ロール・ベースの許可
サービス統合メッセージング・セキュリティーは、ロール・ベースの許可を使用します。 アクセス・ロールのユーザーおよびグループを追加および除去することによって、誰がセキュアなバスおよびそのリソースに対するアクセス権限を持っているかを制御することができます。
バス・セキュリティーが使用可能になっている場合は、バスへの接続、およびそのメッセージング・リソース (例えば、宛先またはトピック・スペース) で作業する権限をユーザーおよびグループに対して付与するために、ユーザーおよびグループをアクセス・ロールに追加する必要があります。管理コンソールを使用するか、 wsadmin 参照コマンドを使用するかのいずれかによって、アクセス・ロールのユーザーおよびグループを管理することができます。
アクセス・ロール
ユーザーをアクセス・ロールに追加すると、ロール・タイプ内に含まれるすべてのセキュリティー権限がそのユーザーに付与されます。ユーザーを以下のアクセス・ロールに追加することができます。
- Connector ロール
- ローカル・バスに接続する許可をユーザーに付与します。
- Sender ロール
- メッセージを宛先に送信する許可をユーザーに付与します。
- Receiver ロール
- 宛先からメッセージを受信する許可をユーザーに付与します。
- Browser ロール
- 宛先でメッセージをブラウズする許可をユーザーに付与します。
- Creator ロール
- 一時宛先接頭部を作成する許可をユーザーに付与します。
ユーザーおよびグループ
アクセス・ロールに追加するすべてのユーザーまたはグループは、ユーザー・レジストリーに定義されていなければなりません。 アクセス・ロールに追加されたグループに所属するユーザーには、そのロールに許可されている操作を実行する権限があります。
特別なタイプとして、以下の 3 つのグループ・タイプがあります。
- 全認証者
- すべての認証ユーザーが含まれます。すべての認証グループがある操作を実行することを許可されている場合は、 すべての認証ユーザーがその実行を許可されています。バスが作成されると、 許可権限の初期セットが作成され、これによりすべての認証グループ内のすべてのユーザーが、 すべてのローカル宛先にアクセスすることを許可されます。これらの権限を変更して、バスへ接続させる特定のユ ーザーおよびグループへのアクセスを制限することができます。
- 全員
- 認証されているかどうかにかかわらず、すべてのユーザーが含まれます。
- サーバー
- セル内のすべての WebSphere® Application Server が含まれます。
メッセージング操作
メッセージング・セキュリティーを使用可能にすると、以下のリソースに対するすべての操作で許可が必要になります。
- バス
- ユーザーがローカル・バスに接続するときに、 システムはそのユーザーがバスに接続する権限を持っているかをチェックします。既にローカル・バスに正常に接続されているユーザーが外部バス上の宛先にメッセージを送信しようとする場合、ユーザーはその外部バスへのアクセス許可が必要になります。
- 宛先
- ユーザーは、宛先でメッセージング操作 (通常は送信、受信、およびブラウズ) を行う許可を必要とします。
- 一時宛先
- ユーザーは、一時的宛先を作成するには、Creator ロールを必要とします。 デフォルトでは、すべての認証グループには、Creator ロールが割り当てられています。 許可されたユーザー (クライアント・アプリケーション) が一時的宛先を作成する際には、一時的宛先接頭部が指定されます。 メッセージング・エンジンは、実行時にこの一時的宛先接頭部を使用して、クライアント・アプリケーションが実行できる操作を判断します。 一時的宛先接頭部に対して Sender ロールを持つクライアント・アプリケーションには、メッセージを一時的宛先に送信する権限があります。
- トピック・スペースおよびトピック
- トピック・スペース内のトピックにアクセスするには、 ユーザーは、トピック・スペースと、 このトピック・スペース内の特定のトピックの両方にアクセスすることを許可されていなければなりません。 トピックの許可を管理しやすくするために、 トピックはデフォルトでトピック名前空間内の親から許可権限を継承します。あるトピックで継承した許可を変更したり、 指定のトピック・スペースの継承をトピック・スペース・レベルで無効にしたりできます。この場合、 システムは、ユーザーがトピック・スペースへのアクセスを許可されているかどうかチェックしますが、 それ以上のチェックはトピック・レベルでは行いません。
デフォルト許可権限
デフォルト許可権限により、 すべてのローカル宛先に対するアクセス権を速やかに得ることができます。 認証されたすべてのグループはすべての宛先への全アクセス権限を持ちますが、 バス・コネクター・ロールを持つのは Server グループのみです。特定のユーザーをバスにアクセスさせる場合は、そのユーザーをバスのバス・コネクター・ロールに追加しなければなりません。ユーザーにバス・コネクター・ロールがあれば、そのユーザーはバスへの全アクセス権限を持ちます。
デフォルト許可は、
ローカル・バスの名前空間内のすべての宛先に適用されますが、
以下の例外があります。
- 継承が無効になっている宛先
- 外部宛先
- ローカル・バス名でない別名バス名を持った別名宛先