In WebSphere MQ Publish/Subscribe werden alle Überprüfungen der Publish/Subscribe-Berechtigung für die Datenstromwarteschlange ausgeführt. Für bereitstellende Anwendungen ist die Berechtigung zum Einreihen von Nachrichten in die Datenstromwarteschlange erforderlich. Durch den WebSphere MQ Publish/Subscribe-Broker werden auch die Berechtigungen von subskribierenden Anwendungen überprüft, für die eine Berechtigung zum Durchsuchen der Datenstromwarteschlange erforderlich ist. Eine subskribierende Anwendung benötigt auch die Berechtigung zum Einreihen in die Warteschlange, die für den Empfang der Veröffentlichungen angegeben wurde.
Eine ähnliche Überprüfung wird durch die WebSphere Event Broker-Broker durchgeführt, wobei dort keine Überprüfung der Berechtigungen zum Subskribieren oder Durchsuchen durchgeführt wird. Stattdessen werden von WebSphere Event Broker Zugriffssteuerungslisten (Access Control Lists, ACLs) verwendet, die Sie mit Hilfe der Workbench zur Bereitstellung der erforderlichen Berechtigungen für einzelne Themen erstellen können. Weitere Informationen zu ACLs finden Sie unter Sicherheit für Laufzeitressourcen.
Datenstromveröffentlichungen können jedoch von WebSphere Event Broker in jeder Eingabewarteschlange verarbeitet werden, da Publisher nicht mehr mit dem gleichen Namen wie der Datenstrom in die Warteschlange eingereiht werden müssen. Legen Sie deshalb entsprechende Zugriffssteuerungslisten für alle Datenströme mit Hilfe der entsprechenden Qualifikationsmerkmale der Themenebenen fest.
Datenstromberechtigungen
In dieser Abbildung werden die erforderlichen Datenstromberechtigungen gezeigt. In diesem Beispiel wird angenommen, dass die standardmäßige Zugriffssteuerungsliste im Themenstamm für die öffentliche Gruppe des Principals für die Berechtigung zum Veröffentlichen, Subskribieren und persistenten Übermitteln auf Ablehnen aktualisiert wurde.
Durch diese Einstellungen wird sichergestellt, dass Publisher und Subskribenten in den Standarddatenströmen nicht ohne eine explizite Zugriffssteuerungsliste veröffentlichen oder subskribieren können, die die relevante Einstellung überschreibt.
Durch diese Einstellungen werden alle Einstellungen auf übergeordneten Themen überschrieben und die Publish/Subscribe-Aktivität für Benutzer in diesen spezifischen Gruppen begrenzt.
Durch diese Einstellungen werden alle Einstellungen auf übergeordneten Themen überschrieben und die Publish/Subscribe-Aktivität für Benutzer in diesen spezifischen Gruppen begrenzt.
Wenn Sie in dieser Situation Ausnahmebedingungen einrichten möchten, können Sie dies durch das Einführen einer Zugriffssteuerungsliste an dem entsprechenden Punkt vornehmen. Wenn Sie beispielsweise Publishern Berechtigungen für den Standarddatenstrom PDefault erteilen möchten, damit eine Veröffentlichung auf StreamX ermöglicht wird, müssen Sie eine explizite Zugriffssteuerungsliste an Punkt (3) erstellen, um die Berechtigung zu erteilen; dadurch wird die Verweigerung der Berechtigung an Punkt (2) überschrieben. In diesem Szenario können Benutzer in PDefault noch immer nicht auf StreamY veröffentlichen.