In WebSphere MQ Publish/Subscribe werden alle Prüfungen von Veröffentlichungs- und Subskribierungsberechtigungen gegen die Datenstromwarteschlange durchgeführt. Veröffentlichende Anwendungen benötigen eine Berechtigung zum Einreihen von Nachrichten in die Datenstromwarteschlange. Der WebSphere MQ Publish/Subscribe-Broker überprüft auch die Berechtigung von subskribierenden Anwendungen, die über eine Anzeigeberechtigung für die Datenstromwarteschlange verfügen müssen. Eine subskribierende Anwendung benötigt darüber hinaus eine Berechtigung zum Einreihen für die Warteschlange, die sie für den Empfang ihrer Veröffentlichungen benennt.
Eine ähnliche Prüfung wird von WebSphere Message Broker-Brokern durchgeführt, aber ohne dass die Berechtigung zum Subskribieren oder Anzeigen geprüft wird. Stattdessen verwendet WebSphere Message Broker Zugriffssteuerungslisten (Access Control Lists, ACLs), die Sie über die Workbench erstellen können, um die erforderlichen Berechtigungen für Einzelthemen bereitzustellen. Weitere Informationen zu ACLs finden Sie unter Berechtigung für Zugriff auf Laufzeitressourcen.
Allerdings können Datenstromveröffentlichungen von WebSphere Message Broker in jeder Eingabewarteschlange verarbeitet werden, weil Publisher Nachrichten nicht mehr in eine Warteschlange mit demselben Namen wie der Datenstrom einreihen müssen. Konfigurieren Sie deshalb äquivalente ACLs für alle Datenströme unter Verwendung der jeweiligen Qualifikationsmerkmale der Themenebene.
Datenstromberechtigungen
Die Abbildung zeigt die erforderlichen Datenstromberechtigungen. Dieses Beispiel setzt voraus, dass die Standard-ACL für den Themenstamm für den Principal 'PublicGroup' (Öffentliche Gruppe) aktualisiert und die Berechtigungen zum Veröffentlichen, Subskribieren und persistenten Zustellen alle auf deny (Verweigern) gesetzt wurden.
Diese Einstellungen stellen sicher, dass Publisher und Subskribenten des Standarddatenstroms nicht in der Lage sind, in anderen Datenströmen zu veröffentlichen oder diese zu subskribieren, ohne dass dies explizit in einer ACL, die die relevante Einstellung überschreibt, festgelegt ist.
Diese Einstellungen überschreiben alle Einstellungen für übergeordnete Themen und begrenzen die Veröffentlichungs- und Subskribierungsberechtigung auf Benutzer innerhalb dieser spezifischen Gruppen.
Diese Einstellungen überschreiben alle Einstellungen für übergeordnete Themen und begrenzen die Veröffentlichungs- und Subskribierungsberechtigung auf Benutzer innerhalb dieser spezifischen Gruppen.
Sie haben die Möglichkeit, Ausnahmen zu diesen Berechtigungen zu konfigurieren, indem Sie am geeigneten Punkt eine ACL einfügen. Wenn Sie beispielsweise Publishern für den Standarddatenstrom (PDefault) auch Veröffentlichungsberechtigung für den Datenstrom StreamX erteilen möchten, müssen Sie eine explizite ACL an Punkt (3) erstellen, um diese Berechtigung zu erteilen, denn dadurch wird die Berechtigungsverweigerung an Punkt (2) überschrieben. In diesem Szenario können Benutzer der Gruppe PDefault weiterhin keine Veröffentlichungen im Datenstrom StreamY durchführen.