基于角色的授权
服务集成消息传递安全性使用基于角色的授权。通过在访问角色中添加和移除用户和组,可控制谁有权访问受保护总线及其资源。
启用总线安全性后,必须将用户和组添加至访问角色以授予它们连接至总线及使用其消息传递资源(如目标或主题空间)的权限。可通过使用管理控制台或使用 wsadmin 参考命令来管理访问角色中的用户和组。
访问角色
将用户添加至访问角色时,您会授予该用户该角色类型中包含的所有安全性许可权。可将用户添加至以下访问角色:
- 连接者角色
- 授予用户连接至本地总线的许可权。
- 发送方角色
- 授予用户将消息发送至目标的许可权。
- 接收方角色
- 授予用户从目标接收消息的许可权。
- 浏览者角色
- 授予用户在目标上浏览消息的许可权。
- 创建者角色
- 授予用户创建临时目标前缀的许可权。
用户和组
要添加至访问角色的任何用户或组必须在用户注册中心具有定义。属于已添加至访问角色的组的用户被授权执行该角色所许可操作。
有三种特殊类型的组:
- 所有已认证
- 包含所有已认证用户。如果“全部已认证”组授权执行操作,那么所有已认证用户授权执行该操作。创建总线后,将创建一组初始许可权,这些权限允许“全部已认证”组中的所有用户访问所有本地目标。可更改这些许可权来将访问权限于要连接至总线的特定用户和组。
- 每个人
- 包含所有用户,不管他们是否已通过认证。
- 服务器
- 包含单元中的每个 WebSphere® Application Server。
消息传递操作
启用消息传递安全性后,下列资源上的所有操作都需要授权:
- 总线
- 用户连接至本地总线时,系统会检查用户是否有权连接至该总线。要让已成功连接至本地总线的用户将消息发送至外部总线上的目标,该用户需要具备访问该外部总线的权限。
- 目标
- 用户需要对目标执行消息传递操作(通常为发送、接收和浏览)的权限。
- 临时目标
- 用户必须具有创建者角色才能创建临时目标。缺省情况下,“全部已认证”组具有创建者角色。已认证用户(或客户机应用程序)创建临时目标时,系统会指定临时目标前缀。消息传递引擎在运行时使用临时目标前缀来确定客户机应用程序可执行的操作。对临时目标前缀具有发送方角色的客户机应用程序已被授权将消息发送至临时目标。
- 主题空间和主题
- 要访问主题空间中的主题,用户必须同时有权访问主题空间和此主题空间中的特定主题。为了更加轻松地管理主题授权,缺省情况下主题将从主题名称空间中的父代继承许可权。可更改任何给定主题的继承许可权,也可禁止在给定主题空间的主题空间级别继承。在此情况下,系统会检查用户是否已被授权访问该主题空间,但不会进一步在主题级别进行检查。
缺省许可权
缺省许可权使您能够快速授予对所有本地目标的访问权。尽管“全部已认证”组对所有目标具有完整访问权,但只有“服务器”组才具有总线连接者角色。如果希望特定用户访问该总线,那么必须将该用户添加至总线的总线连接者角色。用户具有总线连接者角色时,它们具有对总线的完整访问权。
缺省许可权适用于本地总线名称空间中的所有目标,但以下情况例外:
- 对其禁止继承的目标
- 外部目标
- 其别名总线名称并非本地总线名称的别名目标