Seguridad de destinos

Cuando la seguridad de mensajería está habilitada, se aplica la política de autorización para los recursos del bus de integración de servicios, y las aplicaciones cliente deben tener autorización para acceder a los destinos de bus.

Autorización de destinos

El acceso a un destino se basa en roles. Al asignar un grupo de usuarios a un rol específico para un determinado destino de bus, otorga autorización al grupo para realizar una determinada operación en dicho destino de bus. Los roles para un destino dependen del tipo de destino:
Emisor
Este rol se aplica a destinos de alias, foreignDestination, puerto, cola y topicSpace.
Receptor
Este tipo de rol se aplica a destinos de alias, puerto, cola y topicSpace.
Navegador
Este tipo de rol se aplica a destinos de alias, puerto y cola.
Creador
Este rol se aplica sólo a los destinos temporales.
Las asignaciones de roles de destino se definen en el bus que es propietario del destino. Si se direcciona un mensaje entre dos o más destinos, los miembros de un grupo requieren autorización para acceder a cada uno de los destinos.

Autorización de destino temporal

Un prefijo de destino temporal, que se especifica cuando se crea un destino temporal, es utilizado durante la ejecución por el motor de mensajería para determinar la autorización de acceso para el destino temporal. Cuando se crea un destino temporal, la identidad de su creador se asigna al rol de creador para el prefijo de destino temporal. De forma predeterminada, todos los usuarios autenticados pueden crear los destinos temporales. Para otorgar a los miembros de un grupo acceso a un destino temporal, debe asignar el grupo al rol de emisor para el correspondiente destino temporal.

Autorización de varios destinos

Cuando un mensaje llega a un destino, es posible que se direccione a uno o más destinos antes de que lo reciba una aplicación. Esto puede suceder, por ejemplo, si hay una mediación en el primer destino. Cuando el mensaje llega al primer destino, el motor de mensajería comprueba que la identidad de la aplicación emisora tenga autorización en el rol de emisor para enviar mensajes al destino y añade la identidad del emisor al mensaje. Si el mensaje se direcciona a otro destino, el motor de mensajería comprueba que la identidad del emisor en el mensaje tenga autorización en el rol de emisor para el destino al que se está direccionando. El motor de mensajería sigue comprobando la autorización de la aplicación emisora junto con la ruta de direccionamiento de reenvío del mensaje hasta que éste llega a un destino mediado. La mediación puede sustituir (aunque no siempre lo hace) la identidad del emisor contenida en el mensaje por la identidad de mediación. Si esto ocurre, el motor de mensajería utiliza la identidad de mediación para comprobar la autorización del emisor para enviar al siguiente destino en la ruta de direccionamiento de reenvío, y no la identidad del emisor original.

Herencia de una autorización de seguridad

Un destino puede heredar asignaciones de roles del recurso predeterminado. Sólo pueden heredarse los tipos de rol que están permitidos para un determinado tipo de destino. Por ejemplo, un destino de cola puede heredar el rol de navegador del recurso predeterminado. Las asignaciones de roles heredadas se añaden a las asignaciones de roles existentes para un destino. Por ejemplo, un destino de cola que tenga miembros de un grupo llamado Grupo 1 en el rol de emisor puede heredar el Grupo 2 en el rol de emisor para el recurso predeterminado.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjr0430_
File name: cjr0430_.html