运行时资源是运行时存在的 WebSphere Message Broker 对象。运行时安全性控制从工作台对那些资源进行操作的许可权。 例如,用于部署到执行组的消息流的用户标识必须具有进行该部署操作的许可权。
在 WebSphere Message Broker 中,每个运行时对象都有一个“访问控制表”(ACL)。对象的 ACL 确定主体对于该对象所具有的查看和修改许可权(请参阅 ACL 许可权)。ACL 提供了更多的粒度并让您可以更好地控制主体所具有的许可权。 ACL 还在单个安全性域中启用了单个配置管理器来对访问控制不兼容的代理进行控制,例如开发、系统测试以及生产。
WebSphere Message Broker 允许您根据对象,而不是根据组来控制访问权。例如,用户 JUNGLE\MPERRY 可能有权修改 BROKERA,但是无权访问 BROKERB。在进一步说明的示例中,同一用户可能具有部署到执行组 EXEGRP1 的访问权,但没有部署到 EXEGRP2 的访问权,虽然它们都是 BROKERA 的成员。
访问级别控制是基于所有类型的 WebSphere Message Broker 对象所请求的操作,例如,代理和执行组。访问控制可将许可权指派给主体(用户和组),并且这些许可权为部署配置资源指定查看和修改权限。在 WebSphere Message Broker 中,管理员可以配置 ACL 以使用其组织的主体。
该模式根据需要执行的操作提供了完整的对象级别的访问权,其前提是已创建必需的组和访问条目,并且系统管理员可以嵌套本地和域组来帮助组织安全性需求和用户。
您仍可以使用现有组级别的安全环境进行操作,虽然该环境属于 WebSphere Message Broker 早期发行版,但不会发生任何迁移问题。如果您具有任何现有用户角色定义组(带有成员),则可以继续使用该模型而无需进行其他更改。仅当用户角色定义组为空或不存在时,才调用对象级别的安全性模型。如果要实现对象级别的安全性,必须确保用户角色定义组为空。
配置管理器检查 ACL 表。如果您的用户标识包含在指定对象的 ACL 中,则您具有执行该操作的许可权。
请参阅以下相关参考信息,获取系统管理员用于控制 ACL 的工具的描述。