WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

管理のためのユーザーへの権限の付与

ブローカーとそのリソースに対する特定のタスクを実行する権限を 1 つ以上のグループまたはユーザーに付与します。

特定のユーザー ID の許可を付与したり取り消したりする前に、ブローカー管理セキュリティーをアクティブ化する必要があります。 最初にセキュリティーをアクティブ化するときに、特定の操作を実行するための権限を付与する各ユーザーの初期制御をセットアップしなければなりません。 その後、必要に応じて、追加の権限を付与したり、許可を取り消したりすることが可能になります。

どのプラットフォームでも、個々のプリンシパル (ユーザー ID) とユーザー・グループのいずれかまたは両方に権限を付与できます。

キューで権限を変更すると、ブローカーは、次回の要求処理時に更新後の値にアクセスします。 ブローカーをいったん停止して再始動する必要はありません。

ブローカーのキュー・マネージャーが稼働しているプラットフォームのオペレーティング・システム機能を使用してユーザー ID またはグループ・メンバーシップを更新した場合は、キュー・マネージャーにその変更を知らせる必要があります。 キュー・マネージャーに更新後の状況を通知するには、WebSphere MQ Explorer の「権限サービスのリフレッシュ」オプションを選択します。

必要な権限は、ユーザーの要件によって異なります。

必要な権限をセットアップする方法は、プラットフォームによって異なります。

プラットフォーム固有のこれらのトピックでは、適用されている権限を WebSphere MQ dspmqaut コマンドを使用して表示する場合や、その情報を dmpmqaut コマンドを使用してダンプする場合のコマンド使用法の例も示しています。

データの記録および再生に必要な追加許可については、記録および再生のセキュリティーの使用可能化を参照してください。

管理者に必要な権限

管理セキュリティーをアクティブ化すると、キュー SYSTEM.BROKER.AUTH に関する照会、書き込み、設定の WebSphere MQ 許可が mqbrkrs グループに付与されます。 その許可によって、mqbrkrs のメンバーであるすべてのユーザー ID に、ブローカーとそのプロパティーに対する読み取り、書き込み、実行の権限が認可されます。

さらに別のユーザー ID に管理者権限を持たせる場合は、その ID を mqbrkrs グループに追加するか、そのキューに対する照会、書き込み、設定の WebSphere MQ 許可をそのユーザー ID に追加します。

必要な WebSphere MQ 許可について次の表で要約されています。

オブジェクト 名前 許可
キュー・マネージャー ブローカーに関連したキュー・マネージャー (MB8QMGR など)

接続
照会

キュー SYSTEM.BROKER.DEPLOY.QUEUE 書き込み
キュー SYSTEM.BROKER.DEPLOY.REPLY

取得
書き込み

キュー SYSTEM.BROKER.AUTH

照会
書き込み
設定

キュー SYSTEM.BROKER.AUTH.EG

照会
書き込み
設定

権限キューに対する許可について詳しくは、WebSphere Message Broker 許可および同等の WebSphere MQ 許可および管理セキュリティーのタスクと権限を参照してください。

ブローカーに接続するユーザーに必要な権限

ユーザーまたはアプリケーションがブローカーに接続する場合は、そのユーザーまたはアプリケーションに適切な許可を付与する必要があります。 CMP API に基づいて作成されたすべてのアプリケーションや、WebSphere Message Broker ExplorerWebSphere Message Broker Toolkit のユーザーには、それぞれが実行するアクションに応じた許可が必要です。 必要な WebSphere MQ 許可を以下の表にまとめます。

オブジェクト 名前 許可
キュー・マネージャー ブローカーに関連したキュー・マネージャー (MB8QMGR など)

接続
照会

キュー SYSTEM.BROKER.DEPLOY.QUEUE 書き込み
キュー SYSTEM.BROKER.DEPLOY.REPLY

取得
書き込み

キュー SYSTEM.BROKER.AUTH 照会1
キュー SYSTEM.BROKER.AUTH.EG 照会1
注:
  1. このレベルの権限がなくてもユーザーとアプリケーションはブローカーに接続できますが、プロパティーの表示をはじめ、ブローカーに対するアクションを要求することはできません。

Web ユーザー・インターフェースを介してブローカーに接続するユーザーには、追加の権限が必要です (Web ユーザー・インターフェース・ユーザーに必要な権限を参照)。

変更の始まり

Web ユーザー・インターフェース・ユーザーに必要な権限

ユーザーが Web ユーザー・インターフェースを使用する前に、Web ユーザー・アカウントに関連付けられているロール (システム・ユーザー・アカウント) のセキュリティー権限を設定する必要があります。これらの権限が検査されて、Web ユーザー・インターフェースまたは REST アプリケーション・プログラミング・インターフェース (API) でタスクを実行するための Web ユーザーの権限が決定されます。 ユーザーに以下の権限が付与されていることを確認してください。

オブジェクト 名前 許可
キュー SYSTEM.BROKER.WEBADMIN.SUBSCRIPTION

GET
PUT

トピック SYSTEM.BROKER.MB.TOPIC

SUBSCRIBE
PUBLISH

ロールと Web ユーザー・アカウントについて詳しくは、役割ベースのセキュリティーおよびWeb ユーザー・アカウントの管理を参照してください。

変更の終わり

データの記録および再生に必要な権限

データを記録および再生する前に、管理セキュリティーの設定に加えて、データ・キャプチャーのセキュリティー権限を設定する必要があります。 キュー SYSTEM.BROKER.DC.AUTH は、ユーザーがブローカーに対して実行できる記録および再生の各アクションを制御します。 ユーザーに、このキューで以下のアクションを完了するための適切な権限があることを確認してください。

アクション 必要な権限
データ、ビット・ストリーム、および例外リストの表示 READ (+INQ)
データの再生 EXECUTE (+SET)

開発者に必要な権限

ユーザーが既存の実行グループや開発リソース (BAR ファイルなど) を操作する場合は、1 つ以上の SYSTEM.BROKER.AUTH.EG キュー (EG は実行グループの名前) に対する照会、書き込み、設定の WebSphere MQ 許可をそのユーザーに追加します。

管理セキュリティーを有効にしてブローカーを実行するときには、実行グループに付ける名前の文字や長さについて制限を設けなければならない場合があります。権限キュー名については、WebSphere MQ によっていくつかの制約事項が適用されるからです。 そのような制約事項とそれに伴って考えられる影響の詳細については、ブローカー管理セキュリティーのための権限キューを参照してください。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:49:29


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bp43610_