角色型授權
服務整合傳訊安全使用角色型授權。您可以在存取角色中新增及移除使用者和群組,以控制誰有權存取安全匯流排及其資源。
啟用匯流排安全後,您必須將使用者和群組新增至存取角色,以授權他們連接至匯流排及使用其傳訊資源,例如目的地或主題空間。 您可以利用管理主控台或 wsadmin 參照指令,以管理存取角色中的使用者和群組。
存取角色
將使用者新增至存取角色時,就是將該角色類型中的所有安全許可權授與該使用者。您可以將使用者新增至下列存取角色:
- 連接者角色
- 授權使用者連接至本端匯流排。
- 傳送者角色
- 授權使用者將訊息傳送至目的地。
- 接收者角色
- 授權使用者接收來自目的地的訊息。
- 瀏覽者角色
- 授權使用者瀏覽目的地的訊息。
- 建立者角色
- 授權使用者建立暫時目的地字首。
使用者和群組
您要新增至存取角色的任何使用者或群組,在使用者登錄中都必須有定義。如果使用者屬於已新增至存取角色的群組,則獲得授權執行該角色允許的作業。
有三種特殊的群組:
- 全部已鑑別
- 包含所有已鑑別的使用者。如果已授權「全部已鑑別」群組進行作業,則所有已鑑別的使用者都有權進行該作業。建立匯流排時會建立一組起始的授權許可權,容許「全部已鑑別」群組中的所有使用者存取所有本端目的地。您可以變更這些許可權,以限制只有您要連接至匯流排的特定使用者和群組才有存取權。
- 每個人
- 包含所有使用者,而不論是否已通過鑑別。
- 伺服器
- 包含 Cell 內的每個 WebSphere® Application Server。
傳訊作業
啟用傳訊安全後,下列資源上的所有作業都需要授權:
- 匯流排
- 使用者連接至本端匯流排時,系統會檢查使用者是否有權連接至該匯流排。如果要讓已成功連接至本端匯流排的使用者,將訊息傳送至外部匯流排上的目的地,該使用者必須有權存取該外部匯流排。
- 目的地
- 使用者需要權限,才能在目的地上進行傳訊作業(通常包括傳送、接收和瀏覽)。
- 暫時目的地
- 使用者必須具有建立者角色,才能建立暫時目的地。預設情況下,「全部已鑑別」群組具有建立者角色。已獲授權使用者(即用戶端應用程式)建立暫時目的地時,系統會指定暫時目的地字首。傳訊引擎在執行時期會利用暫時目的地字首,以決定用戶端應用程式可執行的作業。如果用戶端應用程式具有暫時目的地字首的傳送者角色,則有權將訊息傳送至暫時目的地。
- 主題空間和主題
- 如果要存取主題空間中的主題,使用者必須同時有權存取主題空間及此主題空間中的特定主題。為了更輕鬆管理主題授權,依預設,主題會從它在主題名稱空間中的上層主題繼承授權許可權。 您可以變更任何給定主題已繼承的許可權,也可以在給定主題空間的主題空間層次上停用繼承。在此情況下,系統會檢查使用者是否有權存取主題空間,但不會進一步在主題層次進行檢查。
預設授權許可權
預設授權許可權可讓您快速授權存取所有本端目的地。儘管「全部已鑑別」群組擁有所有目的地的完整存取權,但只有「伺服器」群組才具有匯流排連接者角色。如果希望特定使用者存取匯流排,您必須將該使用者新增至該匯流排的匯流排連接者角色。具有匯流排連接者角色的使用者,即擁有匯流排的完整存取權。
預設許可權套用至本端匯流排名稱空間中的所有目的地,但以下例外:
- 停用繼承的目的地
- 外部目的地
- 具有的別名匯流排名稱不是本端匯流排名稱的別名目的地