Geralmente, o mesmo que o atributo uri.

userAgent Ambiente Sequência Indica o agente do usuário.

Tabela 17. Uso e características dos atributos de política e de contexto: metadados do usuário. Contém informaçõessobre os atributos registrados.


http://security.ibm.com/attributes/subject/registeredDeviceCount Assunto Númerointeiro

Número de dispositivos dousuário registrado.


Capítulo 8. Referência de Mensagem de Erro

As mensagens indicam eventos que ocorrem durante a operação do sistema.Dependendo de sua finalidade, as mensagens podem ser exibidas na tela. Porpadrão, todas as mensagens informativas, de aviso e de erro são gravadas nos logsde mensagens. Você pode revisar os logs posteriormente para determinar quaiseventos ocorreram, ver quais ações corretivas foram executadas e auditar as açõesexecutadas.

São usados os seguintes tipos de mensagens:

Mensagens informativasIndicam condições que valem a pena, mas que não requerem que vocêtome nenhuma precaução ou ação.

Mensagens de avisoIndicam que uma condição foi detectada, sobre a qual você deve estarciente, mas não requer necessariamente nenhuma ação.

Mensagens de erroIndicam que ocorreu uma condição, que requer sua ação.

Use a explicação das mensagens de erro para resolver problemas que podemocorrer.

DPWBA0300W Ocorreu um erro geral: mensagem deexceção.

Explicação: Ocorreu um erro ao tentar processar asolicitação de decisão de autorização. Os logs WebSEALpodem conter mais informações.

Resposta do administrador: Verifique os logsWebSEAL para obter mais detalhes.

DPWBA0303E Uma entrada de configuraçãorequerida, nome da entrada, na sub-rotinanome da sub-rotina está ausente noarquivo de configuração.

Explicação: Consulte a mensagem.

Resposta do administrador: Inclua a entrada ausenteespecificada no arquivo de configuração.

DPWBA0304E Não é possível determinar se apolítica do IBM Tivoli Access Managerprecisa ser aplicada: código de erro.

Explicação: Ocorreu um erro ao analisar o valor dapolítica do IBM Tivoli Access Manager como Booleano.Os logs de rastreio WebSEAL podem conter maisdetalhes.

Resposta do administrador: Certifique-se de que ovalor de configuração para configurar a política do IBMTivoli Access Manager esteja configurado como true oufalse.

DPWBA0305E Falha na inicialização do gerenciadordo cluster: código de erro.

Explicação: Este erro pode ser devido a uma entradade configuração ausente para a definição de cluster deserviços de segurança de tempo de execução.

Resposta do administrador: Verifique se todas asentradas de configuração estão presentes e têm valorescorretos.

DPWBA0306E Falha ao incluir o cluster nogerenciador do cluster: código de erro.

Explicação: Este erro pode ser devido a uma entradade configuração ausente para a definição de cluster deserviços de segurança de tempo de execução.

Resposta do administrador: Verifique se todas asentradas de configuração estão presentes e têm valorescorretos.

DPWBA0307W A sub-rotina nome da sub-rotina noarquivo nome do arquivo não foilocalizada.

Explicação: Ocorreu um erro ao procurar a sub-rotinaespecificada no arquivo.

Resposta do administrador: Certifique-se de que asub-rotina especificada esteja presente.


DPWBA0308W O nome da chave de cabeçalho estáausente para a chave app_context_data:chave.

Explicação: Um nome da chave de cabeçalho (oscustomizados especificados no LHS pelos usuários) estáausente no arquivo de configuração, mas está presenteem uma estrutura do IBM Tivoli Access Manager.

Resposta do administrador: Verifique os logsWebSEAL para obter mais detalhes.

DPWBA0309W O nível de autenticação está ausentepara a obrigação: obrigação.

Explicação: Uma entrada está ausente na sub-rotina[obligations-levels-mapping] no WebSEAL.

Resposta do administrador: Inclua a entrada ausenteque mapeia a obrigação para seu nível de autenticaçãoe reinicie o WebSEAL.

DPWBA0310W Ocorreu um erro ao tentar recuperaro ID de obrigação da resposta deserviços de segurança do tempo deexecução.

Explicação: O ID de obrigação enviado pelos serviçosde segurança do tempo de execução não pôde seranalisado com êxito. O erro é devido a um problemacom o servidor de serviços de segurança do tempo deexecução ou com o serviço de autorização externa(EAS) dos serviços de segurança do tempo de execução.

Resposta do administrador: Se o problema persistir,entre em contato com o suporte da IBM.

DPWBA0311W Não é possível entrar em contatocom os serviços de segurança do tempode execução.

Explicação: Não é possível fazer uma chamada SOAPpara o serviço de segurança do tempo de execução, oque pode ocorrer porque o serviço está inativo ou porcausa de uma solicitação malformada.

Resposta do administrador: Verifique se o servidor deserviços de segurança do tempo de execução está ativoe em execução. Verifique também os logs do WebSEALpara obter mais detalhes.

DPWBA0312W O atributo nome do atributo não pôdeser extraído de uma credencial: erro deAPI: sequência de erro (código de erro deAPI [código de erro principal:código de errosecundário]).

Explicação: O atributo especificado não pôde serextraído de uma credencial. Este erro pode ser devidoao esgotamento de recursos e, como tal, ser temporário.

Resposta do administrador: Se o problema persistir,verifique o IBM Electronic Support para obter

informações adicionais em http://www.ibm.com/software/sysmgmt/products/support/index.html?ibmprd=tivman.

DPWBA0313E Não é possível alocar memória.

Explicação: Falha na operação de alocação dememória.

Resposta do administrador: Verifique os limites dememória em sua máquina e aumente a memóriadisponível, se possível.

DPWBA0314E A URL é inválida.

Explicação: Uma solicitação do cliente continha umaURL que não está em conformidade com asespecificações HTTP.

Resposta do administrador: Verifique a solicitação docliente e assegure-se de que ela esteja em conformidadecom as especificações HTTP.

FBTRBA001E Ocorreu um erro do banco de dados.

Explicação: Ocorreu um erro irrecuperável do bancode dados.

Ação do Sistema: A execução do comando foi parada.

Resposta do administrador: Verifique os logs doservidor para obter mais detalhes para rastrear a causado erro.

FBTRBA002E Ocorreu um erro ao gerenciar apolítica.




FBTRBA003E Ocorreu um erro durante a execução docomando.




FBTRBA005E Um parâmetro requerido nome doparâmetro está ausente ou é inválido.



Resposta do administrador: Verifique os logs do

DPWBA0308W • FBTRBA005E


servidor para obter mais detalhes para rastrear a causado erro.

FBTRBA007E O arquivo de políticas não existe.



Resposta do administrador: Especifique um arquivode políticas existente e execute o comando novamente.

FBTRBA008E Falha na criação da conexão com obanco de dados. Verifique aconfiguração do banco de dados e aconectividade de rede para o servidor debanco de dados.

Explicação: A conexão com o banco de dados nãopôde ser criada.


Resposta do administrador: Certifique-se de que obanco de dados esteja configurado corretamente.Verifique também se a conectividade de rede para oservidor de banco de dados está disponível.

FBTRBA009E Não é possível modificar o parâmetrode aplicativo task or role name.

Explicação: Falha na tentativa de localizar e modificarum conjunto particular de parâmetros de aplicativodurante a implementação.



FBTRBA010E O tempo de execução do IBM TivoliFederated Identity Manager não estáimplementado. Implemente o tempo deexecução do IBM Tivoli FederatedIdentity Manager antes de continuar.

Explicação: O tempo de execução de acesso baseadoem risco requer que o tempo de execução do IBMTivoli Federated Identity Manager seja implementadoprimeiro.


Resposta do administrador: Implemente o tempo deexecução do IBM Tivoli Federated Identity Managerantes de continuar.

FBTRBA011E A implementação de acesso baseadoem risco falhou.

Explicação: Ocorreu um erro durante a implementaçãode acesso baseado em risco.



FBTRBA012E A implementação de acesso baseadoem risco falhou porque não foi possíveldeterminar o diretório no qual o IBMTivoli Federated Identity Manager estáinstalado.




FBTRBA013E A implementação de acesso baseadoem risco falhou porque o EAR deserviços de segurança do tempo deexecução não está localizado no seguintelocal: caminho RTSS Ear.




FBTRBA014E A implementação de acesso baseadoem risco falhou porque o seguintediretório de configuração não pôde sercriado: Diretório de Configuração.




FBTRBA017E A implementação de acesso baseadoem risco falhou porque o diretório dorepositório de configuração não pôde serdeterminado.




FBTRBA018E A implementação de acesso baseadoem risco falhou porque o archive deserviços de segurança do tempo deexecução não está localizado no seguintelocal: caminho de archive RTSS.

FBTRBA007E • FBTRBA018E

Capítulo 8. Referência de Mensagem de Erro 103




FBTRBA019E A tarefa de implementação de acessobaseado em risco falhou porque odiretório de plug-ins de serviços desegurança do tempo de execução deacesso baseado em risco não estálocalizado no seguinte local: caminho deplug-ins rba.




FBTRBA020E A implementação de acesso baseadoem risco falhou porque um arquivorequerido não está localizado noseguinte local: caminho para o arquivo.




FBTRBA021E Ocorreu um erro durante areimplementação de acesso baseado emrisco. Verifique os logs do servidor deaplicativos para obter mais detalhes.




FBTRBA028E A desserialização do arquivo deresposta falhou.



Resposta do administrador: Consulte o arquivo deresposta XML para verificar se ele é válido e tentenovamente.

FBTRBA029E A implementação de acesso baseadoem risco falhou porque o diretórioJavaScript de acesso baseado em risconão está localizado no seguinte local:caminho rbajavascript.




FBTRBA049E A propriedade de tempo de execuçãoac.request.server não está configurada.

Explicação: Para fazer solicitações AJAX de domíniocruzado, a propriedade de tempo de execuçãoac.request.server deve ser configurada.

Ação do Sistema: Os cabeçalhos CORS não foramconfigurados na resposta HTTP.

Resposta do administrador: Configure oac.request.server de propriedade de tempo de execução.

FBTRBA057E A sequência de atributos estáformatada incorretamente.

Explicação: Os atributos devem ser formatados comokey=value e separados pelo delimitador especificado oupor um símbolo de percentual (%).


Resposta do administrador: Certifique-se de que asequência de atributos esteja formatada corretamente.

FBTRBA058E O nome do atributo, nome, é inválidoe não está configurado.

Explicação: A validação do atributo falhou porque oatributo não está configurado.


Resposta do administrador: Configure o atributo.

FBTRBA060E As políticas não foram exportadaspara local.

Explicação: Ocorreu um erro ao exportar as políticaspara o local especificado.





FBTRBA061E Ocorreu um erro ao analisar o arquivode regras XACML.

Explicação: O arquivo de regras XACML não pôde seranalisado com êxito, provavelmente devido à sintaxeincorreta.


Resposta do administrador: Verifique a sintaxe doarquivo de regras XACML e tente novamente. Verifiquetambém os logs do servidor para obter mais detalhespara rastrear a causa do erro.

FBTRBA062E Uma operação desconhecida nome daoperação foi especificada.

Explicação: Uma operação inválida foi especificadapelo usuário.


Resposta do administrador: Execute o comando comuma operação correta conforme especificado nadocumentação.

FBTRBA065E O recarregamento da configuraçãofalhou.

Explicação: Um subcomponente retornou um errodurante a tentativa de recarregamento.


Resposta do administrador: Verifique os logs paraobter mais detalhes para rastrear a causa do erro.

FBTRBA066E O ID do dispositivo é inválido.

Explicação: O ID do dispositivo não foi formatadocorretamente. Ele deve ser um valor inteiro.


Resposta do administrador: Verifique o ID dodispositivo.

FBTRBA069E O tipo para o atributo id não foiespecificado.

Explicação: Um atributo e seu tipo devem serespecificados antes de fazer referência ao atributo. Ostipos válidos são número inteiro, duplo, sequência,hora ou data.


Resposta do administrador: Especifique o tipo para oatributo no arquivo de regras XACML.

FBTRBA075E A operação operação não é permitidaporque o serviço de segurança do tempode execução foi instalado pelo IBMTivoli Security Policy Manager.

Explicação: O serviço de segurança do tempo deexecução foi implementado pelo IBM Tivoli SecurityPolicy Manager; portanto, a criação e a exclusão depolíticas devem ser feitas usando o IBM Tivoli SecurityPolicy Manager.


Resposta do administrador: Use o IBM Tivoli SecurityPolicy Manager para criar, excluir ou atualizar políticas.

FBTRBA077E Nome do serviço ausente. Paraespecificar o nome do serviço, use oparâmetro -serviceName ou incluaserviceNameConfigPropertyName naconfiguração de acesso baseado emrisco.

Explicação: O nome do serviço padrão não foiconfigurado e um valor não foi fornecido por meio doparâmetro serviceName.


Resposta do administrador: Inclua um nome deserviço padrão na configuração de acesso baseado emrisco ou especifique um usando o parâmetroserviceName.

FBTRBA078E A tarefa de implementação de acessobaseado em risco falhou porque odiretório de correspondentes de acessobaseado em risco não foi localizadoneste local: caminho de correspondentes rba

Explicação: A implementação de acesso baseado emrisco encontrou um erro e não pôde continuar.

Ação do Sistema: A tarefa de implementação deacesso baseado em risco foi parada.

Resposta do administrador: Verifique os logs dosistema para obter mais detalhes e certifique-se de quea etapa de instalação de acesso baseado em risco foiconcluída.


Capítulo 8. Referência de Mensagem de Erro 105


Avisos

Estas informações foram desenvolvidas para produtos e serviços oferecidos nosEstados Unidos. É possível que a IBM não ofereça os produtos, serviços ourecursos discutidos nesta publicação em outros países. Consulte um representanteIBM local para obter informações sobre produtos e serviços disponíveis atualmenteem sua área. Qualquer referência a produtos, programas ou serviços IBM nãosignifica que apenas produtos, programas ou serviços IBM possam ser utilizados.Qualquer produto, programa ou serviço funcionalmente equivalente, que nãoinfrinja nenhum direito de propriedade intelectual da IBM poderá ser utilizado emsubstituição a este produto, programa ou serviço. Entretanto, a avaliação everificação da operação de qualquer produto, programa ou serviço não IBM são deresponsabilidade do Cliente.

A IBM pode ter patentes ou solicitações de patentes pendentes relativas a assuntostratados nesta publicação. O fornecimento desta publicação não lhe garante direitoalgum sobre tais patentes. Pedidos de licença devem ser enviados, por escrito,para:

Gerência de Relações Comerciais e Industriais da IBM BrasilAv. Pasteur, 138-146BotafogoRio de Janeiro, RJCEP 22290-240

Para pedidos de licença relacionados a informações de DBCS (Conjunto deCaracteres de Byte Duplo), entre em contato com o Departamento de PropriedadeIntelectual da IBM em seu país ou envie pedidos de licença, por escrito, para:

Intellectual Property LicensingLegal and Intellectual Property LawIBM Japan, Ltd.1623-14, Shimotsuruma, Yamato-shiKanagawa 242-8502 Japan

O parágrafo a seguir não se aplica a nenhum país em que tais disposições nãoestejam de acordo com a legislação local:

A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTAPUBLICAÇÃO "NO ESTADO EM QUE SE ENCONTRA", SEM GARANTIA DENENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS A ELASNÃO SE LIMITANDO, AS GARANTIAS IMPLÍCITAS DE NÃO INFRAÇÃO,COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO.

Alguns países não permitem a exclusão de garantias expressas ou implícitas emcertas transações; portanto, essa disposição pode não se aplicar ao Cliente.

Essas informações podem conter imprecisões técnicas ou erros tipográficos. Sãofeitas alterações periódicas nas informações aqui contidas; tais alterações serãoincorporadas em futuras edições desta publicação. A IBM pode, a qualquermomento, aperfeiçoar e/ou alterar os produtos e/ou programas descritos nestapublicação, sem aviso prévio.


Referências nestas informações a websites não IBM são fornecidas apenas porconveniência e não representam de forma alguma um endosso a esses websites. Osmateriais contidos nesses Web não fazem parte dos materiais desse produto IBM ea utilização desses Web é de inteira responsabilidade do Cliente.

A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgarapropriada sem incorrer em qualquer obrigação para com o Cliente.

Licenciados deste programa que desejam obter informações sobre este assunto comobjetivo de permitir: (i) a troca de informações entre programas criadosindependentemente e outros programas (incluindo este) e (ii) a utilização mútuadas informações trocadas, devem entrar em contato com:

Gerência de Relações Comerciais e Industriais da IBM BrasilAv. Pasteur, 138-146BotafogoRio de Janeiro, RJCEP 22290-240

Tais informações podem estar disponíveis, sujeitas a termos e condiçõesapropriadas, incluindo em alguns casos o pagamento de uma taxa.

O programa licenciado descrito nesta publicação e todo o material licenciadodisponível são fornecidos pela IBM sob os termos do Contrato com o Cliente IBM,do Contrato Internacional de Licença do Programa IBM ou de qualquer outrocontrato equivalente.

Todos os dados de desempenho aqui contidos foram determinados em umambiente controlado. Portanto, os resultados obtidos em outros ambientesoperacionais podem variar significativamente. Algumas medidas podem ter sidotomadas em sistemas em nível de desenvolvimento e não há garantia de que estasmedidas serão iguais em sistemas geralmente disponíveis. Além disso, algumasmedidas podem ter sido estimadas por extrapolação. Os resultados reais podemvariar. Os usuários deste documento devem verificar os dados aplicáveis para seuambiente específico.

As informações relativas a produtos não IBM foram obtidas junto aos fornecedoresdos respectivos produtos, de seus anúncios publicados ou de outras fontesdisponíveis publicamente. A IBM não testou estes produtos e não pode confirmar aprecisão de seu desempenho, compatibilidade nem qualquer outra reivindicaçãorelacionada a produtos não IBM. Dúvidas sobre os recursos de produtos não IBMdevem ser encaminhadas diretamente a seus fornecedores.

Todas as declarações relacionadas aos objetivos e intenções futuras da IBM estãosujeitas a alterações ou cancelamento sem aviso prévio e representam apenas metase objetivos.

Todos os preços IBM mostrados são preços de varejo sugeridos pela IBM, sãoatuais e estão sujeitos a alteração sem aviso prévio. Os preços do revendedorpodem variar.

Estas informações foram projetadas apenas com o propósito de planejamento. Asinformações aqui contidas estão sujeitas a alterações antes que os produtosdescritos estejam disponíveis.


Estas informações contêm exemplos de dados e relatórios utilizados nas operaçõesdiárias de negócios. Para ilustrá-los da forma mais completa possível, os exemplosincluem nomes de indivíduos, empresas, marcas e produtos. Todos estes nomes sãofictícios e qualquer semelhança com os nomes e endereços utilizados por umaempresa real é mera coincidência.

LICENÇA DE COPYRIGHT:

Estas informações contêm programas de aplicativos de amostra na linguagemfonte, ilustrando as técnicas de programação em diversas plataformas operacionais.O Cliente pode copiar, modificar e distribuir estes programas de amostra sem anecessidade de pagar à IBM, com objetivos de desenvolvimento, utilização,marketing ou distribuição de programas aplicativos em conformidade com ainterface de programação de aplicativo para a plataforma operacional para a qualos programas de amostra são criados. Esses exemplos não foram testadoscompletamente em todas as condições. Portanto, a IBM não pode garantir ouimplicar a confiabilidade, manutenção ou função destes programas. O Cliente podecopiar, modificar e distribuir estes programas de amostra de qualquer maneira sempagamento à IBM, com objetivos de desenvolvimento, utilização, marketing oudistribuição de programas aplicativos em conformidade com interfaces deprogramação de aplicativos da IBM.

Se estas informações estiverem sendo exibidas em cópia eletrônica, as fotografias eilustrações coloridas podem não aparecer.

Marcas Registradas

IBM, o logotipo IBM e ibm.com são marcas ou marcas registradas da InternationalBusiness Machines Corp., registradas em vários países no mundo todo. Outrosnomes de produtos e serviços podem ser marcas registradas da IBM ou de outrasempresas. Uma lista atual de marcas registradas da IBM está disponível na Webem "Copyright and trademark information" em www.ibm.com/legal/copytrade.shtml.

Adobe, Acrobat, PostScript e todas as marcas registradas baseadas em Adobe sãomarcas ou marcas registradas da Adobe Systems Incorporated nos Estados Unidose/ou em outros países.

IT Infrastructure Library é uma marca registrada da Agência Central deComputação e Telecomunicações, que agora é parte do Departamento de Comérciodo Governo.

Intel, o logotipo Intel, Intel Inside, o logotipo Intel Inside, Intel Centrino, o logotipoIntel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium e Pentium são marcasou marcas registradas da Intel Corporation ou suas subsidiárias nos EstadosUnidos e em outros países.

Linux é uma marca registrada de Linus Torvalds nos Estados Unidos e/ou emoutros países.

Microsoft, Windows, Windows NT e o logotipo Windows são marcas registradasda Microsoft Corporation nos Estados Unidos e/ou em outros países.

ITIL é uma marca registrada e uma marca registrada da comunidade doDepartamento de Comércio do Governo e está registrada no Departamento deMarcas e Patentes dos Estados Unidos.

Avisos 109

UNIX é uma marca registrada do The Open Group nos Estados Unidos e emoutros países.

Java e todas as marcas registradas e logotipos baseados em Java são marcasou marcas registradas da Oracle e/ou de suas afiliadas.

Cell Broadband Engine é uma marca registrada da Sony Computer Entertainment,Inc. nos Estados Unidos e/ou em outros países e é usada sob licença.

Linear Tape-Open, LTO, o Logotipo LTO, Ultrium e o logotipo Ultrium são marcasregistradas da HP, IBM Corp. e Quantum nos Estados Unidos e em outros países.


Glossário

Este glossário inclui termos e definições para oacesso baseado em risco.

As seguintes referências cruzadas são usadasneste glossário:v Consulte leva você de um termo a um

sinônimo preferido ou de um acrônimo ouabreviação à forma completa definida.

v Consulte também leva você para um termorelacionado ou contrastante.

Para visualizar glossários de outros produtosIBM, acesse www.ibm.com/software/globalization/terminology (abre uma nova janela).

Aacesso baseado em risco

Um componente plugável e configuráveldo IBM Tivoli Access Manager parae-business. O acesso baseado em riscofornece a decisão e a execução do acessoque são baseados em uma avaliação derisco dinâmico ou nível de confiança deuma transação.

ACL Consulte lista de controle de acesso.

ambiente de tempo de execuçãoUm subconjunto de um ADK (ApplicationDevelopment Kit) que contém os arquivosexecutáveis e outros arquivos de suporteque compõem o ambiente operacional daplataforma.

aplicativo da webUm aplicativo que é acessível por umnavegador da web e que fornece algumasfunções além da exibição estática deinformações. Os componentes comuns deum aplicativo da web incluem páginasHTML, páginas JSP e servlets.

arquivo de biblioteca compartilhadaUm arquivo que consiste em um nomesimbólico, um caminho de classe Java eum caminho nativo para carregarbibliotecas Java Native Interface (JNI).Aplicativos implementados no mesmo nóque esse arquivo podem acessar essasinformações.

arquivo de respostaUm arquivo que contém valorespredefinidos, como parâmetros e valoresusados para controlar as ações de umcomponente de uma formapré-determinada. Por exemplo, no acessobaseado em risco, o arquivo de respostaXML para um comando contém asinformações que você pode, de outraforma, especificar na linha de comandos.

atributoUma característica ou peculiaridade deuma entidade que descreve a entidade.Consulte também atributo relacionado aorisco.

atributo de sessãoNo acesso baseado em risco, um atributoque o serviço de coleta de atributoscaptura durante uma sessão do usuário.Os atributos de sessão são armazenadosno banco de dados de acesso baseado emrisco quando o dispositivo do usuário éregistrado.

Atributo relacionado ao riscoNo acesso baseado em risco, um atributoque é usado para calcular a pontuação derisco. Os atributos relacionados ao riscosão coletados de cabeçalhos HTTP,capturados pelo serviço de coleta deatributos ou com JavaScript customizado.

autenticaçãoEm segurança de computador, o processoque verifica a identidade e fornece aprova de que um usuário de um sistemade computador é genuinamente quem dizser. Mecanismos comuns paraimplementar esse serviço são asassinaturas digitais e as senhas.Autenticação é diferente de autorização;autorização está relacionada a conceder enegar acesso aos recursos.

autenticação de avançoUma política de objeto protegido (POP)que conta com uma hierarquiapré-configurada de níveis de autenticação.Ela reforça um nível específico deautenticação de acordo com o conjunto depolíticas em um recurso. O POP deautenticação de avanço não força o


http://www-306.ibm.com/software/globalization/terminology/

http://www-306.ibm.com/software/globalization/terminology/

usuário a autenticar com vários níveis deautenticação para acessar um recurso. Elerequer que o usuário autentique em umnível pelo menos tão alto quando o nívelrequerido pela política que protege umrecurso. Consulte também critério doobjeto protegido.

autorizaçãoO processo de conceder ao usuário, aosistema ou ao processo, o acesso completoou restrito a um objeto, recurso oufunção.

CCaminho de classe

Uma lista de diretórios e arquivos JARque contém arquivos de recursos ouclasses Java que um programa podecarregar dinamicamente no tempo deexecução.

challengeUm pedido para determinadasinformações para um sistema. Asinformações, que são enviadas de voltaem resposta a esta solicitação, sãonecessárias para autenticação.

configuração do atributoNo acesso baseado em risco, aconfiguração de um atributo de risco paraespecificar seu peso e indicar se o atributoé requerido para cálculo de risco.Consulte também atributo relacionado aorisco.

controle de acessoEm segurança de computadores, oprocesso de assegurar que os usuáriospossam acessar apenas os recursos de umsistema de computador para os quais elestenham autorização.

cookie Informações que um servidor armazenaem um sistema do cliente e acessadurante sessões subsequentes. Os cookiespermitem que os servidores lembreminformações específicas sobre os clientes.

correspondente de atributoNo acesso baseado em risco, um recursoque compara os valores de atributos naimpressão digital do dispositivo recebidocom a impressão digital do dispositivoexistente do usuário. Os correspondentesde atributo prontos para utilização quesão fornecidos com o acesso baseado em

risco são o correspondente de local, ocorrespondente de endereço IP e ocorrespondente de tempo de login.

credenciaisInformações detalhadas que sãoadquiridas durante a autenticação, quedescreve o usuário, quaisquer associaçõesde grupo e outros atributos de identidaderelacionados à segurança. Por exemplo,um ID do usuário e uma senha sãocredenciais que permitem o acesso aosrecursos de rede e do sistema.

DDB2 Uma família de programas licenciados da

IBM para gerenciamento de banco dedados relacional.

DepósitoUma área de armazenamento persistentepara dados e outros recursos deaplicativos.

desafio secundárioNo acesso baseado em risco, o desafioadicional que é apresentado ao usuáriopara autenticação quando a pontuação derisco é alta. Consulte também desafio.

destinoO destino para uma ação ou operação.

DMZ Consulte zona desmilitarizada.

domínio

1. Um objeto, ícone ou contêiner quecontém outros objetos, querepresentam os recursos de umdomínio. O objeto de domínio podeser utilizado para gerenciar essesrecursos.

2. Um agrupamento lógico de recursosem uma rede para gerenciamento eadministração comuns. Por exemplo,uma implementação do componentede tempo de execução do TivoliFederated Identity Manager noWebSphere Application Server.

EEAS Consulte serviço de autorização externa.

EAS de serviços de segurança de tempo deexecução

No acesso baseado em risco, um plug-in


que fornece a funcionalidade PEP (pontode execução de política).

ElementoEm linguagens de marcações, umaunidade básica que consiste em uma tagde início, tag de finalização, atributos eseus valores e qualquer texto entre as tagsde início e de finalização.

esquemaO conjunto de instruções, expressas emuma linguagem de definição de dados,que descreve completamente a estruturade dados que é armazenada em um bancode dados, um diretório ou um arquivo.Um esquema fornece uma classificaçãológica de objetos de banco de dados.

estânciaUm grupo de linhas em um arquivo quejuntas possuem uma função comum oudefinem uma parte do sistema. Assub-rotinas são separadas por linhas embranco ou dois pontos e cada sub-rotinatem um nome.

eventoQualquer mudança significativa no estadode um recurso do sistema, recurso derede ou aplicativo de rede. Um eventopode ser gerado para um problema, paraa resolução de um problema ou para aconclusão bem-sucedida de uma tarefa.

evento de auditoriaUm registro de uma operação no log deauditoria ou no histórico de mudanças;por exemplo, uma entrada de auditoria écriada quando um atributo ou umapropriedade é modificada.

eXtensible Access Control Markup Language(XACML)

Um padrão para o idioma de política decontrole de acesso. Ele fornece umasintaxe que é definida em XML paragerenciar o acesso aos recursos.

Ffailover

Uma operação automática que alternapara um sistema redundante ou de esperano caso de uma interrupção de software,hardware ou rede.

fix packUma coleção cumulativa de correções que

é disponibilizada entre pacotes deatualizações planejadas, atualizações defabricação ou releases. Visa permitir queos clientes mudem para um nível demanutenção específico.

Hhash Em segurança de computadores, um

número gerado de uma cadeia de texto eutilizado para garantir que as mensagenstransmitidas cheguem intactas.

hashingO processo de codificação de umasequência de caracteres como umasequência de bits de comprimento fixopara comparação.

HTTP Consulte protocolo de transporte dehipertexto.

IID de correlação

Um UUID que é armazenado em umcookie.

IdentificadorO nome de um item em um programaque é gravado na linguagem Java.

Identificador Exclusivo Universal (UUID)O identificador numérico de 128 bits queé usado para assegurar que doiscomponentes não possuem o mesmoidentificador.

idioma de geração de políticaConsulte idioma de geração de política deautorização.

idioma de geração de política de autorizaçãoNo acesso baseado em risco, um formatosimplificado que especifica as regras depolítica em um script, que pode ser usadopara gerar uma política de autorizaçãopara acesso baseado em risco.

implementarColocar arquivos ou instalar software emum ambiente operacional. No JavaPlatform, Enterprise Edition (Java EE), aimplementação envolve a criação de umdescritor de implementação adequado aotipo de aplicativo que está sendoimplementado.

impressão digital do dispositivoNo acesso baseado em risco, um conjunto

Glossário 113

de atributos que faz parte da solicitaçãoque vem de um dispositivo. Umaimpressão digital do dispositivo consisteem um ID do usuário e um conjunto depares chave-valor de atributos queidentificam um usuário particular.

Internet Protocol (IP)No conjunto de protocolos da Internet,um protocolo sem conexão que roteiadados por meio de uma rede ou de redesinterconectadas. O IP age como umintermediário entre as camadas deprotocolo mais altas e a rede física.

IP Consulte Internet Protocol.

JJava Database Connectivity (JDBC)

Um padrão de mercado paraconectividade independente de banco dedados entre a plataforma Java em umaampla gama de banco de dados. Ainterface JDBC fornece uma interface nonível de chamada para acesso a banco dedados baseado em SQL e baseado emXQuery.

Java Naming and Directory Interface (JNDI)Uma extensão para a plataforma Java quefornece uma interface padrão paraserviços heterogêneos de nomenclatura ediretório.

JDBC Consulte Java Database Connectivity.

JNDI Consulte Java Naming and DirectoryInterface.

junçãoUma conexão lógica que é criada paraestabelecer um caminho de um servidorpara outro.

LLinguagem de Marcação Extensível (XML)

Uma metalinguagem padrão para definirlinguagens de marcações que sãobaseadas na Linguagem de MarcaçãoGeneralizada Padrão (SGML).

lista de atributosA linked list that contains extendedinformation that is used to makeauthorization decisions. As listas deatributos consistem em um conjunto depares chave-valor.

lista de controle de acesso (ACL)Em segurança do computador, uma listaassociada com um objeto que identificatodos os assuntos que podem acessar oobjeto e seus direitos de acesso.

Localizador Uniforme de Recursos (URL)O endereço exclusivo de um recurso deinformações que está acessível em umarede, como a Internet. A URL inclui onome abreviado do protocolo que é usadopara acessar o recurso de informações. AURL também inclui as informaçõesusadas pelo protocolo para localizar orecurso de informações.

log de auditoriaUm arquivo de log que contém umregistro de eventos e respostas do sistema.O log de auditoria mantém o histórico deoperações significativas que modificammetadados ou dados de configuração,incluindo operações que não foramconcluídas com êxito.

NNome de Recurso Uniforme (URN)

Um nome que identifica exclusivamenteum serviço da web para um cliente.

nome do hostEm comunicação pela Internet, o nomeque é dado a um computador. O nome dohost pode ser um nome completo dodomínio, comomycomputer.city.company.com, ou podeser um subnome específico, comomycomputer.

número da portaNas comunicações da Internet, oidentificador para um conector lógicoentre uma entidade do aplicativo e oserviço de transporte.

Oobject No design ou programação orientada a

objetos, uma realização concreta(instância) de uma classe que consiste emdados e operações associadas a essesdados. Um objeto contém os dados daocorrência que são definidos pela classe,mas a classe pertence às operações quesão associadas com os dados.


operação em loteUm grupo predefinido de ações deprocessamento que são enviadas para osistema. As ações são executadas compouca ou nenhuma interação entre ousuário e o sistema.

origem de dadosO meio pelo qual um aplicativo acessadados de um banco de dados.

OTP Consulte senha descartável.

Ppadrão de comportamento

No acesso baseado em risco, o padrãoderivado dos dados de acesso históricosde um usuário. Por exemplo, um padrãode comportamento pode indicar que umusuário especificado acessa regularmenteum recurso protegido apenas durante ohorário comercial nos dias da semana.

par chave-valorInformações que são expressas como umconjunto de pares.

PDP Consulte ponto de decisão de política.

PEP Consulte ponto de execução de política.

perfil Dados que descrevem as características deum usuário, grupo, recurso, programa,dispositivo ou local remoto.

permissãoAutorização para atividades, como ler egravar arquivos locais, criar conexões derede e carregar código nativo.

persistênciaUma características de dados que sãomantidos além dos limites da sessão. Apersistência de dados está, geralmente,disponível em armazenamento nãovolátil, como um sistema de banco dedados.

persistirSer mantido além dos limites da sessão,geralmente em armazenamento nãovolátil, como um sistema de banco dedados ou um diretório.

peso No acesso baseado em risco, um valornumérico que é designado a um atributo.O peso de um atributo indica suaimportância de uma perspectiva de riscoe é usado para calcular a pontuação derisco.

PIP Consulte ponto de informações depolítica.

plug-inUm módulo de software instalávelseparadamente que inclui função a umprograma, aplicativo ou interfaceexistente.

política

1. Um conjunto de considerações queinfluencia o comportamento de umrecurso gerenciado ou um usuário.

2. Um conjunto de condições que, depoisde serem avaliadas, determinamdecisões de acesso.

Política de segurançaUm documento gravado que define oscontroles de segurança que você instituipara seus sistemas computacionais. Umapolítica de segurança descreve os riscosque você pretende que esses controlesminimizem e as ações que deverão serexecutadas se alguém quebrar seuscontroles de segurança.

ponto de decisão de política (PDP)Um componente de decisão de políticaque avalia e determina os resultados deuma solicitação de acesso.

ponto de execução de política (PEP)Um componente de decisão de políticaque recebe uma solicitação, notifica oponto de decisão de política dasolicitação, recebe uma decisão e executaa decisão.

ponto de informações de política (PIP)Um componente de decisão de políticaque fornece informações adicionais sobreuma solicitação.

pontuação de riscoNo acesso baseado em risco, um valornumérico que representa a quantidade derisco que está associada a uma solicitaçãopara acessar um recurso protegido. Apontuação de risco indica o nível deconfiança que o usuário que está usandoo dispositivo é realmente o usuárioautenticado. A pontuação de risco écalculada em uma escala de 1 a 100. Apontuação de risco determina se o acessoa um recurso protegido é permitido,negado ou permitido com prova deautenticação adicional.

Glossário 115

POP Consulte política de objeto protegido.

porta Conforme definido em um documentoWSDL (Web Services DescriptionLanguage), um único terminal que édefinido como uma combinação de umaligação e um endereço de rede.

propriedadeA característica de um objeto quedescreve o objeto. Uma propriedade podese alterada ou modificada. Aspropriedades podem descrever o nome doobjeto, tipo, valor ou comportamento,entre outras coisas.

propriedade de configuraçãoNo acesso baseado em risco, umapropriedade que especifica a configuraçãopara vários componentes do acessobaseado em risco. Por exemplo, aspropriedades são usadas para configuraro banco de dados, o serviço de coleta deatributos, os serviços de segurança detempo de execução e os correspondentesde atributos.

protected object policy (POP)Uma política de segurança que impõecondições adicionais na operaçãopermitida pela política ACL para acessarum objeto protegido. É responsabilidadedo gerenciador de recursos executar ascondições POP.

protocolo de transporte de hipertexto (HTTP)No conjunto de protocolos da Internet, oprotocolo que é usado para transferir eexibir documentos.

Pull Uma operação de rede que inicia umaação solicitando a ação de um recurso.

Push Uma operação de rede que enviainformações aos recursos.

Rregistro de dispositivo

No acesso baseado em risco, o processode armazenar a impressão digital dodispositivo recebido no banco de dados.Consulte também impressão digital dodispositivo.

registro de dispositivo automáticoConsulte registro de dispositivosilencioso.

registro de dispositivo baseado emconsentimento

No acesso baseado em risco, o processode registrar a impressão digital dodispositivo apenas se o usuário consentirem ter o dispositivo registrado. A políticade acesso baseado em risco pode serconfigurada para apresentar umformulário HTML que solicita oconsentimento do usuário antes dodispositivo ser registrado.

registro de dispositivo silenciosoNo acesso baseado em risco, o processode registrar a impressão digital dodispositivo depois do usuário autenticarcom êxito com um desafio secundário. Oregistro silencioso não requer nenhumainteração ou consentimento adicional dousuário. Consulte também desafiosecundário, registro de dispositivo eregistro de dispositivo baseado emconsentimento.

regra Uma condição utilizada na avaliação deuma política.

Rendimento do processamentoA medida da quantidade de trabalhoexecutado por um dispositivo durante umperíodo de tempo, por exemplo, onúmero de tarefas por dia.

Representational State Transfer (REST)Um estilo arquitetural de software parasistemas de hipermídia distribuídos, comoa World Wide Web. REST é uma interfacesimples que usa XML (ou YAML, JSON,texto simples) sobre HTTP sem umacamada adicional de mensagem, comoSOAP. Consulte também RESTful.

REST Consulte Representational State Transfer.

RESTfulPertencente a aplicativos e serviços queestão de acordo com as restrições deRepresentational State Transfer (REST).Consulte também Representational StateTransfer.

Sscript Uma série de comandos, combinados em

um arquivo, que executam uma funçãoespecífica quando o arquivo é executado.Os scripts são interpretados conforme sãoexecutados.


segurançaA proteção de dados, operações dosistema e de dispositivos, da perda, danoou exposição acidental ou intencional.

senha descartável (OTP)Uma senha que é válida para uma únicasessão de login ou transação.

sequênciaEm linguagem de programação, o formatode dados utilizado para armazenamento emanipulação de texto.

serviçoUm recurso, como um serviço da web,para o qual são feitas solicitações deacesso e que pode ser protegido porpolíticas.

serviço da webUm aplicativo modular autocontido,autoexplicativo que pode ser publicado,descoberto e chamado em uma rede queusa protocolos de rede padrão.Geralmente, o XML é usado para marcaros dados e o SOAP é usado paratransferir os dados. Um WSDL é usadopara descrever os serviços disponíveis e oUDDI é usado para listar quais serviçosestão disponíveis.

serviço de autorizaçãoUma biblioteca dinâmica oucompartilhada que pode ser carregadapelo cliente de tempo de execução da APIde autorização no momento dainicialização. Ela é usada para operaçõesque estendem uma interface de serviço naAPI de Autorização.

serviço de autorização externa (EAS)Um plug-in de tempo de execução da APIde autorização que pode ser usado paratomar decisões de autorização específicasdo aplicativo ou do ambiente como parteda cadeia de decisões de autorização. Oacesso baseado em risco usa o plug-inEAS de serviços de segurança de tempode execução para reforçar decisões depolítica.

serviço de coleta de atributosNo acesso baseado em risco, um serviçoRepresentational State Transfer (REST)que coleta informações do navegador daweb e do local do usuário.

Serviço de nomenclaturaUma implementação do padrão JavaNaming and Directory Interface (JNDI).

serviços de segurança de tempo de execuçãoUm componente de software que,dependendo de sua configuração, podeexecutar as funções de um ponto dedecisão de política, ponto de execução depolítica e alvo de distribuição de política.

servidor da webUm programa de software que podeatender solicitações HTTP (Protocolo deTransporte de Hipertexto).

sessão No Java EE, um objeto usado por umservlet para controlar a interação dousuário com um aplicativo da web pormeio de várias solicitações HTTP. Umasessão consiste em uma série desolicitações para um servidor ouaplicativo originadas do mesmo usuáriono mesmo navegador.

sintaxeAs regras para a construção de umcomando ou instrução.

SOAP Um protocolo leve, baseado em XML paratroca de informações em um ambientedistribuído, descentralizado. SOAP podeser utilizado para consultar e retornarinformações e chamar os serviços atravésda Internet.

Ttempo de execução

O período durante o qual um programade computador está em execução.

token Uma mensagem em particular ou padrãode bits que significa permissão oucontrole temporário para transmitir emuma rede.

URI Consulte Identificador Uniforme deRecursos (URI).

URI (Uniform Resource Identifier)

1. Uma sequência compacta de caracterespara identificação de um recurso físicoou abstrato.

2. Um endereço exclusivo que é usadopara identificar o conteúdo na web,como uma página de texto, vídeo,clipe de som, imagem ou programa. A

Glossário 117

forma mais comum de URI é oendereço de página da web, que éuma forma ou subconjunto específicode URI denominado UniformResource Locator (URL). Uma URIgeralmente descreve como acessar orecurso, o computador que contém orecurso e o nome do recurso.

URL Consulte Uniform Resource Locator.

URN Consulte Nome Uniforme de Recursos.

UUID Consulte Identificador ExclusivoUniversal.

VVariável

Uma representação de um valor alterável.

WWebSEAL

Um servidor da web de alto desempenho,multiencadeado que aplica uma políticade segurança a um espaço de objetoprotegido. O WebSEAL pode fornecersoluções de conexão única e incorporarrecursos do servidor de aplicativos daWeb de backend em seu critério desegurança.

XXACML

Consulte eXtensible Access ControlMarkup Language.

XML Consulte Extensible Markup Language.

Z

zona desmilitarizada (DMZ)Uma configuração que inclui váriosfirewalls para incluir camadas de proteçãoentre uma intranet corporativa e umarede pública, como a Internet.


Índice Remissivo

Aacessibilidade xacesso baseado em risco

arquitetura 4banco de dados 13cenários de negócios 3componentes 4configuração 23

verificação 25definição 3desinstalação 18esquema 13fluxo de transação 7implementação 16instalação 15introdução 1logs 24rastreios 24recursos 4resolução de problemas 19serviço de autorização externa (EAS)

de serviços de segurança de tempode execução

configuração de amostra 34definição 30

visão geral 3funcional 4processo 7

algoritmo hashconfiguração 51

amostraidioma de geração para política 54logs de auditoria 68política 54política de acesso baseado em

risco 54registro baseado em

consentimento 61registro silencioso 61registros de auditoria do serviço de

autorização externa (EAS) deserviços de segurança de tempo deexecução 68

regras para política 54script 54serviço de autorização externa (EAS)

de serviços de segurança de tempode execução

sub-rotina rtss-eas 34arquivo de resposta

comandomanageRbaConfiguration 79

comando manageRbaPolicy 85comando manageRbaRiskProfile 88

atributosarmazenamento 42, 85atributos de sessão

Comando manageRbaSessions 89comando manageRbaRiskProfile 85

arquivo de resposta 88comportamento 27, 42, 85

atributos (continuação)configuração 40, 90criação dinâmica 27impressão digital do dispositivo 27,

42, 85perfis de risco 97persistência 42, 85pesos 40políticas 97propriedades para configuração 90sessão 27, 42, 85

atributos de cabeçalhos HTTPconfiguração 40

atributos de localserviço de coleta de atributos 36

atributos de navegador da webserviço de coleta de atributos 36

atributos de sessãoatributos de local 36atributos de navegador da web 36Comando manageRbaSessions 89configuração 40serviço de coleta de atributos 36, 39

auditoriaativando 67configuração 67configurações 67definição 67logs

amostra 68formato 68local 67nome do arquivo 67número máximo 67serviço de autorização externa

(EAS) de serviços de segurançade tempo de execução 67, 68

tamanho máximo 67

Bbanco de dados

configuração 13, 90propriedades para configuração 90

CCálculo da pontuação de risco 28Cenários

Cálculo da pontuação de risco 28comando manageRbaConfiguration 73

arquivo de resposta 79implementar 16remover implementação 18

comando manageRbaDevices 79comando manageRbaPolicy 82

arquivo de resposta 85comando manageRbaRiskProfile 85

arquivo de resposta 88Comando manageRbaSessions 89

comandosmanageRbaConfiguration 73

arquivo de resposta 79manageRbaDevices 79manageRbaPolicy 82

arquivo de resposta 85manageRbaRiskProfile 85

arquivo de resposta 88manageRbaSessions 89

comparação de atributo 43configuração

algoritmo hash 23, 51atributos 23

atributos de sessão 89comando

manageRbaRiskProfile 85Comando manageRbaSessions 89

atributos de cabeçalhos HTTP 40atributos de sessão 27, 40

Comando manageRbaSessions 89banco de dados 13, 23cálculo de pontuação de risco 40comando manageRbaConfiguration

arquivo de resposta 79correspondente de endereço IP 40, 46correspondente de local 40, 44correspondente de tempo de

login 40, 47correspondentes de atributos 27, 40,

44, 46, 47dispositivo

comando manageRbaDevices 79impressão digital 79registro 79

esquema do banco de dados 13logs 23logs de auditoria 67logs e rastreios, ativando 24número de dispositivos por

usuário 64página de login do aplicativo 39perfil de risco 27pesos de atributos 27, 40

comandomanageRbaRiskProfile 85

política 23, 55política de acesso baseado em

risco 55políticas

comando manageRbaPolicy 82propriedades

atributos 90banco de dados 90comando

manageRbaConfiguration 73correspondente de endereço IP 90correspondente de local 90correspondentes de atributos 90serviço de segurança de tempo de

execução 90sessão 90


configuração (continuação)rastreios 23RTSS EAS no WebSEAL 31serviço de autorização externa (EAS)

de serviços de segurança de tempode execução 23, 34

serviço de coleta de atributos 23, 39verificação 25

correspondente de atributo padrão 43correspondente de endereço IP

configuração 40, 46, 90propriedades para configuração 90

correspondente de localconfiguração 40, 44, 90propriedades para configuração 90

correspondente de tempo de loginconfiguração 40, 47

correspondente exato 43correspondentes customizados 48correspondentes de atributos

configuração 40, 90correspondente de atributo

padrão 43correspondente de endereço IP

configuração 46, 90propriedades para

configuração 90correspondente de local

configuração 44, 90propriedades para

configuração 90correspondente de tempo de login

configuração 47correspondente exato 43correspondentes customizados 48definição 43propriedades para configuração 90

Ddesinstalação 18determinação de problema xdispositivo

comando manageRbaDevices 79impressão digital 61, 79registro 61, 79

desafio secundário 25número de dispositivos por

usuário 64senha descartável 25silencioso 25

registro baseado emconsentimento 61

registro silencioso 61

Eeducação xesquema

banco de dados 13esquema do banco de dados 13

Gglossário 111

IIBM

Assistente de Suporte xSuporte de Software x

implementação 16Impressão digital do dispositivo 28instalação

implementação 16pré-requisitos 12procedimento 15requisitos de software 11

Llistar dispositivos registrados 25, 79logs e rastreios, ativando 24

Mmecanismo de pontuação de risco

definição 4mensagens

EASsuporte ao idioma 16

mensagens EASsuporte ao idioma 16

Nnúmero de dispositivos por usuário

configuração 64

Oonline

publicações ixterminologia ix

Pperfil de risco

configuração 27perfis de risco

atributos 97pesos

comando manageRbaRiskProfile 85arquivo de resposta 88

pesos de atributosconfiguração 40

políticaacesso baseado em risco 51, 54amostra 54configuração 55criação 55idioma de geração 51, 54propriedades para configuração 55regras 51, 54script 55

política de autorizaçãoamostra 54configuração 55criação 55idioma 51, 54propriedades para configuração 55

política de autorização (continuação)regras 51, 54script 51, 54, 55

políticasatributos 97comando manageRbaPolicy 82

arquivo de resposta 85Ponto de Administração de Política (PAP)

definição 4Ponto de Decisão de Política (PDP)

definição 4Ponto de Execução de Política (PEP)

definição 4Pontos de Informações de Política (PIPs)

definição 4pré-requisitos 12propriedades

atributos 90banco de dados 90comando

manageRbaConfiguration 73arquivo de resposta 79

configuração 90correspondentes de atributos

correspondente de endereço IP 90correspondente de local 90

serviço de segurança de tempo deexecução 90

sessões 90publicações

acessando online ixlista para este produto ix

Rregistro de dispositivo baseado em

consentimento 61configurar 62política de amostra 61

registro de dispositivo silencioso 61política de amostra 61

requisitos de software 11resolução de problemas x

atributos de local 19problemas conhecidos 19soluções 19

Sserviço de autorização externa (EAS)

acesso baseado em risco 30logs e rastreios, ativando 24serviço de autorização externa (EAS)

de serviços de segurança de tempode execução 30, 34

sub-rotina rtss-eas 34Serviço de Autorização Externa (EAS)

definição 4serviço de autorização externa (EAS) de

serviços de segurança de tempo deexecução

acesso baseado em risco 30configuração de amostra 34definição 30sub-rotina rtss-eas 34


serviço de coleta de atributosatributos de sessão 36configuração

atributos de sessão 39funções do JavaScript 39página de login do aplicativo 39

definição 4, 36funções do JavaScript

deleteSession() 36getLocation() 36sendSession() 36

tipos de solicitaçõesDELETE 36GET 36POST 36

serviço de segurança de tempo deexecução

configuração 90propriedades para configuração 90

serviço Representational State Transfer(REST)

serviço de coleta de atributos 36serviços de segurança de tempo de

execuçãologs e rastreios, ativando 24

sessãoconfiguração 90propriedades para configuração 90

sub-rotina rtss-easconfiguração de amostra 34

suporte ao idioma 16

Tterminologia ixtfimcfg 31treinamento x

WWebSEAL

acesso baseado em risco 30arquivo de configuração padrão 30,

34configurando o RTSS EAS 31ponto de execução de política (PEP)

serviço de autorização externa(EAS) de serviços de segurançade tempo de execução 30

serviço de autorização externa (EAS)de serviços de segurança de tempode execução 30, 34

Índice Remissivo 121


��

Impresso no Brasil

S517-0157-02

Documents

Guida de Instalação,Configuração,e Administração paraAcesso Baseado em … · 2016-05-14 · Exemplo de Arquivo de Resposta para o Comando manageRbaConfiguration ... Acesso