Otorgar autorización a uno o más grupos o usuarios para completar las tareas específicas que se ejecutan respecto a un intermediario y sus recursos.
Debe activar las seguridad de administración del intermediario para poder otorgar o revocar permisos de ID usuario específicos. La primera vez que activa la seguridad, debe configurar el control inicial para cada usuario, para autorizarle a realizar ciertas operaciones. A partir de este momento, puede concederle autorizaciones adicionales, o revocarle permisos, según convenga.
Puede otorgar autorizaciones a principales (ID de usuario) individuales, a grupos de usuarios, o a ambos, en todas las plataformas:
Cuando cambia autorizaciones en una cola, el intermediario accede a los valores actualizados la próxima vez que se procesa una solicitud. No es necesario detener y reiniciar el intermediario.
Si actualiza los ID de usuario o la pertenencia a grupos utilizando los recursos del sistema operativo de la plataforma en la que se ejecute el gestor de colas del intermediario, debe asegurarse de que éste sea consciente de estos cambios. Seleccione la opción Renovar servicio de autorizaciones en WebSphere MQ Explorer para notificar al gestor de colas que se ha actualizado el estado.
La autorización que se necesita depende de los requisitos del usuario:
El modo en que se configuran las autorizaciones necesarias, difiere según la plataforma:
Estos temas específicos de la plataforma también proporcionan ejemplos de uso de mandatos para ver qué autorizaciones están en vigor utilizando el mandato WebSphere MQ dspmqaut y para volcar esta información utilizando el mandato dmpmqaut.
Para obtener información acerca de los permisos adicionales que son necesarios para la grabación y reproducción de datos, consulte Habilitar la seguridad para grabar y reproducir.
Si desea que unos ID de usuario adicionales tengan autorización de administrador, añada dichos ID al grupo mqbrkrs o añada permisos de WebSphere MQ de preguntar, colocar y establecer para esos ID de usuario a esta cola.
La tabla siguiente resume los permisos de WebSphere MQ que son necesarios:
Objeto | Nombre | Permisos |
---|---|---|
Gestor de colas | El gestor de colas asociado al intermediario; por ejemplo, MB8QMGR | Connect (Conectar) |
Cola | SYSTEM.BROKER.DEPLOY.QUEUE | Put (Colocar) |
Cola | SYSTEM.BROKER.DEPLOY.REPLY | Get (Obtener) |
Cola | SYSTEM.BROKER.AUTH | Inquire (Preguntar) |
Cola | SYSTEM.BROKER.AUTH.EG | Inquire (Preguntar) |
Para obtener más información sobre los permisos sobre las colas de autorización, consulte Permisos de WebSphere Message Broker y permisos de WebSphere MQ equivalentes y Tareas y autorizaciones para la seguridad de administración.
Si un usuario o una aplicación quiere conectarse a un intermediario, debe otorgarles los permisos adecuados. Todas las aplicaciones que se graban en la API de CMP, y los usuarios de WebSphere Message Broker Explorer y de WebSphere Message Broker Toolkit, necesitan permisos basados en las acciones que se espera que lleven a cabo. En la tabla siguiente se muestran los permisos necesarios de WebSphere MQ:
Objeto | Nombre | Permisos |
---|---|---|
Gestor de colas | El gestor de colas asociado al intermediario; por ejemplo, MB8QMGR | Connect (Conectar) |
Cola | SYSTEM.BROKER.DEPLOY.QUEUE | Put (Colocar) |
Cola | SYSTEM.BROKER.DEPLOY.REPLY | Get (Obtener) |
Cola | SYSTEM.BROKER.AUTH | Inquire1 (Preguntar) |
Cola | SYSTEM.BROKER.AUTH.EG | Inquire1 (Preguntar) |
También son necesarios permisos adicionales para los usuarios que se conectarán con el intermediario a través de la interfaz de usuario web, como se describe en Autorización necesaria para los usuarios de la interfaz de usuario web.
Para que los usuarios puedan utilizar la interfaz de usuario web, debe establecer permisos de seguridad para los roles (cuentas de usuario del sistema) que están asociados a las cuentas de usuarios web. Los permisos se comprueban para determinar la autorización de un usuario web para realizar tareas en la interfaz de usuario web o la interfaz de programación de aplicaciones (API) REST. Asegúrese de que los usuarios tienen las siguientes autorizaciones:
Objeto | Nombre | Permisos |
---|---|---|
Cola | SYSTEM.BROKER.WEBADMIN.SUBSCRIPTION | GET |
Tema | SYSTEM.BROKER.MB.TOPIC | SUBSCRIBE |
Para obtener más información sobre roles y cuentas de usuarios web, consulte Seguridad basada en roles and Gestionar cuentas de usuario web.
Para poder grabar y reproducir datos, debe establecer permisos de seguridad para la captura de datos además de establecer la seguridad administrativa. La cola SYSTEM.BROKER.DC.AUTH controla las acciones de grabación y reproducción que un usuario puede completar en el intermediario. Asegúrese de que los usuarios tienen las autorizaciones adecuadas para llevar a cabo las siguientes acciones en esta cola:
Acción | Permiso necesario |
---|---|
Para ver datos, corrientes de bits y listas de excepciones | READ (+INQ) |
Para reproducir datos | EXECUTE (+SET) |
Cuando ejecute un intermediario con la administración de seguridad habilitada, es posible que tenga que restringir los nombres y la longitud de los nombres que ponga a los grupos de ejecución, porque WebSphere MQ impone algunas restricciones en los nombres de cola de autorización. Para obtener detalles sobre estas restricciones, y los posibles efectos, consulte Colas de autorización para la seguridad de administración del intermediario.