Seguridad de temas

Las aplicaciones cliente publican y se suscriben a un tema. Cuando está habilitada la seguridad de mensajería, las aplicaciones cliente requieren autorización para acceder a un tema.

Los temas están contenidos en un espacio de temas, que es un tipo de destino. En el espacio de temas, los temas se organizan en una o varias jerarquías de temas que se basan en los nombres de temas. Las jerarquías de temas están unidas en una raíz virtual que se crea al crear el espacio de temas. Un tema se crea dentro del espacio de temas cuando la aplicación cliente publica en el tema.

Cuando una conexión accede a un tema, se realiza una comprobación de acceso para asegurarse de que el usuario asociado a la conexión tiene permiso para acceder al destino de espacio de temas que contiene el tema. Se realiza una segunda comprobación para asegurarse de que el usuario también tiene acceso al tema propiamente dicho, dentro de la jerarquía de temas que son propiedad del destino de espacio de temas. Esto permite realizar un control más preciso del acceso a los temas, como se muestra en el diagrama más adelante en este apartado. El diagrama muestra un espacio de temas denominado tspace1 que contiene dos jerarquías de temas, denominadas deportes y automóviles.

Figura 1. Ejemplo de un espacio de temas con autorización de nivel de tema
Esta figura es un ejemplo de un espacio de temas con dos jerarquías de temas, deportes y coches. Se define un rol emisor y receptor en la raíz virtual, con roles adicionales definidos en las tareas en varios niveles de la jerarquía de deportes.
Nota: Una conexión debe tener autorización para acceder al destino de espacio de temas, independientemente de cualquier acceso que se le haya concedido dentro de la jerarquía de temas propiedad del destino de espacio de temas.

Cada bus puede contener más de un espacio de temas. Cada espacio de temas es independiente de los otros espacios de temas del bus. Los temas de los espacios de temas diferentes no están relacionados aunque tengan el mismo nombre. Considere, por ejemplo, un bus que contiene dos espacios de temas llamados tspace1 y tspace2, y que cada espacio de temas contiene un tema llamado automóviles. Si una aplicación cliente se suscribe a automóviles de tspace1, sólo puede recibir los mensajes publicados en el tema automóviles de tspace1.

Autorización basada en roles y herencia de temas

La seguridad de temas se basa en la autorización basada en roles. Para obtener más información, consulte Autorización basada en roles. Para facilitar la administración de la autorización de seguridad para un gran número de temas, el rol de acceso definido para un tema contiene la autorización de acceso para el propio tema y, de forma predeterminada, para cualquier tema por debajo de este último que esté dentro de la jerarquía de temas. Por tanto, un tema hereda los roles del tema padre. Por consiguiente, un rol de acceso definido en la raíz virtual contiene, de forma predeterminada, la autoridad de acceso para cada uno de los temas del espacio de temas. En el ejemplo concreto anterior, los roles de emisor y receptor se han definido en la raíz virtual del espacio de temas tspace1.

Puede definir roles nuevos para un tema y puede inhabilitar la herencia de roles para cualquier tema de la jerarquía de temas. Se añaden roles nuevos a los roles que el tema hereda de su tema padre. La figura anterior contiene los siguientes ejemplos de cómo funciona la herencia de los roles de temas:
  • Los temas deportes, críquet y automóviles heredan el rol de emisor definido en la raíz virtual, pero la herencia del rol de emisor para el tema tenis está inhabilitada. Esto significa que el tema tenis y sus hijos no pueden heredar el rol de emisor de la raíz virtual. El rol de emisor está definido para el propio tema tenis. El motor de mensajería comprueba que una aplicación cliente que estable una conexión tenga autorización en el rol de emisor para el tema tenis y sus hijos.
  • Cada tema de la jerarquía hereda el rol de receptor de la raíz virtual. El tema deportes también tiene su propio rol de receptor. El motor de mensajería realiza más comprobaciones cuando existen roles de acceso adicionales. Los hijos del tema deportes heredan el rol de receptor del tema padre y de la raíz virtual. El tema césped también tiene su propio rol de receptor.

Puede definir roles de acceso para un tema antes de que se cree el tema durante la ejecución. Tenga en cuenta que el tema puede heredar roles de su padre a no ser que inhabilite explícitamente la herencia de temas.

Autorización de suscripciones

Cuando una aplicación cliente crea una suscripción para un tema seleccionado, el motor de mensajería comprueba que el cliente tenga autorización en el rol de receptor para recibir los mensajes publicados en el tema seleccionado. Una suscripción puede ser para un tema individual o para varios temas, si se utilizan comodines en la especificación de temas. En cualquier caso, cuando llega un mensaje para la suscripción, el motor de mensajería comprueba que la aplicación cliente tenga autorización en el rol de receptor para el tema seleccionado. Cuando una aplicación cliente crea una suscripción para un tema individual, el motor de mensajería comprueba que el cliente tenga autorización en el rol de creador para crear una suscripción.

Existe una suscripción no duradera mientras dura la sesión del suscriptor. Esto significa que la suscripción deja de existir cuando finaliza la sesión del suscriptor. Una suscripción duradera sigue existiendo después de que haya finalizado la sesión del suscriptor. Esto significa que la suscripción sigue recopilando mensajes sobre el tema o temas cuando el suscriptor no está conectado al bus. El suscriptor puede reiniciar la suscripción y recopilar los mensajes. Sólo la aplicación cliente que ha creado la suscripción duradera puede reiniciarla. De esta manera, el motor de mensajería puede comprobar la autorización de acceso de los mensajes que se recopilan en el tema cuando la suscripción está inactiva.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjr0440_
File name: cjr0440_.html