Autorização Baseada em Função

A segurança do sistema de mensagens de integração de serviços utiliza autorização baseada em função. Incluindo e removendo usuários e grupos em funções de acesso, você pode controlar quem tem acesso a um barramento seguro e seus recursos.

Quando a segurança do barramento é ativada, é necessário incluir usuários e grupos em funções de acesso, a fim de lhes conceder autoridade para se conectar ao barramento e trabalhar com os recursos do sistema de mensagens, como por exemplo, um destino ou um espaço de tópico. É possível administrar usuários e grupos em funções de acesso, utilizando o console administrativo ou os comandos de referência wsadmin.

Funções de Acesso

Ao incluir um usuário em uma função de acesso, você concede a ele todas as permissões de segurança contidas no tipo de função. É possível incluir usuários nas seguintes funções de acesso:
Função de Conector
Concede ao usuário permissão para conectar-se ao barramento local.
Função de Emissor
Concede ao usuário permissão para enviar uma mensagem a um destino.
Função de Receptor
Concede ao usuário permissão para receber uma mensagem de um destino.
Função de Navegador
Concede ao usuário permissão para procurar mensagens em um destino.
Função de Criador
Concede ao usuário permissão para criar um prefixo de destino temporário.

Usuários e Grupos

Qualquer usuário ou grupo que você quiser incluir em uma função de acesso deve ter uma definição no registro do usuário. Um usuário que pertence a um grupo que foi incluído em uma função de acesso está autorizado a executar as operações permitidas para essa função.

Há três tipos especiais de grupos:
Todos os Usuários Autenticados
Contém todos os usuários autenticados. Se o grupo Todos Autenticados estiver autorizado para assumir uma operação, então todos os usuários autenticados estarão autorizados para assumi-lo. Quando um barramento é criado, um conjunto inicial de permissões de autorização é criado o qual permite que todos os usuários no grupo Todos Autenticados acessem todos os destinos locais. É possível alterar essas permissões para restringir o acesso a usuários e grupos específicos que você deseja conectar ao barramento.
Todos os Usuários
Contém todos os usuários autenticados ou não.
Server
Contém cada WebSphere Application Server em uma célula.

Operações do Sistema de Mensagens

Quando a segurança do sistema de mensagens está ativada, todas as operações nos seguintes recursos exigem autorização:
Barramentos
Quando um usuário conectar a um barramento local, o sistema verificará se o usuário tem autorização para conectar ao barramento. Para um usuário que já tenha se conectado com êxito a um barramento local para enviar uma mensagem para um destino em um barramento externo, ele precisará de autorização para acessar o barramento externo.
Destinos
Os usuários requerem autorização para assumir operações do sistema de mensagens (normalmente, enviar, receber e navegar) em um destino.
Destinos Temporários
Um usuário deve ter a função de criador para criar um destino temporário. Por padrão, o grupo Tudo Autenticado tem a função de criador. Quando um usuário autenticado (um aplicativo cliente) cria um destino temporário, um prefixo de destino temporário é especificado. O mecanismo do sistema de mensagem usa o prefixo de destino temporário no tempo de execução para determinar quais operações o aplicativo cliente pode desempenhar. Um aplicativo cliente que tem a função emissor para um prefixo de destino temporário está autorizado a enviar mensagens para o destino temporário.
Espaços de Tópicos e Tópicos
Para acessar um tópico em um espaço de tópico, um usuário deve estar autorizado a acessar o espaço de tópicos e os tópicos específicos nesse espaço de tópico. Para facilitar o gerenciamento de autorizações de tópicos, um tópico herda permissões de autorização de seu pai no espaço de nomes de tópico por padrão. É possível alterar permissões herdadas por qualquer tópico determinado, ou desativar a herança ao nível de espaço de tópico para um determinado espaço de tópico. Neste caso, o sistema verifica se o usuário está autorizado a acessar o espaço de tópico, mas nenhuma verificação adicional será feita no nível de tópico.

Permissões de Autorização Padrão

As permissões de autorização padrão permitem que você conceda acesso rapidamente a todos os destinos locais. Embora o grupo Todos Autenticados tenha acesso total a todos os destinos, somente o grupo Servidores tem a função de conector do barramento. Se você quiser que um determinado usuário tenha acesso ao barramento, deverá incluir esse usuário na função de conector para o barramento. Quando os usuários têm a função de conector de barramento, eles têm acesso total ao barramento.

As permissões padrão aplicam-se a todos os destinos em um espaço de nomes do barramento local, com as seguintes exceções:
  • Um destino para o qual a herança está desativada
  • Destinos Externos
  • Destinos de alias que têm um nome de barramento de alias que não é o nome do barramento local

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjr0450_
Nome do arquivo: cjr0450_.html