Utilice la seguridad basada en temas para controlar qué aplicaciones del sistema de publicación/suscripción pueden acceder a la información y a qué temas.
Para cada tema al que desee restringir el acceso puede especificar los principales (ID de usuarios y grupos de ID de usuarios) que pueden publicar y los principales que pueden suscribirse a dicho tema. También puede especificar qué principales pueden solicitar la entrega permanente de mensajes.
Cualquier principal puede publicar, suscribir y solicitar la entrega permanente de mensajes sobre cualquier tema cuyo acceso no se restrinja explícitamente.
La seguridad basada en temas se gestiona mediante un Servidor de nombres de usuarios que utiliza las listas de control de accesos (ACL) que el usuario crea para decidir las autorizaciones que se aplican.
El Servidor de nombres de usuarios de WebSphere Business Integration Event Broker gestiona el conjunto de principales que ya están definidos en la red, siguiendo las indicaciones de los intermediarios y del Gestor de configuración, para utilizarlos en la publicación/suscripción. En Windows, esta lista de usuarios se toma del dominio especificado en el mandato mqsicreateusernameserver.
El Servidor de nombres de usuarios se da a conocer al intermediario y al Gestor de configuración especificando el gestor de colas del Servidor de nombres de usuarios en los mandatos mqsicreatebroker y mqsicreateconfigmgr.
Los intermediarios de mensajes que están dentro del dominio de intermediarios interactúan con el Servidor de nombres de usuarios para recuperar el conjunto completo de usuarios y grupos a partir del cual se crean las listas de control de accesos y con las que se validan las peticiones de publicación/suscripción. El Gestor de configuración interactúa con el Servidor de nombres de usuarios para visualizar los usuarios y grupos de usuarios en las ACL creadas utilizando el Editor de jerarquía de temas que proporciona la perspectiva Administración de intermediarios del área de trabajo.
Las listas de control de accesos se utilizan para definir, para cualquier tema y principal, el derecho de dicho principal a publicar sobre un tema o a suscribirse a dicho tema, o a solicitar la entrega permanente de una publicación sobre dicho tema.
Las ACL también pueden utilizarse para definir el nivel de protección de mensajes que se desea aplicar a cada tema.
Especifique estas definiciones utilizando el Editor de jerarquía de temas en el perspectiva Administración de intermediarios del área de trabajo.
El control de accesos puede establecerse explícitamente para cada tema. No obstante, si no se define ninguna ACL explícita para un tema, el control de accesos se adopta de un tema anterior o superior, según lo definido por la estructura jerárquica del árbol de temas. Si ningún temas de la jerarquía hasta llegar al tema raíz tiene una ACL explícita, el tema adoptará la ACL del tema raíz.
Cualquier principal que el Servidor de nombres de usuarios conozca puede asociarse con un tema de esta forma.
Las ACL no se pueden asociar a temas que contengan uno o más comodines. Sin embargo, el acceso desde la aplicación cliente se resuelve correctamente cuando se realiza el registro de suscripción, incluso si la aplicación especifica un comodín en el tema.
Además de los grupos que define el usuario, WebSphere Business Integration Event Broker proporciona un grupo implícito, PublicGroup, al que pertenecen automáticamente todos los usuarios. Este grupo implícito simplifica la especificación de las ACL en un árbol de temas. Particularmente, este grupo se utiliza en la especificación de la ACL para el tema raíz. Tenga en cuenta que el valor por omisión del tema raíz permite publicar y suscribir operaciones para PublicGroup. Puede ver y cambiar esta ACL utilizando el área de trabajo, pero no podrá eliminarla. Determina los permisos por omisión para todo el árbol de temas. Puede especificar ACL para el PublicGroup en otro lugar del árbol de temas, dondequiera que desee definir permisos para todos los usuarios.
Si tiene un principal llamado Public definido en el entorno de seguridad existente, no podrá utilizarlo para la seguridad basada en temas. Si especifica este valor dentro de una ACL, se igualará a PublicGroup y, por lo tanto, permitirá siempre un acceso global.
WebSphere Business Integration Event Broker otorga privilegios especiales de control de accesos de publicación/suscripción a miembros del grupo mqbrkrs y al grupo global mqbrkrs del dominio, si corresponde.
Los intermediarios necesitan privilegios especiales para realizar operaciones internas de publicación y suscripción en redes en las que hay control de accesos. Cuando se crea un intermediario en una red de este tipo, ha de especificarse un ID de usuario que pertenezca al grupo mqbrkrs como ID de usuario de servicio para el intermediario. El grupo mqbrkrs obtiene privilegios implícitos de forma que sus miembros puedan publicar, suscribir y solicitar la entrega permanente de mensajes sobre el tema raíz (""). Los demás temas adoptan estos permisos. Si intenta configurar una ACL para el grupo mqbrkrs utilizando el área de trabajo, WebSphere Business Integration Event Broker ignorará dicha ACL.
No configura las ACL sobre temas que empiecen con la serie de caracteres "$ISYS". No se le impedirá hacerlo, pero se ignorarán.
Opción | Descripción |
---|---|
Publicar | Permite o deniega al principal la publicación de mensajes sobre este tema. |
Suscribir | Permite o deniega al principal la suscripción a mensajes sobre este tema. |
Permanente | Especifica si el principal puede recibir mensajes permanentemente. Si el principal no tiene permiso, todos los mensajes se envían de forma no permanente. Cada suscripción individual indica si el suscriptor requiere mensajes permanentes. |
Nivel de calidad de protección (QoP) | Indica el nivel de protección de mensajes que se aplica.
Puede elegirse uno de los cuatro valores siguientes:
|
Normalmente, los temas están ordenados en un árbol jerárquico. La ACL de un tema superior puede ser adoptada por alguno o todos los temas inferiores que no tienen una ACL explícita. Por lo tanto, no es necesario tener una ACL explícita asociada a cada uno de temas. Todos los temas tienen una política de ACL que es la del tema superior. Si ninguno de los temas superiores, hasta llegar al tema raíz, tiene ACL explícitas, el tema adopta la ACL del tema raíz.
Por ejemplo, en el árbol de temas que aparece abajo, el tema raíz no puede verse, pero se presupone que tiene una ACL para PublicGroup cuyos miembros pueden publicar, suscribir y recibir publicaciones permanentes.(El símbolo "¬" significa "no".)
Adopción de ACL en un árbol de temas
Tema | Publicadores | Suscriptores | Permanente |
---|---|---|---|
A | sólo joe | todos | ninguno |
A/P | sólo joe | todos | sólo joe |
A/K | sólo joe | todos | ninguno |
A/K/M | sólo joe | todos | ninguno |
A/K/M/N | sólo mary, joe | todos | todos excepto nat |
A/B | allen, joe | HR | ninguno |
Los temas que no se crea explícitamente el administrador del sistema, pero que se crean dinámicamente cuando un cliente publica mensajes o se suscribe a ellos, se tratan del mismo modo que los creados por el administrador del sistema, pero no tienen ACL definidas explícitamente. Es decir, que las ACL para temas creados dinámicamente proceden del tema anterior más cercano en el árbol de temas que tiene una política explícita. Por lo tanto, no es necesario definir temas secundarios en el árbol, si no tienen ACL explícitas.
Con WebSphere Business Integration Event Broker no se puede asociar una política de seguridad explícita a un tema comodín. Por ejemplo, no se puede asociar una ACL al tema "A/+", que representa una jerarquía de dos niveles e incluye "A/B", "A/K", y "A/P".
Así mismo, WebSphere Business Integration Event Broker no garantiza una mediación de acceso correcta cuando una aplicación cliente se suscribe a un tema comodín.
Por ejemplo, el tema "A/+" no tiene, ni puede tener, una política de seguridad asociada a él. Por lo tanto, "A/+" adopta su política de "A". Cualquier usuario puede suscribirse a "A/+" puesto que la ACL de suscripción incluye a todo el mundo.
Cuando se publica un mensaje sobre "A/P" o "A/K", el intermediario lo entrega al usuario que se haya inscrito para "A/+". No obstante, cuando un mensaje se publica para "A/B", sólo se entrega a suscriptores que están en el grupo HR.
Si el administrador del sistema cambia la ACL de suscripción de un tema que coincida con "A/+", el intermediario impondrá correctamente la ACL cuando se entregue el mensaje. La suscripción a un tema comodín tiene la semántica para entregar mensajes sobre todos los temas que coincidan con el comodín y para los que el suscriptor tenga autorización para recibir el mensaje.
El intermediario impone el control de accesos a través del tema del mensaje que va a entregarse. Los mensajes sólo se entregan a los clientes a los que no se ha denegado el acceso de suscripción a ese tema, ya sea explícitamente o porque se ha adoptado. Como una suscripción puede contener un comodín, la coincidencia real con el espacio de nombres del tema y, por lo tanto, las ACL del tema, no puede efectuarse cuando se recibe la suscripción. La decisión de entregar un mensaje a un suscriptor se realiza únicamente cuando un mensaje específico con un tema está siendo procesado por el intermediario de mensajes.
La actualizaciones a una ACL de un tema no entran en vigor hasta que se difunden y activan a través del dominio de intermediarios a partir del área de trabajo de WebSphere Business Integration Event Broker. Es necesario ser miembro del grupo mqbrops para difundir ACL, o un usuario o miembro de un grupo que tenga una ACL de seguridad a nivel de objetos que proporcione, como mínimo, permiso de difusión para el objeto del tema raíz.
Conceptos relacionados
Servidor de nombres de usuarios
Temas
Publicadores
Suscriptores
Seguridad
Seguridad para recursos de ejecución
Seguridad de publicación/suscripción
Tareas relacionadas
Habilitación de la seguridad basada en temas
Creación de un Servidor de nombres de usuarios
Creación de entradas ACL
Referencia relacionada
Editor de jerarquías de temas
Editor de consulta de suscripciones
Avisos |
Marcas registradas |
Descargas |
Biblioteca |
Soporte |
Información de retorno (feedback)
![]() ![]() |
aq01203_ |