Autoridade do Fluxo

No WebSphere MQ Publicação/Assinatura, todas as verificações de autoridade de publicação e assinatura são executadas na fila de fluxo.Aplicativos de publicação precisam de autoridade para colocar mensagens na fila de fluxo. O intermediário WebSphere MQ Publicação/Assinatura também verifica a autoridade de aplicativos de assinatura que requerem autoridade de pesquisa na fila de fluxo. Um aplicativo de assinatura também precisa ter autoridade de colocação para a fila que ele nomeia para receber suas publicações.

Uma verificação semelhante é feita por intermediários WebSphere Message Broker, mas não há verificação para autoridade de assinatura ou de pesquisa. Em vez disso, o WebSphere Message Broker utiliza ACLs (Access Control Lists), as quais você cria utilizando o workbench, para fornecer as autoridades requeridas para tópicos individuais. Para obter informações adicionais sobre ACLs, consulte Autorização para Acessar os Recursos do Tempo de Execução.

Antes de migrar um intermediário WebSphere MQ Publicação/Assinatura para o WebSphere Message Broker ou de migrar seus aplicativos do WebSphere MQ Publicação/Assinatura para executarem em um WebSphere Message Broker, é preciso levar em consideração as seguintes implicações de segurança:

Autoridades de Fluxo


Autoridades de Fluxo

A figura mostra as autoridades de fluxo que são necessárias. Este exemplo supõe que você tenha atualizado a ACL padrão na raiz de tópicos para o proprietário PublicGroup com autoridade para publicação, assinatura e entrega persistente, todos definidos como deny.

Usando esse exemplo, suponha que os seguintes grupos estejam definidos:
Você deve conceder e negar autoridades definindo ACLs da seguinte maneira:
  1. PDefault deve conceder autoridade de publicação na raiz e SDefault deve conceder autoridade de assinatura na raiz.
  2. PDefault deve ter autoridade de publicação negada em $SYS/STREAM/ SDefault deve ter autoridade de assinatura negada em $SYS/STREAM/.

    Essas definições asseguram que publicadores e assinantes no fluxo padrão sejam incapazes de publicar em outros fluxos ou assiná-los sem uma ACL explícita que substitua a definição relevante.

  3. PStreamX deve conceder autoridade de publicação em $SYS/STREAM/StreamX e SStreamX deve conceder autoridade de assinatura em $SYS/STREAM/StreamX.

    Estas definições sobrepõem qualquer definição em tópicos pais e limitam as atividades de publicação e assinatura para usuários dentro destes grupos específicos.

  4. PStreamY deve conceder autoridade de publicação em $SYS/STREAM/StreamY e SStreamY deve conceder autoridade de assinatura em $SYS/STREAM/StreamY.

    Estas definições sobrepõem qualquer definição em tópicos pais e limitam as atividades de publicação e assinatura para usuários dentro destes grupos específicos.

Se desejar definir exceções a esta situação, você poderá fazê-lo introduzindo uma ACL no ponto adequado. Por exemplo, se desejar conceder autoridade para publicadores para o fluxo padrão, PDefault, para publicar em FluxoX, você deverá criar uma ACL explícita no ponto (3) para conceder essa autoridade; isso substitui a negação de autoridade no ponto (2). Nesse cenário, os usuários em PDefault ainda não poderiam publicar em FluxoY.

Conceitos relacionados
Autorização para Acessar os Recursos do Tempo de Execução
Tarefas relacionadas
Assinando
Referências relacionadas
Cabeçalho do MQRFH2
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
aq18560_