Seguridad para recursos de ejecución

Los recursos de ejecución son objetos WebSphere Business Integration Message Broker que existen durante la ejecución. La seguridad de la ejecución controla los permisos para realizar acciones sobre dichos recursos desde el área de trabajo. Por ejemplo, el ID de usuario que utilice para difundir un flujo de mensajes para un grupo de ejecución ha de tener permiso para llevar a cabo dicha acción de difusión.

En WebSphere Business Integration Message Broker, cada objeto de ejecución tiene una ACL (Lista de control de accesos). La ACL de un objeto determina la vista y modifica los permisos que tiene un principal sobre dicho objeto. Las ACL proporcionan más granularidad y ofrecen al usuario un grado de control mayor sobre los permisos que tienen los principales. Las ACL también permiten a un solo Gestor de configuración de un solo dominio de seguridad controlar intermediarios con control de accesos incompatible como, por ejemplo, el desarrollo, las pruebas del sistema y la producción.

WebSphere Business Integration Message Broker permite controlar el acceso por objeto en vez de por grupo. Por ejemplo, al usuario JUNGLE\MPERRY podría habérsele proporcionado acceso para modificar BROKERA y no tener derechos de acceso sobre BROKERB. En un ejemplo posterior, el mismo usuario podría tener acceso para efectuar una difusión para el grupo de ejecución EXEGRP1, pero no para EXEGRP2, incluso si ambos son miembros de BROKERA.

El control de nivel de accesos se base en la operación solicitada para cualquier tipo de objeto WebSphere Business Integration Message Broker, por ejemplo, intermediarios y grupos de ejecución. El control de accesos permite la asignación de autorizaciones a principales (usuarios y grupos), y dichas autorizaciones especifican los derechos de visualización y modificación para los recursos de difusión de la configuración. En WebSphere Business Integration Message Broker, los administradores pueden configurar las ACL para utilicen los principales de su organización.

Este modelo proporciona un nivel de acceso a objetos basado en la acción que es necesario realizar, siempre y cuando se hayan creado el grupo necesario y la entrada de accesos, y el administrador del sistema pueda anidar grupos locales y del dominio para ayudar a organizar los requisitos de seguridad y los usuarios.

Puede seguir operando con cualquier entorno de seguridad a nivel de grupo, procedente de releases anteriores de WebSphere Business Integration Message Broker sin ningún problema de seguridad. Si tiene algún grupo de definición de funciones de usuario que tenga miembros, podrá seguir utilizando ese modelo sin necesidad de efectuar ningún cambio adicional. El modelo de seguridad a nivel de objeto sólo se invoca si los grupos de definición de funciones de usuario están vacíos o no existen. Si desea implementar la seguridad a nivel de objeto, asegúrese de que los grupos de de definición de funciones de usuario están vacíos.

En el área de trabajo, cuando intenta realizar una operación para la que se requiere permiso, la siguiente información se pasa al Gestor de configuración:

El Gestor de configuración comprueba los grupos de definición de funciones de usuario (mqbrops) para obtener la autorización para que su ID de usuario realice la acción solicitada en el tipo de objeto. Si el permiso no puede concederse utilizando esos grupos, el Gestor de configuración comprobará la tabla de ACL. Si el ID de usuario está incluido en la ACL para el objeto nombrado o si es miembro de un grupo de Windows que tenga el acceso requerido para el objeto en cuestión, tendrá autorización para realizar la operación.

Vea la información de consultas relacionadas donde encontrará descripciones de las herramientas que los administradores del sistema utilizan para controlar las ACL.

Conceptos relacionados
Seguridad

Tareas relacionadas
Configuración de la seguridad de un dominio de intermediarios
Habilitación de la seguridad basada en temas

Referencia relacionada
Requisitos de seguridad para tareas administrativas
Mandato mqsicreateaclgroup
Mandato mqsideleteaclgroup
Mandato mqsilistaclgroup
Permisos de ACL