Sicherheit für einen IBM MQ-Link ändern
Sie können den Zugriff zwischen einem Service Integration Bus und einem IBM MQ-Warteschlangenmanager sichern.
Informationen zu diesem Vorgang
Wenn Sie einen neuen IBM MQ-Link erstellen,
können Sie den Assistenten für fremde Busverbindungen verwenden, um die Sicherheit zu aktivieren:
- Wenn der IBM MQ-Warteschlangenmanager eine sichere Verbindung erfordert, können Sie den IBM MQ-Empfängerkanal so konfigurieren, dass nur Verbindungen akzeptiert werden, die mit SSL-basierter Verschlüsselung arbeiten.
- Wenn der lokale Bus sicher ist, können Sie festlegen, dass die eingehende Benutzer-ID für den Service Integration Bus
die Benutzer-ID in Nachrichten des IBM MQ-Warteschlangenmanagers ersetzt, sodass diese Nachrichten
berechtigt sind, auf ihre Ziele zuzugreifen.
- Benutzer-ID für eingehende Anforderungen
- Wenn eine Benutzer-ID für eingehende Anforderungen definiert ist, scheinen alle eingehenden Nachrichten von dieser Benutzer-ID zu stammen. Wenn die Sicherheit im Bus aktiviert ist, scheinen die Nachrichten mit dieser Benutzer-ID authentifiziert zu sein und haben Zugriff auf alle Ressourcen, auf die diese Benutzer-ID Zugriff hat.
- Wenn keine eingehende Benutzer-ID definiert wird, enthalten die Nachrichten dieselbe Benutzer-ID, die auch im MQMD-Header (IBM MQ Message Descriptor, IBM MQ-Nachrichtendeskriptor) der IBM MQ-Nachricht enthalten ist. Diese Benutzer sind nicht authentifiziert und haben deshalb nur Zugriff auf Ressourcen, die keine Authentifizierung erfordern.
- Benutzer-ID für abgehende Anforderungen
- Wenn eine Benutzer-ID für abgehende Anforderungen definiert ist, scheinen alle abgehenden Nachrichten von dieser Benutzer-ID zu stammen (unter Verwendung des Felds "userid" im Header MQMD).
- Wenn keine Benutzer-ID für abgehende Anforderungen definiert ist, haben die Nachrichten dieselbe Benutzer-ID wie in der ursprünglichen SIB-Nachricht.
Verwenden Sie diese Task, um den lokalen und den fremden Bus, die zu einer IBM MQ-Linkkonfiguration gehören, zu sichern und um einen vorhandenen IBM MQ-Link zu sichern, der bei seiner Erstellung nicht gesichert wurde.
Allgemeinere Informationen zur Sicherheit eines Service Integration Bus finden Sie im Artikel Serviceintegration sichern.
Vorgehensweise
- Aktivieren Sie die Sicherheit im Service Integration Bus und im fremden Bus, der das IBM MQ-Netz darstellt. Weitere Informationen hierzu finden Sie im Artikel Busse sichern.
- Sichern Sie den Link zwischen den Bussen. Lesen Sie hierzu den Artikel Verbindungen zu einem IBM MQ-Netz sichern.
- Erteilen Sie den Benutzern, die Nachrichten an den fremden Bus senden, Zugriff auf den lokalen Bus. Lesen Sie hierzu den Artikel Busse sichern.
- Erteilen Sie den Benutzern, die Nachrichten an den fremden Bus senden, Zugriff auf diesen Bus. Lesen Sie hierzu den Artikel Rollen für fremde Busse verwalten.
- Optional: Erteilen Sie Benutzern Zugriff auf fremde oder Aliasziele, die Nachrichten an einen fremden Bus weiterleiten. Lesen Sie hierzu den Artikel Rollen für Ziele verwalten.