WebSphere Event Broker utiliza Listas de control de accesos (ACL) para controlar qué usuarios y grupos pueden manipular objetos en el Gestor de configuración y el Kit de herramientas de Message Brokers. Existen cuatro niveles de acceso diferentes que se pueden otorgar a un usuario o grupo: Total, Ver, Desplegar y Editar. No todos los niveles de acceso son válidos para todos los tipos de objeto; la tabla siguiente describe qué permisos se pueden aplicar a cada tipo de objeto y resume las acciones que el usuario o el grupo puede realizar.
Para reducir el número de entradas de control de accesos que un administrador de intermediario debe crear, los permisos de ACL se comportan de un modo jerárquico. La raíz del árbol es el objeto ConfigManangerProxy, que tiene tres hijos: RootTopic, Subscriptions y PubSubTopology. El objeto PubSubTopology tiene cero o más intermediarios como hijos y cada intermediario puede tener cero o más grupos de ejecución como hijos. Cuando se añade una entrada ACL a un objeto determinado, se otorga ese permiso a dicho objeto y a todos los objetos que están bajo él en la jerarquía a menos que otra entrada ACL lo altere temporalmente. El diagrama siguiente muestra una jerarquía de ejemplo:
Los escenarios siguientes muestran cómo funciona en la práctica este comportamiento jerárquico.
Escenario 1
El UsuarioA no tiene entradas de control de acceso. Por consiguiente, el UsuarioA no puede manipular ningún objeto de la jerarquía ni ver ninguno de los objetos definidos en la jerarquía.
Escenario 2
CMP Ninguno
RootTopic Ninguno
Subs Ninguno
Topology Ver
Intermediario1 Ver
Eg1A Desplegar
Eg1B Ninguno
Intermediario2 Ninguno
Eg2A Ninguno
Eg2B Ninguno
Tenga en cuenta que dado que se ha dado una entrada de control de accesos al grupo de ejecución, se le ha dado un permiso implícito para Ver al intermediario padre y a la topología o, de lo contrario, no estaría visible en las herramientas. Sin embargo, dado que no hay entradas ACL reales para este usuario para el intermediario o la topología, no hay acceso heredado los demás grupos de ejecución o de intermediario. En la práctica, esto significa que el UsuarioB puede ver que hay otro grupo de ejecución definido en el intermediario, pero no puede ver detalles (incluido el nombre).
De forma similar, el UsuarioB puede ver que existe otro intermediario en la topología, pero no puede ver ningún detalle. El UsuarioB no tiene acceso a RootTopic ni a la tabla de suscripciones.
Escenario 3
CMP Ver
RootTopic Ver
Subs Ver
Topology Ver
Intermediario1 Total
Eg1A Total
Eg1B Total
Intermediario2 Ver
Eg2A Ver
Eg2B Ver
Escenario 4
CMP Total
RootTopic Total
Subs Total
Topology Total
Intermediario1 Total
Eg1A Ver
Eg1B Ver
Intermediario2 Total
Eg2A Total
Eg2B Total
Tenga en cuenta que en este ejemplo, sin la entrada Ver para el Intermediario1, el usuario tendría control total. Este uso de las entradas Ver es útil porque permite a los usuarios que normalmente tienen control total sobre un objeto determinado reducir el acceso temporalmente a fin de evitar la supresión o el despliegue accidental. Si el usuario necesita el control total del objeto, puede eliminar la entrada Ver y se restaurará el control total de forma que podrá realizar las operaciones que necesite y, a continuación, restaurar la entrada Ver.
Para cambiar las entradas de control de accesos para un objeto, un usuario debe tener control total sobre dicho objeto o cualquier padre de la jerarquía. Esto significa que el permiso para cambiar las propias ACL funciona del mismo modo que se ha descrito más arriba, excepto en que el acceso a las ACL no se puede eliminar otorgando un permiso inferior situado más abajo en el árbol; esto es necesario porque, de lo contrario, un usuario podría darse a sí mismo una entrada Ver y, a continuación, no podrá eliminarla.
Las entradas ACL se pueden manipular utilizando la API Java de Proxy del Gestor de configuración o utilizando los mandatos mqsicreateaclentry, mqsideleteaclentry y mqsilistaclentry.
Objeto | Permiso | Derechos |
---|---|---|
Topología | Control total |
|
Ver |
|
|
Intermediario | Control total |
|
Desplegar |
|
|
Ver |
|
|
Grupo de ejecución | Control total |
|
Desplegar |
|
|
Ver |
|
|
Tema principal | Control total |
|
Desplegar |
|
|
Editar |
|
|
Ver |
|
|
Subscripción | Control total |
|
Ver |
|