Sécurité basée sur les rôles

Vous pouvez contrôler l'accès aux nœuds d'intégration, aux serveurs d'intégration et à leurs ressources via l'interface utilisateur Web, l'interface de programmation d'applications (API) REST, le kit d'outils IBM® App Connect Enterprise et les commandes App Connect Enterprise, en associant des utilisateurs à des rôles.

Un rôle est défini par un ensemble de droits de sécurité qui contrôlent l'accès des utilisateurs à un noeud d'intégration ou à un serveur d'intégration et à ses ressources associées.

En tant qu'administrateur d'intégration, vous pouvez contrôler l'accès des utilisateurs Web aux noeuds d'intégration, aux serveurs d'intégration et aux ressources, en affectant chaque utilisateur à un rôle. Vous pouvez autoriser les utilisateurs ayant un rôle particulier à effectuer des actions spécifiques ; par exemple, vous pouvez autoriser les utilisateurs ayant un rôle à afficher les ressources du serveur d'intégration, tout en autorisant les utilisateurs ayant un autre rôle à les modifier.

Vous pouvez accorder les mêmes droits à plusieurs utilisateurs en leur affectant le même rôle, mais chaque utilisateur ne peut être affecté qu'à un seul rôle.

Vous pouvez configurer les nœuds d'intégration (et les serveurs d'intégration associés) pour qu'ils utilisent l'autorisation par fichier, l'autorisation par file d'attente ou l'autorisation par « LDAP ». Vous pouvez configurer des serveurs d'intégration indépendants (qui ne sont pas associés à un nœud d'intégration) pour qu'ils utilisent l'autorisation basée sur des fichiers ou l'autorisation par l' LDAP. Pour plus d'informations sur la configuration du mode d'autorisation, consultez la section « Configuration de la sécurité de l'administration pour utiliser l'autorisation basée sur des fichiers, sur des files d'attente ou sur LDAP ».

Si un noeud d'intégration ou un serveur d'intégration indépendant est configuré pour utiliser l'autorisation par fichier (modefile ), vous pouvez accorder des droits à un rôle en utilisant les paramètres -r role et -p permissions de la commande mqsichangefileauthou en définissant des droits dans les fichiers de configuration node.conf.yaml ou server.conf.yaml . Pour plus d'informations sur l'autorisation basée sur les fichiers, voir Définition des droits d'accès basés sur les fichiers.

En mode file , si un utilisateur est affecté à un rôle pour lequel aucun droit n'est défini, lorsque cet utilisateur tente une action, une vérification est effectuée pour voir si le nom de rôle correspond à un nom d'utilisateur du système d'exploitation local. S'il existe une correspondance (par exemple, le nom de rôle et le nom d'utilisateur du système d'exploitation sont aceadmin), une vérification est effectuée pour déterminer si ce nom d'utilisateur est membre du groupe mqbrkrs . S'il s'agit d'un membre, des droits sont accordés pour toutes les actions sur tous les objets.

Si un noeud d'intégration est configuré pour utiliser l'autorisation basée sur la file d'attente (modemq ), vous devez créer un nom d'utilisateur système sur le système d'exploitation sur lequel votre noeud d'intégration s'exécute. Vous affectez ensuite des droits au nom d'utilisateur système, et cet ensemble de droits représente un rôle dont le nom correspond au nom d'utilisateur système. Par exemple, l'ensemble de droits que vous définissez pour un utilisateur système appelé ibmuser forme un rôle appelé ibmuser. Pour plus d'informations sur la définition des droits d'accès aux files d'attente, voir Définition des droits d'accès aux files d'attente.

Si un nœud d'intégration ou un serveur d'intégration indépendant est configuré pour utiliser l'autorisation par LDAP (ldap mode), vous pouvez attribuer des autorisations à un rôle en définissant ces autorisations dans les fichiers de server.conf.yaml configuration node.conf.yaml ou. Pour plus d'informations sur l'autorisation dans l' LDAP, consultez la section « Configuration de l'autorisation à l'aide des groupes d' LDAP ».

Vous pouvez créer des comptes utilisateur Web et les affecter aux rôles appropriés à l'aide de la commande mqsiwebuseradmin. Pour plus d'informations, voir Gestion des comptes utilisateur Web et Contrôle de l'accès aux données et aux ressources dans l'interface utilisateur Web.