Autorización de corriente de datos

En MQSeries Publicación/suscripción, todas las comprobaciones de autorización de publicación y suscripción se realizan en la cola de corriente de datos:
  • Las aplicaciones de publicación requieren autorización para transferir mensajes a la cola de corriente de datos.
  • El intermediario de MQSeries Publicación/suscripción comprueba la autorización de las aplicaciones de suscripción que desean examinar la cola de corriente de datos.
  • Las aplicaciones de suscripción requieren autorización para transferir mensajes a la cola nominada para recibir sus aplicaciones.
.

Los intermediarios de WebSphere Business Integration Event Broker realizan la misma comprobación, pero la autorización de suscripción (examinar) ya no se comprueba.

En lugar de eso, WebSphere Business Integration Event Broker permite definir el acceso de publicación y suscripción de un modo jerárquico hasta un nivel de tema individual. Para hacerlo, utilice el área de trabajo para crear listas de control de accesos (ACL).

Antes de migrar un intermediario de MQSeries Publicación/suscripción a un intermediario de WebSphere Business Integration Event Broker de repuesto, o antes de migrar las aplicaciones de MQSeries Publicación/suscripción para que se ejecuten en WebSphere Business Integration Event Broker, debe tener en cuenta las implicaciones de seguridad:
  • Las aplicaciones de publicación se someten a las mismas comprobaciones, incluso si el intermediario se ejecuta con la seguridad de temas inhabilitada, ya que MQSeries sigue encargándose de comprobar la autorización para transferir un mensaje a la cola de corriente de datos o de publicaciones.

    No obstante, las publicaciones de corriente de datos las puede procesar WebSphere Business Integration Event Broker en cualquier cola de entrada, dado que los publicadores ya no necesitan transferir a una cola que tenga el mismo nombre que la corriente de datos. Por lo tanto, deberá configurar ACL equivalentes para todas las corrientes de datos utilizando los calificadores de nivel de tema correspondientes.

  • El intermediario de WebSphere Business Integration Event Broker no comprueba que las aplicaciones de suscripción tengan autorización para examinar la cola de corriente de datos. En lugar de eso, WebSphere Business Integration Event Broker modela las corrientes de datos agregando prefijos a todos los temas que no forman parte de la corriente de datos por omisión con el prefijo exclusivo, $SYS/STREAM/<streamname>/. Esto mantiene las características de partición de las corrientes de datos y permite configurar ACL específicas de corriente de datos. El intermediario no altera los temas de la corriente de datos por omisión. Por lo tanto, el tema raíz puede utilizarse para especificar las autorizaciones de los temas de corriente de datos por omisión.
El diagrama mostrado más abajo muestra las autorizaciones de corriente de datos necesarias. El ejemplo presupone que el usuario ha actualizado la ACL por omisión del tema raíz del PublicGroup principal con las autorizaciones para publicar, suscribir realizar una entrega permanente establecidas en deny.

Autorizaciones de corriente de datos
Utilizando este ejemplo, suponga que se han definido los grupos siguientes:
  • PDefault: grupo de usuarios autorizado para publicar en la corriente de datos por omisión
  • SDefault: grupo de usuarios autorizado para suscribirse a la corriente de datos por omisión
  • PStreamX: grupo de usuarios autorizado para publicar en StreamX
  • SStreamX: grupo de usuarios autorizado para suscribirse a StreamX
  • PStreamY: grupo de usuarios autorizado para publicar en StreamY
  • SStreamY: grupo de usuarios autorizado para suscribirse a StreamY
Debe otorgar y denegar autorizaciones configurando las ACL como se indica a continuación:
  1. Debe otorgarse a PDefault la autorización de publicación en la raíz; debe otorgarse a SDefault la autorización de suscripción en la raíz.
  2. Debe denegarse a PDefault la autorización de publicación en $SYS/STREAM/; debe denegarse a SDefault la autorización de suscripción en $SYS/STREAM/.

    Estos valores garantizan que los publicadores y suscriptores de la corriente de datos por omisión no puedan publicar automáticamente en, o suscribirse a, otras corrientes de datos; debe definirse una ACL que altere temporalmente y de forma explícita estos valores.

  3. Debe otorgarse a PStreamX la autorización de publicación en $SYS/STREAM/StreamX/, debe otorgarse a SStreamX la autorización de suscripción en $SYS/STREAM/StreamX/.

    Estos valores alteran temporalmente cualquier valor de los temas principales y limitan la actividad de publicación y suscripción a los usuarios de estos grupos específicos.

  4. Debe otorgarse a PStreamY la autorización de publicación en $SYS/STREAM/StreamY/, debe otorgarse a SStreamY la autorización de suscripción en $SYS/STREAM/StreamY/.

    Estos valores alteran temporalmente cualquier valor de los temas principales y limitan la actividad de publicación y suscripción a los usuarios de estos grupos específicos.

Si desea configurar excepciones de esta situación, debe introducir una ACL en el punto apropiado. Por ejemplo, si desea otorgar autorización a los publicadores de la corriente de datos por omisión (PDefault) para publicar en StreamX, debe crear una ACL explícita en el punto (3) para otorgar esa autorización y, de este modo, se alterará temporalmente el rechazo en el punto (2). En este escenario, los usuarios de PDefault seguirán sin poder publicar en StreamY.