![[AIX, Linux, Windows]](ngalw.gif)
MQ Telemetry sécurité
La sécurisation des dispositifs de télémétrie peut être cruciale étant donné que les dispositifs sont susceptibles d'être portables et utilisés dans des endroits qui ne sont pas correctement contrôlés. Vous pouvez utiliser le réseau privé virtuel pour sécuriser la connexion entre le périphérique MQTT et le service de télémétrie (MQXR). MQ Telemetry fournit deux autres mécanismes de sécurité, TLS et JAAS.
TLS est principalement utilisé pour chiffrer les communications entre le dispositif et le canal de télémétrie et pour authentifier le dispositif qui se connecte au serveur approprié ; voir Authentification du canal de télémétrie à l'aide de TLS. Vous pouvez également utiliser TLS pour vérifier que l'unité client est autorisée à se connecter au serveur ; voir MQTT client authentication using TLS.
JAAS est principalement utilisé pour vérifier que l'utilisateur de l'unité est autorisé à utiliser une application serveur ; voir Authentification du clientMQTT à l'aide d'un mot de passe. JAAS peut être utilisé avec LDAP pour vérifier un mot de passe à l'aide d'un répertoire de connexion unique.
TLS et JAAS peuvent être utilisés conjointement pour offrir deux facteurs d'authentification. Vous pouvez limiter les algorithmes de chiffrement utilisés par TLS à ceux qui répondent aux normes FIPS .
Avec au moins dix ou des milliers d'utilisateurs, il n'est pas toujours pratique d'accorder des profils de sécurité individuels. Il n'est pas non plus toujours pratique d'utiliser les profils pour autoriser des utilisateurs individuels à accéder à des objets IBM® MQ . Regroupez plutôt les utilisateurs dans des classes pour l'autorisation de publication et d'abonnement aux rubriques et l'envoi de publications aux clients.
Configurez chaque canal de télémétrie pour mapper les clients à des ID utilisateur client communs. Utilisez un ID utilisateur commun pour chaque client qui se connecte sur un canal spécifique ; voir Identité et autorisation du clientMQTT.
L'autorisation de groupes d'utilisateurs n'a pas d'incidence sur l'authentification de chaque individu. Chaque utilisateur individuel peut être authentifié, côté client ou serveur avec son Nom d'utilisateur et son Mot de passe, puis être authentifié sur le serveur à l'aide d'un ID utilisateur commun.