Autorisation basée sur des rôles
La sécurité de la messagerie d'intégration de services utilise l'autorisation par rôle. Lorsque vous ajoutez et supprimez des utilisateurs et des groupes pour les rôles d'accès, vous pouvez contrôler les personnes autorisées à accéder à un bus sécurisé et ses ressources.
Lorsque la sécurité du bus est activée, vous devez ajouter des utilisateurs et des groupes pour accéder aux rôles et les autoriser à se connecter au bus, puis utiliser ses ressources de messagerie (une destination ou un espace de sujet, par exemple). Vous pouvez gérer les utilisateurs et les groupes dans les rôles d'accès à l'aide de la console d'administration ou des commandes wsadmin.
Rôles d'accès
- Rôle de connecteur
- Permet à l'utilisateur de se connecter au bus local.
- Rôle d'expéditeur
- Permet à l'utilisateur d'envoyer un message à une destination.
- Rôle de récepteur
- Permet à l'utilisateur de recevoir un message d'une destination.
- Rôle de navigateur
- Permet à l'utilisateur de consulter les messages sur une destination.
- Rôle de créateur
- Permet à l'utilisateur de créer un préfixe de destination temporaire.
Utilisateurs et groupes
Tous les utilisateurs ou groupes que vous souhaitez ajouter à un rôle d'accès doivent comporter une définition dans le registre d'utilisateurs. Un utilisateur qui appartient à un groupe ayant été ajouté à un rôle peut effectuer les opérations autorisées pour ce rôle.
- Tous les utilisateurs authentifiés
- Il contient tous les utilisateurs authentifiés. Si le groupe Tous les utilisateurs authentifiés est autorisé à effectuer une opération, tous les utilisateurs authentifiés le sont. Lors de la création d'un bus, un ensemble initial de droits d'accès est créé. Il permet à tous les utilisateurs du groupe Tous les utilisateurs authentifiés d'accéder à toutes les destinations locales. Vous pouvez modifier ces droits pour restreindre l'accès à certains utilisateurs et groupes que vous souhaitez connecter au bus.
- Tous les utilisateurs
- Il contient tous les utilisateurs, qu'ils soient authentifiés ou non.
- Serveur
- Il contient chaque serveur WebSphere Application Server dans une cellule.
Opérations de messagerie
- Bus
- Lorsqu'un utilisateur se connecte à un bus local, le système vérifie que l'utilisateur dispose des droits d'accès permettant de se connecter au bus. Si l'utilisateur s'est déjà connecté à un bus local pour envoyer un message à une destination dans un bus externe, il doit être autorisé à accéder au bus externe.
- Destinations
- Les utilisateurs doivent être autorisés à effectuer des opérations de messagerie (en principe, l'envoi, la réception et la consultation de messages) sur une destination.
- Destinations temporaires
- Un utilisateur doit posséder le rôle de créateur pour créer une destination temporaire. Par défaut, le groupe Tous les utilisateurs authentifiés possède le rôle de créateur. Lorsqu'un utilisateur autorisé (application client) crée une destination temporaire, un préfixe de destination temporaire est spécifié. Le moteur de messagerie utilise le préfixe de destination temporaire lors de la phase d'exécution pour déterminer quelles opérations peuvent être effectuées par l'application client. Une application possédant le rôle d'émetteur pour un préfixe de destination temporaire est autorisée à envoyer des messages à la destination temporaire.
- Espaces de sujet et sujets
- Pour pouvoir accéder à un sujet dans un espace de sujet, un utilisateur doit disposer des droits permettant d'accéder à l'espace de sujet et aux sujets spécifiques dans l'espace de sujet. Pour faciliter la gestion des droits d'accès aux sujets, un sujet hérite des droits d'accès de ses parents dans l'espace de nom de sujet par défaut. Vous pouvez changer les droits d'accès hérités pour n'importe quel sujet ou désactiver l'héritage au niveau de l'espace de sujet pour un espace de sujet donné. Dans ce cas, le système vérifie que l'utilisateur peut accéder à l'espace de sujet mais aucun contrôle supplémentaire n'est effectué au niveau du sujet.
Droits d'accès par défaut
Les droits d'accès par défaut permettent d'accorder rapidement l'accès à toutes les destinations locales. Bien que le groupe Tous les utilisateurs authentifiés dispose de l'accès complet à toutes les destinations, seul le groupe Serveur dispose du rôle de connecteur de bus. Si vous souhaitez qu'un utilisateur particulier accède au bus, vous devez ajouter cet utilisateur au rôle de connecteur de bus. Si des utilisateurs sont associés au rôle de connecteur de bus, ils disposent de l'accès complet au bus.
- les destinations pour lesquelles l'héritage est désactivé
- les destinations externes,
- les destinations d'alias dont le nom de bus d'alias n'est pas le nom du bus local.