許可に使用されるユーザーの決定

リソースにアクセスする権限は、ユーザーがメンバーになっているグループに付与されます。また、特定のモードでは、接続に関連付けられているユーザーに直接付与されます。接続プロセス中、特にリモート (クライアント) 接続の場合、この ID はキュー・マネージャーの構成によって変更される可能性があります。このページには、 IBM® MQ のさまざまな機能と、接続するアプリケーションの ID に影響を与える可能性があるその構成オプション、およびそれらの機能が有効になる優先順位がリストされています。

採用されるユーザーを変更できる機能

どのユーザーに権限を付与するかを設定できるさまざまな機能は、以下のとおりです。

アプリケーション表明ユーザー: IBM MQによってリモート接続が開始されると、プロセスの実行に使用されているオペレーティング・システム・ユーザーが受信側キュー・マネージャーに送信されます。このユーザーは、ユーザーを変更する構成がこれ以上存在しない場合に、許可検査に使用できるユーザーが存在することを確認するために送信されます。; このユーザーを許可の基礎として使用することは推奨されません。サーバー・サイドの妥当性検査を行わずに接続が ID を表明できるためです。これには、管理ユーザー ('mqm ') が含まれる場合もあります。
チャネル MCAUSER 設定: ネットワーク・バインディングを介して接続するアプリケーションは、 IBM MQ チャネル定義を使用してこれを行います。チャネル定義は MCAUSER 属性をサポートします。この属性を使用して、接続するアプリケーションによって表明されるユーザーではなく、許可に使用される別のユーザーを指定できます。
接続認証 ADOPTCTX: アプリケーションは、認証のためにキュー・マネージャーに送信するユーザーとパスワードを指定できます。これらの資格情報は、接続認証機能に指定された構成を使用して認証されます。接続認証の ADOPTCTX オプションは、ユーザーが正常に検証された後に許可に使用される必要があるかどうかを制御します。 YESに設定すると、認証用に指定されたユーザーが許可検査に採用されます。
チャネル認証レコード MCAUSER: 接続処理中に、キュー・マネージャーは、接続に一致するチャネル認証レコードを見つけようとします。チャネル認証レコードが一致し、その USERSRC 属性値が MAPに設定されている場合、 IBM MQ は、許可に使用されるユーザーを MCAUSER 属性の値に変更します。
セキュリティー出口: セキュリティー出口は、 IBM MQ セキュリティー処理中に作成して呼び出すことができるカスタム関数です。この関数が呼び出されると、MQCD 構造体のコピーが提供されます。この構造体には、許可検査に使用される接続ユーザーに関連するいくつかのフィールドが含まれています。セキュリティー出口は、これらのフィールドを変更して、許可されるユーザーを変更することができます。

優先順位

次の表は、 IBM MQ が許可するユーザーを選択する際の、採用されるユーザーを変更できる機能で説明されている各セキュリティー機能の優先順位を示しています。順序は最低から最高への順になります。つまり、最初の行にユーザーを設定するセキュリティー機能は、他のいずれかの行によってオーバーライドされます。

表 1. セキュリティー機能の優先順位
順序	フィーチャー
1 (最低)	表明されたアプリケーション ID
2	チャネル定義の MCAUSER 属性
3	ADOPTCTX(YES) との接続認証
4	USERSRC(MAP) を使用したチャネル認証レコード
5 (最高)	セキュリティー出口

早期採用の影響

接続認証およびチャネル認証レコードは、接続認証ユーザーの採用をいつ実行するかを制御する構成オプションを提供します。この設定は、早期採用と呼ばれます。早期採用が有効になっている場合、接続認証 ID の採用は、チャネル認証レコードが処理される前に行われます (つまり、チャネル認証レコードがすべての CONNAUTH 採用をオーバーライドします)。

無効にすると、順序が逆になります。つまり、チャネル認証レコードは CONNAUTH の採用前に処理されます。この場合、接続認証の採用の優先順位は、チャネル認証レコードの優先順位より高くなります。

早期採用のデフォルト設定は enabledです。