Autorisation basée sur des rôles

La sécurité de la messagerie d'intégration de services utilise l'autorisation par rôle. Lorsque vous ajoutez et supprimez des utilisateurs et des groupes pour les rôles d'accès, vous pouvez contrôler les personnes autorisées à accéder à un bus sécurisé et ses ressources.

Lorsque la sécurité du bus est activée, vous devez ajouter des utilisateurs et des groupes pour accéder aux rôles et les autoriser à se connecter au bus, puis utiliser ses ressources de messagerie (une destination ou un espace de sujet, par exemple). Vous pouvez gérer les utilisateurs et les groupes dans les rôles d'accès à l'aide de la console d'administration ou des commandes wsadmin.

Rôles d'accès

Lorsque vous ajoutez un utilisateur à un rôle d'accès, vous accordez à cet utilisateur tous les droits d'accès que contient le type de rôle. Vous pouvez ajouter des utilisateurs aux rôles d'accès suivants :
Rôle de connecteur
Permet à l'utilisateur de se connecter au bus local.
Rôle d'expéditeur
Permet à l'utilisateur d'envoyer un message à une destination.
Rôle de récepteur
Permet à l'utilisateur de recevoir un message d'une destination.
Rôle de navigateur
Permet à l'utilisateur de consulter les messages sur une destination.
Rôle de créateur
Permet à l'utilisateur de créer un préfixe de destination temporaire.

Utilisateurs et groupes

Tous les utilisateurs ou groupes que vous souhaitez ajouter à un rôle d'accès doivent comporter une définition dans le registre d'utilisateurs. Un utilisateur qui appartient à un groupe ayant été ajouté à un rôle peut effectuer les opérations autorisées pour ce rôle.

Il existe trois types de groupe particuliers :
Tous les utilisateurs authentifiés
Il contient tous les utilisateurs authentifiés. Si le groupe Tous les utilisateurs authentifiés est autorisé à effectuer une opération, tous les utilisateurs authentifiés le sont. Lors de la création d'un bus, un ensemble initial de droits d'accès est créé. Il permet à tous les utilisateurs du groupe Tous les utilisateurs authentifiés d'accéder à toutes les destinations locales. Vous pouvez modifier ces droits pour restreindre l'accès à certains utilisateurs et groupes que vous souhaitez connecter au bus.
Tous les utilisateurs
Il contient tous les utilisateurs, qu'ils soient authentifiés ou non.
Serveur
Il contient chaque serveur WebSphere Application Server dans une cellule.

Opérations de messagerie

Lorsque la sécurité de la messagerie est activée, toutes les opérations réalisées sur les ressources suivantes doivent être autorisées :
Bus
Lorsqu'un utilisateur se connecte à un bus local, le système vérifie que l'utilisateur dispose des droits d'accès permettant de se connecter au bus. Si l'utilisateur s'est déjà connecté à un bus local pour envoyer un message à une destination dans un bus externe, il doit être autorisé à accéder au bus externe.
Destinations
Les utilisateurs doivent être autorisés à effectuer des opérations de messagerie (en principe, l'envoi, la réception et la consultation de messages) sur une destination.
Destinations temporaires
Un utilisateur doit posséder le rôle de créateur pour créer une destination temporaire. Par défaut, le groupe Tous les utilisateurs authentifiés possède le rôle de créateur. Lorsqu'un utilisateur autorisé (application client) crée une destination temporaire, un préfixe de destination temporaire est spécifié. Le moteur de messagerie utilise le préfixe de destination temporaire lors de la phase d'exécution pour déterminer quelles opérations peuvent être effectuées par l'application client. Une application possédant le rôle d'émetteur pour un préfixe de destination temporaire est autorisée à envoyer des messages à la destination temporaire.
Espaces de sujet et sujets
Pour pouvoir accéder à un sujet dans un espace de sujet, un utilisateur doit disposer des droits permettant d'accéder à l'espace de sujet et aux sujets spécifiques dans l'espace de sujet. Pour faciliter la gestion des droits d'accès aux sujets, un sujet hérite des droits d'accès de ses parents dans l'espace de nom de sujet par défaut. Vous pouvez changer les droits d'accès hérités pour n'importe quel sujet ou désactiver l'héritage au niveau de l'espace de sujet pour un espace de sujet donné. Dans ce cas, le système vérifie que l'utilisateur peut accéder à l'espace de sujet mais aucun contrôle supplémentaire n'est effectué au niveau du sujet.

Droits d'accès par défaut

Les droits d'accès par défaut permettent d'accorder rapidement l'accès à toutes les destinations locales. Bien que le groupe Tous les utilisateurs authentifiés dispose de l'accès complet à toutes les destinations, seul le groupe Serveur dispose du rôle de connecteur de bus. Si vous souhaitez qu'un utilisateur particulier accède au bus, vous devez ajouter cet utilisateur au rôle de connecteur de bus. Si des utilisateurs sont associés au rôle de connecteur de bus, ils disposent de l'accès complet au bus.

Les droits par défaut sont valables pour toutes les destinations d'un espace de nom de bus local, à l'exception des suivantes :
  • les destinations pour lesquelles l'héritage est désactivé
  • les destinations externes,
  • les destinations d'alias dont le nom de bus d'alias n'est pas le nom du bus local.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjr0450_
Nom du fichier : cjr0450_.html