Ruoli su IBM MQ Console e REST API

Quando si autorizzano utenti e gruppi ad utilizzare IBM® MQ Console o REST API, è necessario assegnare agli utenti e ai gruppi uno dei ruoli disponibili: MQWebAdmin, MQWebAdminRO, MQWebUser, MFTWebAdmine MFTWebAdminRO. Ogni ruolo fornisce diversi livelli di privilegio per accedere a IBM MQ Console e REST API e determina il contesto di sicurezza utilizzato quando si tenta un'operazione consentita.

Nota: ad eccezione del ruolo MQWebUser , l'ID utente non è sensibile al maiuscolo / minuscolo. Consultare MQWebUser per i requisiti specifici per questo ruolo.
[MQ Appliance]Nota: Il metodo per impostare questi ruoli è diverso sulla periferica, vedere Configurazione dell'accesso degli utenti a IBM MQ Console, REST API e CLI
MQWebAdmin
Un utente o un gruppo a cui è assegnato questo ruolo può eseguire tutte le operazioni di gestione e opera nel contesto di sicurezza dell'ID utente del sistema operativo utilizzato per avviare il server mqweb.
Un utente o un gruppo con questo ruolo non ha accesso ai seguenti servizi REST:
  • REST API per MFT. Per utilizzare questi servizi, all'utente o al gruppo deve essere assegnato anche il ruolo MFTWebAdmin o MFTWebAdminRO .
  • Il messaging REST API. Per utilizzare messaging REST API, all'utente deve essere assegnato il ruolo MQWebUser .
MQWebAdminRO
Questo ruolo fornisce l'accesso di sola lettura a IBM MQ Console o REST API. Un utente o un gruppo a cui è assegnato questo ruolo può eseguire le seguenti operazioni:
  • Visualizza e interroga operazioni su oggetti IBM MQ come code e canali.
  • Sfoglia messaggi sulle code.
Un utente o un gruppo a cui viene assegnato questo ruolo opera nel contesto di sicurezza dell'ID utente del sistema operativo utilizzato per avviare il server mqweb.
Un utente o un gruppo con questo ruolo non ha accesso ai seguenti servizi REST:
  • REST API per MFT. Per utilizzare questi servizi, all'utente o al gruppo deve essere assegnato anche il ruolo MFTWebAdmin o MFTWebAdminRO .
  • Il messaging REST API. Per utilizzare messaging REST API, all'utente deve essere assegnato il ruolo MQWebUser .
MQWebUser
Un utente o un gruppo a cui è assegnato questo ruolo può eseguire qualsiasi operazione che l'ID utente può eseguire sul gestore code. Ad esempio:
  • Operazioni di avvio e arresto su oggetti IBM MQ come i canali.
  • Definire e impostare operazioni su oggetti IBM MQ come code e canali.
  • Visualizza e interroga operazioni su oggetti IBM MQ come code e canali.
  • Inserire e richiamare i messaggi utilizzando messaging REST API.
Un utente o un gruppo a cui è assegnato questo ruolo opera nel contesto di sicurezza del principal e può eseguire solo le operazioni che l'ID utente è autorizzato ad eseguire sul gestore code.
Pertanto, l'utente o il gruppo definito nel Registro utenti mqweb deve disporre dell'autorizzazione all'interno di IBM MQ prima che tale utente possa eseguire qualsiasi operazione. Utilizzando questo ruolo, è possibile controllare finemente quali utenti hanno quale tipo di accesso a specifiche risorse IBM MQ quando utilizzano IBM MQ Console e REST API.
Nota:
  • La lunghezza massima di un ID utente assegnato a questo ruolo è di 12 caratteri.
  • Il maiuscolo / minuscolo dell'ID utente deve essere lo stesso nel registro utente mqweb e sul sistema IBM MQ . Se il caso dell'ID utente è diverso, l'utente potrebbe essere autenticato da IBM MQ Console e REST API ma non autorizzato ad utilizzare le risorse IBM MQ .
MFTWebAdmin
Un utente o un gruppo assegnato a questo ruolo può eseguire tutte le operazioni REST MFT e opera nel contesto di sicurezza dell'ID utente del sistema operativo utilizzato per avviare il server mqweb .
Un utente o un gruppo con questo ruolo non ha accesso a nessuno dei servizi IBM MQ REST API . Per utilizzare questi servizi, all'utente o al gruppo deve essere assegnato anche il ruolo MQWebAdmin, MQWebAdminROo MQWebUser .
MFTWebAdminRO
Questo ruolo fornisce l'accesso in sola lettura a REST API per MFT . Un utente o un gruppo a cui è assegnato questo ruolo può eseguire operazioni di sola lettura (richieste GET) come trasferimento elenco e agent elenco.
Un utente o un gruppo a cui viene assegnato questo ruolo opera nel contesto di sicurezza dell'ID utente del sistema operativo utilizzato per avviare il server mqweb.
Un utente o un gruppo con questo ruolo non ha accesso a nessuno dei servizi IBM MQ REST API . Per utilizzare questi servizi, all'utente o al gruppo deve essere assegnato anche il ruolo MQWebAdmin, MQWebAdminROo MQWebUser .

Per ulteriori informazioni sulla configurazione di utenti e gruppi per l'utilizzo di questi ruoli, vedere Configurazione di utenti e ruoli.

Ruoli di sovrapposizione

A un utente o a un gruppo può essere assegnato più di un ruolo. Quando un utente esegue un'operazione in questa situazione, viene utilizzato il ruolo con privilegi più elevati applicabile all'operazione. Ad esempio, se un utente con i ruoli MQWebAdminRO e MQWebUser esegue un'operazione di interrogazione della coda, viene utilizzato il ruolo MQWebAdminRO e l'operazione viene tentata nel contesto dell'ID utente di sistema che ha avviato il server Web. Se lo stesso utente esegue un'operazione di definizione, viene utilizzato il ruolo MQWebUser e l'operazione viene tentata nel contesto del principal.