Autorización basada en roles

La seguridad de mensajería de integración de servicios utiliza una autenticación basada en roles. Al añadir y eliminar usuarios y grupos en los roles de acceso, podrá controlar quién accede a un bus seguro y sus recursos.

Cuando la seguridad del bus está habilitada, debe añadir usuarios y grupos a los roles de acceso para otorgarles la autoridad para conectarse al bus, y trabajar con sus recursos de mensajería, por ejemplo, un destino o un espacio de temas. Puede administrar los usuarios y grupos en los roles de acceso utilizando la consola administrativa o utilizando los mandatos de referencia wsadmin.

Roles de acceso

Al añadir un usuario a un rol de acceso, debe otorgar a dicho usuario todos los permisos de seguridad incluidos dentro del tipo de rol. Puede añadir usuarios a los roles de acceso siguientes:
Rol Connector
Otorga al usuario el permiso para conectarse al bus local.
Rol de emisor
Otorga al usuario el permiso para enviar un mensaje a un destino.
Rol de receptor
Otorga al usuario el permiso para recibir un mensaje de un destino.
Rol de navegador
Otorga al usuario el permiso para examinar los mensajes en un destino.
Rol de creador
Otorga al usuario el permiso para crear un prefijo de destino temporal.

Usuarios y grupos

Cualquier usuario o grupo que desee añadir a un rol de acceso debe tener una definición en el registro de usuarios. Un usuario que pertenece a un grupo que se ha añadido a un rol de acceso está autorizado para llevar a cabo las operaciones permitidas para dicho rol.

Existen tres tipos especiales de grupos:
Todos los autenticados
Contiene todos los usuarios autenticados. Si el grupo Todos autenticados está autorizado para realizar una operación, todos los usuarios autenticados están autorizados para realizarla. Cuando se crea un bus, se crea un conjunto inicial de permisos de autorización que permite a todos los usuarios del grupo Todos autenticados acceder a todos los destinos. Puede cambiar estos permisos para limitar el acceso a los usuarios y grupos específicos que desea conectar al bus.
Todos
Contiene todos los usuarios, hayan sido o no autenticados.
Servidor
Contiene cada WebSphere Application Server dentro de una célula.

Operaciones de mensajería

Cuando la seguridad de mensajería está habilitada, todas las operaciones de los recursos siguientes requieren autorización:
Buses
Cuando un usuario se conecta a un bus local, el sistema comprueba que el usuario tenga autorización para conectarse al bus. Si un usuario que ya se ha conectado satisfactoriamente a un bus local desea enviar un mensaje a un destino de un bus foráneo, el usuario requiere autorización para acceder al bus foráneo.
Destinos
Los usuarios requieren autorización para realizar operaciones de mensajería (normalmente, enviar, recibir y examinar) en un destino.
Destinos temporales
Un usuario debe tener el rol de creador para crear un destino temporal. De forma predeterminada, el grupo Todos autenticados tiene el rol de creador. Cuando un usuario autorizado (una aplicación cliente) crea un destino temporal, se especifica un prefijo de destino temporal. El motor de mensajería utiliza el prefijo de destino temporal en tiempo de ejecución para determinar qué operaciones puede realizar la aplicación cliente. Una aplicación cliente que tenga el rol de emisor para un prefijo de destino temporal tiene autorización para enviar mensajes al destino temporal.
Espacios de temas y temas
Para acceder a un tema de espacio de temas, un usuario debe tener autorización para acceder al espacio de temas y a los temas específicos contenidos en este espacio de temas. Para facilitar la gestión de las autorizaciones de temas, de forma predeterminada un tema hereda los permisos de autorización de su padre en el espacio de nombres de tema. Puede cambiar los permisos heredados para un tema concreto o inhabilitar la herencia en el nivel de espacio de temas para un espacio de temas concreto. En este caso, el sistema comprueba que el usuario tenga autorización para acceder al espacio de temas, pero no se efectúan más comprobaciones en el nivel de tema.

Permisos de autorización predeterminados

Los permisos de autorización predeterminados le permiten conceder rápidamente acceso a todos los destinos locales. Aunque el grupo Todos autenticados tiene un acceso completo a todos los destinos, sólo el grupo Servidor tiene el rol de conector. Si desea que un usuario particular acceda al bus, debe añadir dicho usuario al rol de conector del bus para el bus. Cuando los usuarios tienen el rol de conector de bus, tienen un acceso completo al bus.

Los permisos predeterminados se aplican a todos los destinos de un espacio de nombres de bus local, con las siguientes excepciones:
  • Un destino para el cual está inhabilitada la herencia.
  • Destinos foráneos
  • Los destinos de alias que tiene un nombre de bus de alias que no es el nombre del bus local

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjr0450_
File name: cjr0450_.html