En
MQSeries Publicación/suscripción, todas las
comprobaciones de autorización de publicación y suscripción se realizan en la
cola de corriente de datos:
- Las aplicaciones de publicación requieren autorización para transferir
mensajes a la cola de corriente de datos.
- El intermediario de MQSeries Publicación/suscripción comprueba la
autorización de las aplicaciones de suscripción que desean examinar la cola de
corriente de datos.
- Las aplicaciones de suscripción requieren autorización para transferir
mensajes a la cola nominada para recibir sus aplicaciones.
.
Los intermediarios de WebSphere Business Integration Message Broker
realizan la misma comprobación, pero la autorización de suscripción (examinar)
ya no se comprueba.
En lugar de eso,
WebSphere Business Integration Message Broker permite definir el acceso de
publicación y suscripción de un modo jerárquico hasta un nivel de tema
individual.
Para hacerlo, utilice el área de trabajo para crear listas de control de
accesos (ACL).
Antes de migrar un intermediario de
MQSeries Publicación/suscripción a un intermediario de
WebSphere Business Integration Message Broker de repuesto, o antes de migrar las
aplicaciones de
MQSeries Publicación/suscripción para que se ejecuten
en
WebSphere Business Integration Message Broker, debe tener en cuenta las
implicaciones de seguridad:
- Las aplicaciones de publicación se someten a las mismas comprobaciones,
incluso si el intermediario se ejecuta con la seguridad de temas inhabilitada,
ya que MQSeries sigue encargándose de comprobar la autorización para transferir
un mensaje a la cola de corriente de datos o de publicaciones.
No obstante, las publicaciones de corriente de datos las puede procesar
WebSphere Business Integration Message Broker en cualquier cola de entrada, dado
que los publicadores ya no necesitan transferir a una cola que tenga el
mismo nombre que la corriente de datos. Por lo tanto, deberá configurar ACL
equivalentes para todas las corrientes de datos utilizando los calificadores de
nivel de tema correspondientes.
- El intermediario de WebSphere Business Integration Message Broker no comprueba
que las aplicaciones de suscripción tengan autorización para examinar la cola
de corriente de datos. En lugar de eso,
WebSphere Business Integration Message Broker modela las corrientes de datos
agregando prefijos a todos los temas que no forman parte de la corriente de
datos por omisión con el prefijo exclusivo, $SYS/STREAM/<streamname>/.
Esto mantiene las características de partición de las corrientes de datos y
permite configurar ACL específicas de corriente de datos. El intermediario no
altera los temas de la corriente de datos por omisión.
Por lo tanto, el tema raíz puede utilizarse para especificar las autorizaciones
de los temas de corriente de datos por omisión.
El diagrama mostrado más abajo muestra las autorizaciones de
corriente de datos necesarias.
El ejemplo presupone que el usuario ha actualizado la ACL por omisión del
tema raíz del PublicGroup principal con las autorizaciones para publicar,
suscribir realizar una entrega permanente establecidas en
deny.
Utilizando este ejemplo, suponga
que se han definido los grupos siguientes:
- PDefault: grupo de usuarios autorizado para publicar en la corriente de
datos por omisión
- SDefault: grupo de usuarios autorizado para suscribirse a la corriente de
datos por omisión
- PStreamX: grupo de usuarios autorizado para publicar en StreamX
- SStreamX: grupo de usuarios autorizado para suscribirse a StreamX
- PStreamY: grupo de usuarios autorizado para publicar en StreamY
- SStreamY: grupo de usuarios autorizado para suscribirse a StreamY
Debe otorgar y denegar autorizaciones configurando las ACL como se
indica a continuación:
- Debe otorgarse a PDefault la autorización de publicación en la raíz; debe
otorgarse a SDefault la autorización de suscripción en la raíz.
- Debe denegarse a PDefault la autorización de publicación en $SYS/STREAM/;
debe denegarse a SDefault la autorización de suscripción en $SYS/STREAM/.
Estos valores garantizan que los publicadores y suscriptores de la corriente de
datos por omisión no puedan publicar automáticamente en, o suscribirse a, otras
corrientes de datos; debe definirse una ACL que altere temporalmente y de forma
explícita estos valores.
- Debe otorgarse a PStreamX la autorización de publicación en
$SYS/STREAM/StreamX/, debe otorgarse a SStreamX la autorización de suscripción
en $SYS/STREAM/StreamX/.
Estos valores alteran
temporalmente cualquier valor de los temas principales y limitan la actividad
de publicación y suscripción a los usuarios de estos grupos específicos.
- Debe otorgarse a PStreamY la autorización de publicación en
$SYS/STREAM/StreamY/, debe otorgarse a SStreamY la autorización de suscripción
en $SYS/STREAM/StreamY/.
Estos valores alteran
temporalmente cualquier valor de los temas principales y limitan la actividad
de publicación y suscripción a los usuarios de estos grupos específicos.
Si desea configurar excepciones de esta situación, debe
introducir una ACL en el punto apropiado. Por ejemplo, si desea otorgar
autorización a los publicadores de la corriente de datos por omisión (PDefault)
para publicar en StreamX, debe crear una ACL explícita en el punto (3) para
otorgar esa autorización y, de este modo, se alterará temporalmente el rechazo
en el punto (2). En este escenario, los usuarios de PDefault seguirán sin poder
publicar en StreamY.