Conceder autoridade a um ou mais grupos ou usuários para autorizá-los a concluir tarefas específicas em um broker e em seus recursos.
É necessário ativar a segurança de administração do broker antes de conceder ou revogar permissões para IDs do usuário específicos. Ao ativar a segurança pela primeira vez, é necessário configurar o controle inicial para cada usuário para autorizá-los a executar algumas operações. É possível então conceder autoridade adicional, revogar permissões, conforme necessário.
É possível conceder autoridades a principais individuais (IDs do usuário), a grupos de usuários, ou a ambos, em todas as plataformas:
Ao alterar autorizações em uma fila, o broker acessará os valores atualizados na próxima vez em que um pedido for processado. Não é necessário parar e reiniciar o broker.
Se você atualizar o ID do usuário ou associação ao grupo usando os recursos do sistema operacional na plataforma na qual o gerenciador de filas do broker está em execução, será necessário assegurar que o gerenciador de filas reconheça estas mudanças. Selecione a opção Atualizar Serviço de Autorização no WebSphere MQ Explorer para notificar o gerenciador de filas sobre o status atualizado.
A autoridade necessária depende dos requisitos do usuário:
A maneira na qual você configura as autoridades necessárias se difere por plataforma:
Estes tópicos específicos de plataforma também fornecem exemplos de uso de comando para visualizar quais autorizações são apropriadas usando o comando dspmqaut do WebSphere MQ e para fazer dump destas informações usando o comando dmpmqaut.
Para obter informações sobre as permissões adicionais que são necessárias para gravar e reproduzir dados, consulte Ativando a Segurança para Registro e Reprodução.
Se desejar que IDs do usuário adicionais tenham autorização de administrador, inclua esses IDs no grupo mqbrkrs, ou inclua permissões do WebSphere MQ para inquire, put e set para esses IDs do usuário nesta fila.
A tabela a seguir resume as permissões necessárias do WebSphere MQ:
Objeto | Nome | Permissões |
---|---|---|
Gerenciador de Filas | O gerenciador de filas associado ao broker; por exemplo, MB8QMGR | Connect |
Fila | SYSTEM.BROKER.DEPLOY.QUEUE | Put |
Fila | SYSTEM.BROKER.DEPLOY.REPLY | Get |
Fila | SYSTEM.BROKER.AUTH | Inquire |
Fila | SYSTEM.BROKER.AUTH.EG | Inquire |
Para obter informações adicionais sobre permissões em filas de autorização, consulte Permissões do WebSphere Message Broker e Permissões Equivalentes do WebSphere MQ e Tarefas e Autorizações para Segurança de Administração.
Se um usuário ou aplicativo desejar conectar-se a um broker, será necessário conceder a ele as permissões apropriadas. Todos os aplicativos gravados no CMP API e os usuários do WebSphere Message Broker Explorer e o WebSphere Message Broker Toolkit, requerem permissões com base em suas ações esperadas. A tabela a seguir mostra as permissões do WebSphere MQ necessárias:
Objeto | Nome | Permissões |
---|---|---|
Gerenciador de Filas | O gerenciador de filas associado ao broker; por exemplo, MB8QMGR | Connect |
Fila | SYSTEM.BROKER.DEPLOY.QUEUE | Put |
Fila | SYSTEM.BROKER.DEPLOY.REPLY | Get |
Fila | SYSTEM.BROKER.AUTH | Inquire1 |
Fila | SYSTEM.BROKER.AUTH.EG | Inquire1 |
São necessárias também permissões adicionais para os usuários que se conectarão ao broker por meio da interface com o usuário da web, conforme descrito em Autoridade Necessária para Usuários da Interface com o Usuário da Web.
Para que os usuários possam utilizar a interface com o usuário da web, você deve configurar as permissões de segurança para as funções (contas de usuário do sistema) associadas às contas do usuário da web. As permissões são verificadas para determinar uma autorização de usuários da web para executar tarefas na interface com o usuário da web ou a interface de programação de aplicativos (API) REST. Assegure-se de que os usuários tenham as autorizações a seguir:
Objeto | Nome | Permissões |
---|---|---|
Fila | SYSTEM.BROKER.WEBADMIN.SUBSCRIPTION | GET |
Tópico | SYSTEM.BROKER.MB.TOPIC | SUBSCRIBE |
Para obter mais informações sobre funções e contas do usuário da web, consulte Segurança Baseada em Função e Gerenciando Contas de Usuário da Web.
Antes de poder gravar e reproduzir dados, você deve configurar as permissões de segurança para captura de dados, além de configurar a segurança administrativa. A fila SYSTEM.BROKER.DC.AUTH controla as ações de gravação e reprodução que um usuário pode concluir no broker. Assegure-se de que os usuários tenham as autorizações apropriadas para concluir as seguintes ações nesta fila:
Ação | Autoridade Necessária |
---|---|
Para visualizar dados, fluxos de bits e listas de exceção | READ (+INQ) |
Reproduzir dados | EXECUTE (+SET) |
Ao executar um broker com a segurança de administração ativada, pode ser necessário restringir os nomes e o comprimento dos nomes especificados para seus grupos de execução, porque o WebSphere MQ aplica algumas restrições para os nomes de filas de autorização. Para obter detalhes dessas restrições e de possíveis efeitos, consulte Filas de Autorização para Segurança de Administração do Broker.