Autorizzazione di flusso

Nella WebSphere MQ Pubblicazione/Sottoscrizione, tutti i controlli di autorizzazione di pubblicazione e sottoscrizione vengono eseguiti nella coda di flusso. Le applicazioni di pubblicazione necessitano dell'autorizzazione ad inserire i messaggi nella coda di flusso. Il broker di WebSphere MQ Pubblicazione/Sottoscrizione verifica inoltre l'autorizzazione delle applicazioni di sottoscrizione che richiedono di sfogliare la coda di flusso. Un'applicazione di sottoscrizione necessita inoltre dell'autorizzazione all'inserimento relativamente alla coda indicata come ricevente delle relative pubblicazioni.

Un controllo simile viene eseguito dai broker WebSphere Message Broker, ma non viene eseguito alcun controllo relativo all'autorizzazione a sottoscrivere o sfogliare. Invece, WebSphere Message Broker utilizza gli ACL (Access Control List), che è possibile creare utilizzando il workbench, per fornire le autorizzazioni richieste su determinati argomenti. Per ulteriori informazioni sugli ACL, fare riferimento a Autorizzazione per accedere alle risorse di runtime.

Prima di eseguire la migrazione di un broker di WebSphere MQ Pubblicazione/Sottoscrizione su WebSphere Message Broker oppure di eseguire la migrazione delle applicazioni di WebSphere MQ Pubblicazione/Sottoscrizione per l'esecuzione su un WebSphere Message Broker, è necessario considerare le seguenti implicazioni relative alla sicurezza:

Autorizzazioni di flusso


Autorizzazioni di flusso

La figura mostra le autorizzazioni di flusso richieste. In questo esempio viene assunto che sia stato aggiornato l'ACL predefinito sul root dell'argomento per il PublicGroup principal con l'autorizzazione alla pubblicazione, alla sottoscrizione e alla distribuzione permanente impostate tutte su nega.

Nell'uso di questo esempio, assumere che siano definiti i seguenti gruppi:
E' necessario concedere e negare le autorizzazioni impostando gli ACL come riportato di seguito:
  1. A PDefault deve essere concessa l'autorizzazione alla pubblicazione su root, e a SDefault deve essere concessa l'autorizzazione alla sottoscrizione su root.
  2. A PDefault deve essere negata l'autorizzazione alla pubblicazione su $SYS/STREAM/ e a SDefault deve essere negata l'autorizzazione alla sottoscrizione su $SYS/STREAM/.

    Queste impostazioni assicurano che gli autori (publisher) ed i sottoscrittori (subscriber) sul flusso predefinito non siano in grado di eseguire pubblicazioni o sottoscrizioni su altri flussi senza un ACL esplicito che sovrascrive la relativa impostazione.

  3. A PStreamX deve essere concessa l'autorizzazione alla pubblicazione su $SYS/STREAM/StreamX/ e a SStreamX deve essere concessa l'autorizzazione alla sottoscrizione su $SYS/STREAM/StreamX/.

    Queste impostazioni sovrascrivono eventuali impostazioni sugli argomenti parent e limitano l'attività di pubblicazione e sottoscrizione agli utenti nell'ambito di questi specifici gruppi.

  4. A PStreamY deve essere concessa l'autorizzazione alla pubblicazione su $SYS/STREAM/StreamY/ e a SStreamY deve essere concessa l'autorizzazione alla sottoscrizione su $SYS/STREAM/StreamY/.

    Queste impostazioni sovrascrivono eventuali impostazioni sugli argomenti parent e limitano l'attività di pubblicazione e sottoscrizione agli utenti nell'ambito di questi specifici gruppi.

Per impostare delle eccezioni a questa situazione, introdurre un ACL nel punto appropriato. Ad esempio, se si desidera assegnare l'autorizzazione agli autori (publisher) sul flusso predefinito, PDefault, alla pubblicazione su StreamX, è necessario creare un ACL esplicito nel punto (3); in questo modo viene sovrascritta la negazione dell'autorizzazione al punto (2). In tale scenario, gli utenti in PDefault non sono ancora in grado di pubblicare su StreamY.

Concetti correlati
Autorizzazione per accedere alle risorse di runtime
Attività correlate
Sottoscrizione
Riferimenti correlati
Intestazione MQRFH2
Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
aq18560_