WebSphere MQ パブリッシュ/サブスクライブでは、パブリッシュおよびサブスクライブの権限検査すべてはストリーム・キューに対して行われます。 パブリッシュ元のアプリケーションには、メッセージをストリーム・キューに入れるための権限が必要です。 さらに WebSphere MQ パブリッシュ/サブスクライブ・ブローカーは、ストリーム・キュー上でのブラウズ権限を必要とするサブスクライブ元のアプリケーションの権限も検査します。 サブスクライブ元のアプリケーションには、パブリケーションを受け取るために指定するキューに書き込む権限も必要です。
同様の検査は WebSphere Message Broker ブローカーによっても行われますが、その場合にはサブスクライブ、ブラウズ、 権限が検査されません。 その代わりに WebSphere Message Broker はワークベンチを使用して作成できるアクセス制御リスト (ACL) を使用して、個々のトピックに必要な権限を与えます。 ACL の詳細については、ランタイム・リソースへのアクセス許可を参照してください。
しかし、パブリッシャーはストリームと同じ名前のキューに書き込む必要がなくなるため、 ストリーム・パブリケーションは任意の入力キュー上の WebSphere Message Broker によって処理することができます。 そのため、すべてのストリームに対して、対応するトピック・レベル修飾子を使用して 同等の ACL をセットアップしてください。
ストリーム権限
この図は、必要なストリーム権限を示しています。 この例では、プリンシパル PublicGroup のトピック・ルートにあるデフォルトの ACL を、パブリッシュ、 サブスクライブ、および永続配信の権限すべてを deny に設定して更新していると想定します。
これらの設定値は、デフォルト・ストリーム上のパブリッシャーおよびサブスクライバーが 関連する設定値をオーバーライドする明示的な ACL のない他のストリームにパブリッシュまたは サブスクライブできないようにします。
これらの設定値は親トピックでのあらゆる設定をオーバーライドして、 パブリッシュおよびサブスクライブの活動をこれらの特定のグループ内にあるユーザーに制限します。
これらの設定値は親トピックでのあらゆる設定をオーバーライドして、 パブリッシュおよびサブスクライブの活動をこれらの特定のグループ内にあるユーザーに制限します。
この状態に対して例外をセットアップしたい場合、 適切なポイントで ACL を紹介してそれを行うことができます。 例えば、パブリッシャーに StreamX にパブリッシュするための デフォルト・ストリーム PDefault に対する権限を認可したい場合、 明示的な ACL をポイント (3) で作成する必要があります。 これは例示 (2) での権限の否認をオーバーライドします。 このシナリオでは、ユーザー PDefault はまだ StreamY に対してパブリッシュすることができません。