Seguridad de destinos
Cuando la seguridad de mensajería está habilitada, se aplica la política de autorización para los recursos del bus de integración de servicios, y las aplicaciones cliente deben tener autorización para acceder a los destinos de bus.
Autorización de destinos
- Emisor
- Este rol se aplica a destinos de alias, foreignDestination, puerto, cola y topicSpace.
- Receptor
- Este tipo de rol se aplica a destinos de alias, puerto, cola y topicSpace.
- Navegador
- Este tipo de rol se aplica a destinos de alias, puerto y cola.
- Creador
- Este rol se aplica sólo a los destinos temporales.
Autorización de destino temporal
Un prefijo de destino temporal, que se especifica cuando se crea un destino temporal, es utilizado durante la ejecución por el motor de mensajería para determinar la autorización de acceso para el destino temporal. Cuando se crea un destino temporal, la identidad de su creador se asigna al rol de creador para el prefijo de destino temporal. De forma predeterminada, todos los usuarios autenticados pueden crear los destinos temporales. Para otorgar a los miembros de un grupo acceso a un destino temporal, debe asignar el grupo al rol de emisor para el correspondiente destino temporal.
Autorización de varios destinos
Cuando un mensaje llega a un destino, es posible que se direccione a uno o más destinos antes de que lo reciba una aplicación. Esto puede suceder, por ejemplo, si hay una mediación en el primer destino. Cuando el mensaje llega al primer destino, el motor de mensajería comprueba que la identidad de la aplicación emisora tenga autorización en el rol de emisor para enviar mensajes al destino y añade la identidad del emisor al mensaje. Si el mensaje se direcciona a otro destino, el motor de mensajería comprueba que la identidad del emisor en el mensaje tenga autorización en el rol de emisor para el destino al que se está direccionando. El motor de mensajería sigue comprobando la autorización de la aplicación emisora junto con la ruta de direccionamiento de reenvío del mensaje hasta que éste llega a un destino mediado. La mediación puede sustituir (aunque no siempre lo hace) la identidad del emisor contenida en el mensaje por la identidad de mediación. Si esto ocurre, el motor de mensajería utiliza la identidad de mediación para comprobar la autorización del emisor para enviar al siguiente destino en la ruta de direccionamiento de reenvío, y no la identidad del emisor original.
Herencia de una autorización de seguridad
Un destino puede heredar asignaciones de roles del recurso predeterminado. Sólo pueden heredarse los tipos de rol que están permitidos para un determinado tipo de destino. Por ejemplo, un destino de cola puede heredar el rol de navegador del recurso predeterminado. Las asignaciones de roles heredadas se añaden a las asignaciones de roles existentes para un destino. Por ejemplo, un destino de cola que tenga miembros de un grupo llamado Grupo 1 en el rol de emisor puede heredar el Grupo 2 en el rol de emisor para el recurso predeterminado.