目标安全性
启用消息传递安全性后,将强制对服务集成总线上的资源执行授权策略,并且客户机应用程序必须有权访问总线目标。
目标权限
对目标的访问以角色为基础。通过将一组用户指定给特定总线目标的特定角色,您授予该组对总线目标执行特定操作的权限。目标的角色取决于目标类型:
对拥有目标的总线定义目标角色分配。如果在两个或更多目标间传送消息,那么组成员需要访问每个目标的权限。- 发送方
- 此角色适用于别名、外部目标、端口、队列和主题空间目标。
- 接收方
- 此角色类型适用于别名、端口、队列和主题空间目标。
- 浏览者
- 此角色类型适用于别名、端口和队列目标。
- 创建者
- 此角色仅适用于临时目标。
临时目标权限
临时目标前缀是在创建临时目标时指定的,在运行时被消息传递引擎用于确定临时目标的访问权限。创建临时目标时,其创建者的标识被指定给临时目标前缀的创建者角色。缺省情况下,所有已认证的用户都可创建临时目标。要授予组成员对临时目标的访问权,必须将该组指定给对应临时目标前缀的发送方角色。
多目标权限
消息到达目标时,它必须向前发送至一个或多个目标,然后由应用程序接收。例如,如果第一个目标上有调解,那么可能发生此情况。消息到达第一个目标时,消息传递引擎会检查发送应用程序的标识是否具有发送方角色中用于将消息发送至目标的权限,然后将发送方标识添加至消息。如果将消息发送至另一目标,那么消息传递引擎会检查消息中的发送方标识是否具有消息发送至的目标的发送方角色中的权限。消息传递引擎会继续沿消息的正向路由路径检查发送应用程序的权限直到它到达调解目标。调解可能(但并非总是)将消息中的发送方标识替换为调解标识。如果发生此情况,那么消息传递引擎会使用调解标识来检查发送方是否有权发送至正向路由路径中的下一个目标,而不影响原始发送方的标识。
安全性权限的继承
目标可从缺省资源继承角色分配。只能继承特定目标类型允许的角色类型。例如,队列目标可从缺省资源继承浏览者角色。继承的角色分配将添加至目标的所有现有角色分配。例如,如果队列目标在发送方角色中具有名为“第 1 组”的组的成员,那么该队列目标可继承缺省资源的发送方角色中的“第 2 组”。