Identificazione, autorizzazione e autenticazione del client AMQP

Come altre applicazioni client IBM® MQ , è possibile proteggere le connessioni AMQP in diversi modi.

È possibile utilizzare le seguenti funzioni di protezione per proteggere le connessioni AMQP a IBM MQ:
Da una prospettiva di sicurezza, stabilire una connessione consiste nei seguenti due passaggi:
  • Decidere se la connessione deve continuare
  • Decisione dell'identità IBM MQ che l'applicazione assume per i successivi controlli di autorizzazione

Le seguenti informazioni illustrano le diverse configurazioni di IBM MQ e i passi che vengono eseguiti quando un client AMQP tenta di stabilire una connessione. Non tutte le configurazioni IBM MQ utilizzano tutte le operazioni descritte. Ad esempio, alcune configurazioni non utilizzano TLS per le connessioni all'interno del firewall aziendale e alcune configurazioni utilizzano TLS ma non utilizzano i certificati client per l'autenticazione. Molti ambienti non utilizzano moduli JAAS personalizzati o personalizzati.

Stabilire una connessione

La seguente procedura descrive cosa accade quando viene stabilita una connessione da un client AMQP. La procedura determina se la connessione continua e quale identità IBM MQ assume l'applicazione per i controlli di autorizzazione:

  1. Se il client apre una connessione TLS a IBM MQ e fornisce un certificato, il gestore code tenta di convalidarlo.
  2. Se il client fornisce credenziali nome utente e password, viene ricevuto un frame SASL AMQP dal gestore code e viene controllata la configurazione CONNAUTH di MQ .
  3. Le regole di autenticazione del canale MQ vengono controllate (ad esempio, se l'indirizzo IP e il DN del certificato TLS sono validi)
  4. Il canale MCAUSER viene asserito, a meno che le regole di autenticazione del canale non determinino diversamente.
  5. Se è stato configurato un modulo JAAS , viene richiamato
  6. MQ Controllo autorizzazione CONNECT applicato all'ID utente MQ risultante.
  7. Connessione stabilita con un'identità IBM MQ assunta.

Pubblicazione di un messaggio

La seguente procedura descrive cosa accade quando un messaggio viene pubblicato da un client AMQP. La procedura determina se la connessione continua e quale identità IBM MQ assume l'applicazione per i controlli di autorizzazione:

  1. Il frame di collegamento AMQP arriva al gestore code. L'autorizzazione di pubblicazione IBM MQ per la stringa di argomenti specificata viene controllata per l'identità utente MQ stabilita durante la connessione.
  2. Il messaggio viene pubblicato nella stringa argomento specificata.

Sottoscrizione a un pattern di argomento

La seguente procedura descrive cosa accade quando un client AMQP sottoscrive un pattern di argomento. La procedura determina se la connessione continua e quale identità IBM MQ assume l'applicazione per i controlli di autorizzazione:

  1. Il frame di collegamento AMQP arriva al gestore code. L'autorizzazione di sottoscrizione IBM MQ per il modello di argomento specificato viene controllata per l'identit ... utente MQ stabilita durante la connessione.
  2. La sottoscrizione è stata creata.