Sécurité des destinations
Lorsque la sécurité de messagerie est activée, les règles d'autorisation correspondant aux ressources du bus d'intégration de services sont appliquées et les applications client doivent détenir les droits d'accès aux destinations du bus.
Autorisation de destination
- Emetteur
- Ce rôle s'applique aux destinations d'alias, de destination externe, de port, de file d'attente et d'espace de sujet.
- Récepteur
- Ce type de rôle s'applique aux destinations d'alias, de port, de file d'attente et d'espace de sujet.
- Navigateur
- Ce type de rôle s'applique aux destinations d'alias, de port et de file d'attente.
- Créateur
- Ce rôle ne s'applique qu'aux destinations temporaires.
Autorisation de destination temporaire
Un préfixe de destination temporaire, qui est spécifié lors de la création d'une destination temporaire, est utilisé lors de la phase d'exécution par le moteur de messagerie pour déterminer les droits d'accès de la destination temporaire. Lorsqu'une destination temporaire est créée, l'identité de son créateur est affectée au rôle de créateur du préfixe de destination temporaire. Par défaut, tous les utilisateurs authentifiés peuvent créer des destinations temporaires. Pour octroyer aux membres d'un groupe l'accès à une destination temporaire, vous devez affecter le groupe au rôle d'expéditeur du préfixe de destination temporaire correspondant.
Autorisations de destination multiples
Lorsqu'un message arrive à destination, il peut être acheminé vers une ou plusieurs destinations avant d'être reçu par une application. Cela peut se produire, par exemple, s'il existe une médiation sur la première destination. Lorsque le message parvient à la première destination, le moteur de messagerie vérifie que l'identité de l'application expéditrice dispose des droits d'accès dans le rôle d'expéditeur pour envoyer des messages à la destination et ajoute l'identité de l'expéditeur au message. Si le message est acheminé vers une autre destination, le moteur de messagerie vérifie que l'identité de l'expéditeur dans le message dispose bien des droits d'accès dans le rôle d'expéditeur de la destination à laquelle il est acheminé. Le moteur de messagerie continue de vérifier les droits d'accès de l'application expéditrice le long du chemin de routage du message jusqu'à ce que ce dernier arrive à une destination qui fait l'objet d'une médiation. La médiation peut éventuellement remplacer l'identité de l'expéditeur par la sienne dans le message. Si cela se produit, le moteur de messagerie utilise l'identité de la médiation pour vérifier si l'expéditeur est autorisé à envoyer des messages à la destination suivante du chemin de routage, et non l'identité de l'expéditeur d'origine.
Héritage d'une autorisation de sécurité
Une destination peut hériter d'affectations de rôle de la ressource par défaut. Seuls les types de rôle autorisés pour un type de destination particulier peuvent être hérités. Par exemple, une destination de file d'attente peut hériter du rôle de navigateur de la ressource par défaut. Les affectations de rôle héritées sont ajoutées aux affectations de rôle existantes d'une destination. Par exemple, une destination de file d'attente possédant des membres du groupe Group 1 dans le rôle d'expéditeur peut hériter de Group 2 dans le rôle d'expéditeur pour la ressource par défaut.