Autorização Baseada em Função
A segurança do sistema de mensagens de integração de serviços utiliza autorização baseada em função. Incluindo e removendo usuários e grupos em funções de acesso, você pode controlar quem tem acesso a um barramento seguro e seus recursos.
Quando a segurança do barramento é ativada, é necessário incluir usuários e grupos em funções de acesso, a fim de lhes conceder autoridade para se conectar ao barramento e trabalhar com os recursos do sistema de mensagens, como por exemplo, um destino ou um espaço de tópico. É possível administrar usuários e grupos em funções de acesso, utilizando o console administrativo ou os comandos de referência wsadmin.
Funções de Acesso
- Função de Conector
- Concede ao usuário permissão para conectar-se ao barramento local.
- Função de Emissor
- Concede ao usuário permissão para enviar uma mensagem a um destino.
- Função de Receptor
- Concede ao usuário permissão para receber uma mensagem de um destino.
- Função de Navegador
- Concede ao usuário permissão para procurar mensagens em um destino.
- Função de Criador
- Concede ao usuário permissão para criar um prefixo de destino temporário.
Usuários e Grupos
Qualquer usuário ou grupo que você quiser incluir em uma função de acesso deve ter uma definição no registro do usuário. Um usuário que pertence a um grupo que foi incluído em uma função de acesso está autorizado a executar as operações permitidas para essa função.
- Todos os Usuários Autenticados
- Contém todos os usuários autenticados. Se o grupo Todos Autenticados estiver autorizado para assumir uma operação, então todos os usuários autenticados estarão autorizados para assumi-lo. Quando um barramento é criado, um conjunto inicial de permissões de autorização é criado o qual permite que todos os usuários no grupo Todos Autenticados acessem todos os destinos locais. É possível alterar essas permissões para restringir o acesso a usuários e grupos específicos que você deseja conectar ao barramento.
- Todos os Usuários
- Contém todos os usuários autenticados ou não.
- Server
- Contém cada WebSphere Application Server em uma célula.
Operações do Sistema de Mensagens
- Barramentos
- Quando um usuário conectar a um barramento local, o sistema verificará se o usuário tem autorização para conectar ao barramento. Para um usuário que já tenha se conectado com êxito a um barramento local para enviar uma mensagem para um destino em um barramento externo, ele precisará de autorização para acessar o barramento externo.
- Destinos
- Os usuários requerem autorização para assumir operações do sistema de mensagens (normalmente, enviar, receber e navegar) em um destino.
- Destinos Temporários
- Um usuário deve ter a função de criador para criar um destino temporário. Por padrão, o grupo Tudo Autenticado tem a função de criador. Quando um usuário autenticado (um aplicativo cliente) cria um destino temporário, um prefixo de destino temporário é especificado. O mecanismo do sistema de mensagem usa o prefixo de destino temporário no tempo de execução para determinar quais operações o aplicativo cliente pode desempenhar. Um aplicativo cliente que tem a função emissor para um prefixo de destino temporário está autorizado a enviar mensagens para o destino temporário.
- Espaços de Tópicos e Tópicos
- Para acessar um tópico em um espaço de tópico, um usuário deve estar autorizado a acessar o espaço de tópicos e os tópicos específicos nesse espaço de tópico. Para facilitar o gerenciamento de autorizações de tópicos, um tópico herda permissões de autorização de seu pai no espaço de nomes de tópico por padrão. É possível alterar permissões herdadas por qualquer tópico determinado, ou desativar a herança ao nível de espaço de tópico para um determinado espaço de tópico. Neste caso, o sistema verifica se o usuário está autorizado a acessar o espaço de tópico, mas nenhuma verificação adicional será feita no nível de tópico.
Permissões de Autorização Padrão
As permissões de autorização padrão permitem que você conceda acesso rapidamente a todos os destinos locais. Embora o grupo Todos Autenticados tenha acesso total a todos os destinos, somente o grupo Servidores tem a função de conector do barramento. Se você quiser que um determinado usuário tenha acesso ao barramento, deverá incluir esse usuário na função de conector para o barramento. Quando os usuários têm a função de conector de barramento, eles têm acesso total ao barramento.
- Um destino para o qual a herança está desativada
- Destinos Externos
- Destinos de alias que têm um nome de barramento de alias que não é o nome do barramento local