Controle de Acesso para Múltiplos Barramentos

O mecanismo do sistema de mensagens, em um barramento de integração de serviços, usa autorizações baseadas em funções para garantir que os barramentos locais possam trocar mensagens, de forma segura, com barramentos de integração de serviços externos e com o IBM MQ.

A autoridade de integração de serviço é baseada em função. Ao designar um grupo de identidades de usuários, no repositório do usuário, a uma ou mais funções de acesso para um destino em um barramento local, é possível controlar quem tem autoridade para acessar e assumir as operações nesse destino do barramento. O mecanismo do sistema de mensagens usa as designações de função no tempo de execução para determinar quais operações que membros do grupo podem assumir no destino. Se um aplicativo cliente precisar trocar mensagens com outro barramento, você precisará designar a identidade do aplicativo cliente para as funções emissor e receptor para o barramento remoto (externo). Quando o aplicativo cliente envia uma mensagem do destino de barramento local para o destino de barramento externo, o mecanismo do sistema de mensagem desempenha uma verificação de dois estágios na autoridade da identidade do aplicativo cliente:

Primeiro estágio da verificação de autorização
Quando o aplicativo cliente envia uma mensagem do destino local, o mecanismo do sistema de mensagem verifica se a identidade do aplicativo cliente possui autoridade na função emissor para o destino do barramento externo.
Segundo estágio da verificação de autorização
Quando o destino do barramento externo recebe a mensagem, o mecanismo do sistema de mensagem que a mensagem identifica (geralmente é configurado para a identidade do aplicativo cliente de envio) tem autoridade na função emissor para o destino do barramento externo.

As mensagens são enviadas para um destino de barramento externo usando uma definição de proxy de destino do barramento externo, ou uma definição de barramento externo. A definição contém a autoridade que determina se o emissor está autorizado a enviar mensagens para o barramento externo. As definições de destino externo permitem que você conceda autoridade em um destino, por destino. Se uma definição de destino externo não existir em um destino específico, o mecanismo do sistema de mensagem usa a definição de barramento externo padrão.

É importante entender que há designações de funções para o barramento externo ou destino de barramento externo que controlam se um aplicativo cliente pode enviar mensagens ao barramento externo. Quando o barramento externo recebe uma mensagem, o mecanismo do sistema de mensagem no barramento externo usa as designações de função de barramento externo para verificar se a mensagem pode continuar para o destino de barramento externo.

Para o segundo estágio da verificação de autorização, o mecanismo do sistema de mensagem usa a identidade que é armazenada na mensagem. Isso é inicialmente configurado para a identidade do aplicativo do cliente de envio, mas pode ser substituído no destino do barramento externo por valores especificados pelas propriedades do ID do usuário de Entrada ou do ID do usuário de Saída. Nesse caso, o mecanismo do sistema de mensagens usa o ID do usuário de Entrada ou de Saída para assumir as verificações de autorização no barramento externo, não a identidade do aplicativo original do cliente de envio.

Importante: Se usuários ou grupos tiverem a função de conector do barramento para um barramento externo, você deve ter atenção especial ao designar funções de acesso. Particularmente, você deve verificar o seguinte para garantir a entrega de mensagem entre um link do MQ e barramentos externos:
  • O aplicativo cliente de envio deve ter autoridade na função emissor para os destinos de barramento externo adequados.
  • Os destinos de barramento externo devem existir.
Se a distribuição de mensagens for interrompida, será difícil diagnosticar e resolver o problema.

As verificações nos IDs do usuário de entrada e saída também serão aplicadas quando mensagens forem roteadas por vários barramentos e quando mensagens forem enviadas para uma rede do IBM MQ.

Dica: Especifique os IDs do usuário de Entrada e Saída ao criar uma conexão de barramento externo ou manter as propriedades de roteamento para o link de um barramento externo.

Se os barramentos protegidos estiverem vinculados, o link entre eles deveria ser seguro. Para proteger dados transmitidos ao longo do link virtual entre barramentos ao usar o SSL, será necessário definir as cadeias de transporte necessárias e, então, fazer referência ao nome da cadeia de transporte.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjr0410_
Nome do arquivo: cjr0410_.html