ブローカーとそのリソースに対する特定のタスクを実行する権限を 1 つ以上のグループまたはユーザーに付与します。
特定のユーザー ID の許可を付与したり取り消したりする前に、ブローカー管理セキュリティーをアクティブ化する必要があります。 最初にセキュリティーをアクティブ化するときに、特定の操作を実行するための権限を付与する各ユーザーの初期制御をセットアップしなければなりません。 その後、必要に応じて、追加の権限を付与したり、許可を取り消したりすることが可能になります。
どのプラットフォームでも、個々のプリンシパル (ユーザー ID) とユーザー・グループのいずれかまたは両方に権限を付与できます。
キューで権限を変更すると、ブローカーは、次回の要求処理時に更新後の値にアクセスします。 ブローカーをいったん停止して再始動する必要はありません。
ブローカーのキュー・マネージャーが稼働しているプラットフォームのオペレーティング・システム機能を使用してユーザー ID またはグループ・メンバーシップを更新した場合は、キュー・マネージャーにその変更を知らせる必要があります。 キュー・マネージャーに更新後の状況を通知するには、WebSphere MQ Explorer の「権限サービスのリフレッシュ」オプションを選択します。
必要な権限は、ユーザーの要件によって異なります。
必要な権限をセットアップする方法は、プラットフォームによって異なります。
プラットフォーム固有のこれらのトピックでは、適用されている権限を WebSphere MQ dspmqaut コマンドを使用して表示する場合や、その情報を dmpmqaut コマンドを使用してダンプする場合のコマンド使用法の例も示しています。
データの記録および再生に必要な追加許可については、記録および再生のセキュリティーの使用可能化を参照してください。
さらに別のユーザー ID に管理者権限を持たせる場合は、その ID を mqbrkrs グループに追加するか、そのキューに対する照会、書き込み、設定の WebSphere MQ 許可をそのユーザー ID に追加します。
必要な WebSphere MQ 許可について次の表で要約されています。
オブジェクト | 名前 | 許可 |
---|---|---|
キュー・マネージャー | ブローカーに関連したキュー・マネージャー (MB8QMGR など) | 接続 |
キュー | SYSTEM.BROKER.DEPLOY.QUEUE | 書き込み |
キュー | SYSTEM.BROKER.DEPLOY.REPLY | 取得 |
キュー | SYSTEM.BROKER.AUTH | 照会 |
キュー | SYSTEM.BROKER.AUTH.EG | 照会 |
権限キューに対する許可について詳しくは、WebSphere Message Broker 許可および同等の WebSphere MQ 許可および管理セキュリティーのタスクと権限を参照してください。
ユーザーまたはアプリケーションがブローカーに接続する場合は、そのユーザーまたはアプリケーションに適切な許可を付与する必要があります。 CMP API に基づいて作成されたすべてのアプリケーションや、WebSphere Message Broker Explorer と WebSphere Message Broker Toolkit のユーザーには、それぞれが実行するアクションに応じた許可が必要です。 必要な WebSphere MQ 許可を以下の表にまとめます。
オブジェクト | 名前 | 許可 |
---|---|---|
キュー・マネージャー | ブローカーに関連したキュー・マネージャー (MB8QMGR など) | 接続 |
キュー | SYSTEM.BROKER.DEPLOY.QUEUE | 書き込み |
キュー | SYSTEM.BROKER.DEPLOY.REPLY | 取得 |
キュー | SYSTEM.BROKER.AUTH | 照会1 |
キュー | SYSTEM.BROKER.AUTH.EG | 照会1 |
Web ユーザー・インターフェースを介してブローカーに接続するユーザーには、追加の権限が必要です (Web ユーザー・インターフェース・ユーザーに必要な権限を参照)。
ユーザーが Web ユーザー・インターフェースを使用する前に、Web ユーザー・アカウントに関連付けられているロール (システム・ユーザー・アカウント) のセキュリティー権限を設定する必要があります。これらの権限が検査されて、Web ユーザー・インターフェースまたは REST アプリケーション・プログラミング・インターフェース (API) でタスクを実行するための Web ユーザーの権限が決定されます。 ユーザーに以下の権限が付与されていることを確認してください。
オブジェクト | 名前 | 許可 |
---|---|---|
キュー | SYSTEM.BROKER.WEBADMIN.SUBSCRIPTION | GET |
トピック | SYSTEM.BROKER.MB.TOPIC | SUBSCRIBE |
ロールと Web ユーザー・アカウントについて詳しくは、役割ベースのセキュリティーおよびWeb ユーザー・アカウントの管理を参照してください。
データを記録および再生する前に、管理セキュリティーの設定に加えて、データ・キャプチャーのセキュリティー権限を設定する必要があります。 キュー SYSTEM.BROKER.DC.AUTH は、ユーザーがブローカーに対して実行できる記録および再生の各アクションを制御します。 ユーザーに、このキューで以下のアクションを完了するための適切な権限があることを確認してください。
アクション | 必要な権限 |
---|---|
データ、ビット・ストリーム、および例外リストの表示 | READ (+INQ) |
データの再生 | EXECUTE (+SET) |
管理セキュリティーを有効にしてブローカーを実行するときには、実行グループに付ける名前の文字や長さについて制限を設けなければならない場合があります。権限キュー名については、WebSphere MQ によっていくつかの制約事項が適用されるからです。 そのような制約事項とそれに伴って考えられる影響の詳細については、ブローカー管理セキュリティーのための権限キューを参照してください。