Rollenbasierte Berechtigung
Für die Messaging-Sicherheit bei der Serviceintegration werden rollenbasierte Berechtigungen verwendet. Indem Sie Benutzer und Gruppen in Zugriffsrollen hinzufügen oder aus diesen entfernen, können Sie steuern, wer Zugriff auf einen gesicherten Bus und seine Ressourcen hat.
Wenn die Bussicherheit aktiviert ist, müssen Sie Benutzer und Gruppen Zugriffsrollen zuordnen, um ihnen die Berechtigung zu erteilen, eine Verbindung zum Bus herzustellen und mit seinen Ressourcen, z. B. einem Ziel oder einem Tocpicbereich, arbeiten zu können. Sie können Benutzer und Gruppen in Zugriffsrollen über die Administrationskonsole oder mit wsadmin-Referenzbefehlen verwalten.
Zugriffsrollen
- Rolle "Connector"
- Diese Rolle erteilt dem Benutzer die Berechtigung, eine Verbindung zum lokalen Bus herzustellen.
- Rolle "Sender"
- Diese Rolle erteilt dem Benutzer die Berechtigung, eine Nachricht an ein Ziel zu senden.
- Rolle "Empfänger"
- Diese Rolle erteilt dem Benutzer die Berechtigung, eine Nachricht von einem Ziel zu empfangen.
- Rolle "Browser"
- Diese Rolle erteilt dem Benutzer die Berechtigung, Nachrichten an einem Ziel zu durchsuchen.
- Rolle "Ersteller"
- Diese Rolle erteilt dem Benutzer die Berechtigung, ein temporäres Zielpräfix zu erstellen.
Benutzer und Gruppen
Alle Benutzer oder Gruppen, die Sie einer Zugriffsrolle zuordnen möchten, müssen eine Definition in der Benutzerregistry haben. Ein Benutzer, der zu einer Gruppe gehört, die einer Zugriffsrolle zugeordnet wurde, ist berechtigt, die für diese Rolle zulässigen Operationen auszuführen.
- Alle Authentifizierten
- Enthält alle authentifizierten Benutzer. Wenn die Gruppe "Alle Authentifizierten" für eine Operation berechtigt ist, sind auch alle authentifizierten Benutzer berechtigt, diese Operation auszuführen. Beim Erstellen eines Busses wird eine erste Gruppe von Berechtigungen erstellt, die allen Benutzern in der Gruppe "Alle Authentifizierten" den Zugriff auf alle lokalen Ziele erlaubt. Sie können diese Berechtigungen ändern, um den Zugriff auf spezielle Benutzer und Gruppen zu beschränken, denen Sie den Zugriff auf den Bus erlauben möchten.
- Jeder
- Enthält alle Benutzer, unabhängig davon, ob sie authentifiziert sind oder nicht.
- Server
- Enthält alle WebSphere Application Server in einer Zelle.
Messaging-Operationen
- Busse
- Wenn ein Benutzer eine Verbindung zu einem lokalen Bus herstellt, prüft das System, ob der Benutzer berechtigt ist, die Verbindung zum Bus herzustellen. Wenn ein Benutzer, der bereits erfolgreich eine Verbindung zu einem lokalen Bus hergestellt hat, eine Nachricht an ein Ziel in einem fremden Bus senden möchte, benötigt´der Benutzer die Berechtigung für den Zugriff auf den fremden Bus.
- Ziele
- Benutzer benötigen die Berechtigung, Messaging-Operationen (normalerweise Senden, Empfangen und Durchsuchen) an einem Ziel auszuführen.
- Temporäre Ziele
- Ein Benutzer muss die Rolle "Ersteller" haben, um ein temporäres Ziel erstellen zu können. Standardmäßig hat die Gruppe "Alle Authentifizierten" die Rolle "Ersteller". Wenn ein berechtigter Benutzer (eine Clientanwendung) ein temporäres Ziel erstellt, wird ein temporäres Zielpräfix angegeben. Die Messaging-Engine verwendet das temporäre Zielpräfix zur Laufzeit, um zu bestimmen, welche Operationen die Clientanwendung ausführen darf. Eine Clientanwendung, die die Rolle "Sender" für ein temporäres Zielpräfix hat, ist berechtigt, Nachrichten an das temporäre Ziel zu senden.
- Topicbereiche und Topics
- Wenn ein Benutzer auf ein Topic in einem Topicbereich zugreifen möchte, muss er berechtigt sein, auf den Topicbereich und die einzelnen Topics in diesem Topicbereich zuzugreifen. Zur einfacheren Verwaltung der Topicberechtigungen übernimmt (erbt) ein Topic standardmäßig die Berechtigungen seines übergeordneten Topics im Topic-Namespace. Sie können übernommene Berechtigungen für jedes angegebene Topic ändern oder die Übernahme der Berechtigungen auf Topicbereichsebene für einen bestimmten Topicbereich inaktivieren. In diesem Fall prüft das System, ob der Benutzer für den Zugriff auf den Topicbereich berechtigt ist, führt aber keine weiteren Prüfungen auf Topicebene durch.
Standardberechtigungen
Mit den Standardberechtigungen können Sie umgehend Zugriff auf alle lokalen Ziele erteilen. Obwohl die Gruppe "Alle Authentifizierten" vollständigen Zugriff auf alle Ziele hat, hat nur die Gruppe "Server" die Rolle "Connector" für den Bus. Wenn Sie einem bestimmten Benutzer den Zugriff auf den Bus erlauben möchten, müssen Sie ihn der Rolle "Connector" für den Bus zuordnen. Wenn ein Benutzer der Rolle "Connector" für den Bus zugeordnet ist, hat er vollständigen Zugriff auf den Bus.
- Ein Ziel, für das die Übernahme inaktiviert ist
- Fremde Ziele
- Aliasziele, die einen Aliasbusnamen haben, der nicht der Name des lokalen Busses ist