Autorización basada en roles
La seguridad de mensajería de integración de servicios utiliza una autenticación basada en roles. Al añadir y eliminar usuarios y grupos en los roles de acceso, podrá controlar quién accede a un bus seguro y sus recursos.
Cuando la seguridad del bus está habilitada, debe añadir usuarios y grupos a los roles de acceso para otorgarles la autoridad para conectarse al bus, y trabajar con sus recursos de mensajería, por ejemplo, un destino o un espacio de temas. Puede administrar los usuarios y grupos en los roles de acceso utilizando la consola administrativa o utilizando los mandatos de referencia wsadmin.
Roles de acceso
- Rol Connector
- Otorga al usuario el permiso para conectarse al bus local.
- Rol de emisor
- Otorga al usuario el permiso para enviar un mensaje a un destino.
- Rol de receptor
- Otorga al usuario el permiso para recibir un mensaje de un destino.
- Rol de navegador
- Otorga al usuario el permiso para examinar los mensajes en un destino.
- Rol de creador
- Otorga al usuario el permiso para crear un prefijo de destino temporal.
Usuarios y grupos
Cualquier usuario o grupo que desee añadir a un rol de acceso debe tener una definición en el registro de usuarios. Un usuario que pertenece a un grupo que se ha añadido a un rol de acceso está autorizado para llevar a cabo las operaciones permitidas para dicho rol.
- Todos los autenticados
- Contiene todos los usuarios autenticados. Si el grupo Todos autenticados está autorizado para realizar una operación, todos los usuarios autenticados están autorizados para realizarla. Cuando se crea un bus, se crea un conjunto inicial de permisos de autorización que permite a todos los usuarios del grupo Todos autenticados acceder a todos los destinos. Puede cambiar estos permisos para limitar el acceso a los usuarios y grupos específicos que desea conectar al bus.
- Todos
- Contiene todos los usuarios, hayan sido o no autenticados.
- Servidor
- Contiene cada WebSphere Application Server dentro de una célula.
Operaciones de mensajería
- Buses
- Cuando un usuario se conecta a un bus local, el sistema comprueba que el usuario tenga autorización para conectarse al bus. Si un usuario que ya se ha conectado satisfactoriamente a un bus local desea enviar un mensaje a un destino de un bus foráneo, el usuario requiere autorización para acceder al bus foráneo.
- Destinos
- Los usuarios requieren autorización para realizar operaciones de mensajería (normalmente, enviar, recibir y examinar) en un destino.
- Destinos temporales
- Un usuario debe tener el rol de creador para crear un destino temporal. De forma predeterminada, el grupo Todos autenticados tiene el rol de creador. Cuando un usuario autorizado (una aplicación cliente) crea un destino temporal, se especifica un prefijo de destino temporal. El motor de mensajería utiliza el prefijo de destino temporal en tiempo de ejecución para determinar qué operaciones puede realizar la aplicación cliente. Una aplicación cliente que tenga el rol de emisor para un prefijo de destino temporal tiene autorización para enviar mensajes al destino temporal.
- Espacios de temas y temas
- Para acceder a un tema de espacio de temas, un usuario debe tener autorización para acceder al espacio de temas y a los temas específicos contenidos en este espacio de temas. Para facilitar la gestión de las autorizaciones de temas, de forma predeterminada un tema hereda los permisos de autorización de su padre en el espacio de nombres de tema. Puede cambiar los permisos heredados para un tema concreto o inhabilitar la herencia en el nivel de espacio de temas para un espacio de temas concreto. En este caso, el sistema comprueba que el usuario tenga autorización para acceder al espacio de temas, pero no se efectúan más comprobaciones en el nivel de tema.
Permisos de autorización predeterminados
Los permisos de autorización predeterminados le permiten conceder rápidamente acceso a todos los destinos locales. Aunque el grupo Todos autenticados tiene un acceso completo a todos los destinos, sólo el grupo Servidor tiene el rol de conector. Si desea que un usuario particular acceda al bus, debe añadir dicho usuario al rol de conector del bus para el bus. Cuando los usuarios tienen el rol de conector de bus, tienen un acceso completo al bus.
- Un destino para el cual está inhabilitada la herencia.
- Destinos foráneos
- Los destinos de alias que tiene un nombre de bus de alias que no es el nombre del bus local