ランタイム・リソースのセキュリティー

ランタイム・リソースは、実行時に存在する WebSphere Message Broker オブジェクトです。 ランタイム・セキュリティーは、ワークベンチからのこれらのリソースでアクションを取る許可を制御します。 例えば、実行グループにメッセージ・フローをデプロイするのに使用するユーザー ID には、そのデプロイ・アクションを取るための許可が必要です。

WebSphere Message Broker では、各ランタイム・オブジェクトにアクセス制御リスト (ACL) があります。 オブジェクトの ACL は、プリンシパルがそのオブジェクトに対して持つ表示および変更許可を 決定します (ACL 許可 を参照してください)。 ACL は、より高度な細分度を提供し、プリンシパルが持つ許可をより高い度合いで制御 できるようにします。 また ACL は、単一のセキュリティー・ドメイン内の単一の構成マネージャーが、アクセス制御が非互換のブローカーに対して、開発、システム・テスト、および実動などの制御ができるようにします。

WebSphere Message Broker を使用すると、グループごとではなく、オブジェクトごとにアクセスを制御することができます。 例えば、JUNGLE¥MPERRY は BROKERA を変更するためにアクセスすることはできても、BROKERB へのアクセス権限がないかもしれません。 さらに別の例として、どちらのグループも BROKERA のメンバーであるのに、同じユーザーが実行グループ EXEGRP1 のデプロイのためにアクセスすることができても、EXEGRP2 にはアクセスできないということがあります。

アクセス・レベル制御は、すべてのタイプの WebSphere Message Broker オブジェクト、例えばブローカーおよび実行グループなどで要求される操作に基づきます。 アクセス制御は、プリンシパル (ユーザーおよびグループ) への割り当ての許可を有効にし、これらの許可がデプロイメント構成リソースへの表示および変更権限を指定します。 WebSphere Message Broker では、管理者は ACL を構成してその組織のプリンシパルを使用できます。

このモデルは、必要なグループおよびアクセス・エントリーが作成された場合に、実行される必要のあるアクションに基づいて完全なオブジェクト・レベル・アクセスを提供し、システム管理者はローカルおよびドメイン・グループをネストして、セキュリティー要件とユーザーを編成するのに役立てることができます。

マイグレーションの問題なく、WebSphere Message Broker の以前のリリースの既存のグループ・レベルの安全保護環境で引き続き作業することができます。既存のユーザー役割定義グループがメンバーにある場合には、このモデルを何も変更を加えることなく使用し続けることができます。 オブジェクト・レベルのセキュリティー・モデルは、ユーザー役割定義グループが空であるか、または存在しない場合にのみ、起動します。 オブジェクト・レベルのセキュリティーをインプリメントしたい場合には、ユーザー役割定義グループが空であることを確認する必要があります。

ワークベンチでは、許可が必要な操作を試行しようとすると、次の情報が構成マネージャーに渡されます。

構成マネージャーは ACL 表を検査します。ユーザー ID が名前付きオブジェクトの ACL に含まれている場合、操作を実行する許可があります。

システム管理者が ACL の制御に使用するツールの詳細については、以下の関連参照情報を参照してください。

関連概念
セキュリティーの概要
関連タスク
ブローカー・ドメインのセキュリティーのセットアップ
トピック・ベースのセキュリティーの使用可能化
関連資料
管理用タスクでのセキュリティーの要件
mqsicreateaclentry コマンド
mqsideleteaclentry コマンド
mqsilistaclentry コマンド
ACL 許可
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 Last updated: 5 01, 2006
ap01360_