Autorización de corriente de datos

En MQSeries Publicación/suscripción, todas las comprobaciones de autorización de publicación y suscripción se realizan en la cola de corriente de datos. Las aplicaciones de publicación necesitan autorización para transferir mensajes a la cola de corriente de datos. El intermediario de MQSeries Publicación/suscripción comprueba también la autorización de las aplicaciones de suscripción que requieren autorización para examinar en la cola de corriente de datos. Una aplicación de suscripción debe tener también autorización para transferir a la cola a la que ha nominado para recibir sus publicaciones.

Los intermediarios de WebSphere Business Integration Message Broker realizan una comprobación similar, pero no hay comprobaciones de autorización para suscribir ni examinar. En lugar de eso, WebSphere Business Integration Message Broker utiliza una lista de control de accesos (ACL), que el usuario puede crear utilizando el área de trabajo, para proporcionar las autorizaciones necesarias para los temas individuales. Si desea ver más información sobre las ACL, consulte el apartado Seguridad para recursos de ejecución.

Antes de migrar un intermediario de MQSeries Publicación/suscripción a WebSphere Business Integration Message Broker, o de migrar la aplicaciones MQSeries Publicación/suscripción para que se ejecuten en WebSphere Business Integration Message Broker, debe considerar las siguientes implicaciones de seguridad:

Autorizaciones de corriente de datos


Autorizaciones de corriente de datos

La figura muestra las autorizaciones de corriente de datos necesarias. Este ejemplo presupone que el usuario ha actualizado la ACL por omisión del tema raíz del PublicGroup principal con las autorizaciones para publicar, suscribir y realizar una entrega permanente establecidas en deny.

Utilizando este ejemplo, suponga que se han definido los grupos siguientes:
Debe otorgar y denegar autorizaciones configurando las ACL como se indica a continuación:
  1. Debe otorgarse a PDefault la autorización de publicación en la raíz, y a SDefault la autorización de suscripción en la raíz.
  2. Debe denegarse a PDefault la autorización de publicación en $SYS/STREAM/, y a SDefault la autorización de suscripción en $SYS/STREAM/.

    Estos valores garantizan que los publicadores y suscriptores de la corriente de datos por omisión no puedan publicar en, o suscribirse a, otras corrientes de datos sin una ACL explícita que altere temporalmente el valor relevante.

  3. Debe otorgarse a PStreamX la autorización de publicación en $SYS/STREAM/StreamX/, y a SStreamX la autorización de suscripción en $SYS/STREAM/StreamX/.

    Estos valores alteran temporalmente cualquier valor de los temas principales y limitan la actividad de publicación y suscripción a los usuarios de estos grupos específicos.

  4. Debe otorgarse a PStreamY la autorización de publicación en $SYS/STREAM/StreamY/, y a SStreamY la autorización de suscripción en $SYS/STREAM/StreamY/.

    Estos valores alteran temporalmente cualquier valor de los temas principales y limitan la actividad de publicación y suscripción a los usuarios de estos grupos específicos.

Si desea configurar excepciones de esta situación, puede hacerlo introduciendo una ACL en el punto apropiado. Por ejemplo, si desea otorgar autorización a los publicadores de la corriente de datos por omisión, PDefault, para publicar en StreamX, debe crear una ACL explícita en el punto (3) para otorgar esa autorización; este valor alterará temporalmente el rechazo de autorización en el punto (2). En este caso, los usuarios de PDefault seguirán sin poder publicar en StreamY.

Conceptos relacionados
Seguridad para recursos de ejecución

Tareas relacionadas
Suscripciones

Referencia relacionada
Cabecera MQRFH2