管理安全性概述

管理安全性用于控制用户访问集成节点和集成服务器及其资源以及完成管理任务所需的许可权。

管理安全性是 IBM® App Connect Enterprise的可选功能，缺省情况下未启用。对于集成节点及其受管集成服务器，支持三种授权方式：基于文件的许可权、基于队列的许可权以及 LDAP 授权。对于独立集成服务器，支持基于文件的授权（文件方式）和 LDAP 授权。您可以通过使用 mqsichangeauthmode 命令或通过在 server.conf.yaml 或 node.conf.yaml 配置文件中设置属性来启用认证并选择所需的授权方式。有关更多信息，请参阅启用管理安全性。

您可以通过将用户与角色相关联来控制用户对集成节点和集成服务器及其资源的访问权。角色是一组用于控制对运行时组件和资源的访问的安全许可权，并且每个用户帐户都与特定角色相关联。检查许可权以确定用户通过 Web 用户界面， REST API ， IBM App Connect Enterprise Toolkit和 IBM App Connect Enterprise 命令执行任务的权限。有关角色的更多信息，请参阅基于角色的安全性，有关如何创建角色并将其分配给 Web 用户的信息，请参阅管理 Web 用户帐户。

IBM App Connect Enterprise支持以下管理安全性方面:

认证
授权

认证

认证是确定用户或系统的身份以及验证身份是否有效的过程。 IBM App Connect Enterprise 为以下管理接口提供认证支持:

IBM App Connect Enterprise Web 用户界面
IBM App Connect Enterprise RESTful 应用程序编程接口 (API)
IBM App Connect Enterprise Toolkit
IBM App Connect Enterprise 命令。可使用某些命令在连接到远程主机时在 -i URI 参数中提供标识和密码作为 URI，从而提供安全凭证。

对于这些管理接口，认证由 App Connect Enterprise完成。要使用 App Connect Enterprise 来认证用户，请使用本地密码创建 Web 用户帐户。然后针对系统中保存的凭证来检查用户标识和密码。

或者，您可以使用外部 LDAP 服务器来认证用户。要使用 LDAP 服务器，必须将集成节点配置为使用 LDAP 服务器进行认证。根据 LDAP 服务器中设置的用户名和密码来检查凭证。在启用 LDAP 后，将忽略本地密码。除非您打算使用基于文件的授权，否则不需要使用本地密码来创建 Web 用户帐户。

有关 IBM App Connect Enterprise提供的认证支持的更多信息，请参阅认证用户以进行管理。

授权

授权是通过验证用户是否有权对指定资源执行所请求的操作来控制这些用户对资源的访问的过程。

如果启用了管理安全性，那么您可以控制用户对集成节点、集成服务器和资源的访问。通过设置允许与指定角色相关联的用户标识对指定资源执行操作的许可权来控制访问。 App Connect Enterprise 在接收到查看或更改其属性或资源的请求时检查授权。如果与该请求相关联的用户标识未经授权，那么将拒绝该请求。系统将针对下列界面的用户所尝试的所有操作执行许可权检查：

IBM App Connect Enterprise
IBM App Connect Enterprise Toolkit 会话
IBM App Connect Enterprise RESTful 应用程序编程接口 (API)
使用 IBM Integration API 在集成节点上完成操作的 Java™ 程序。
下列所有命令：
- mqsichangeresourcestats
- mqsicreateexecutiongroup
- mqsideleteexecutiongroup
- mqsideploy
- mqsilist
- mqsimode
- mqsireloadsecurity
- mqsireportresourcestats
- mqsistartmsgflow
- mqsistopmsgflow
- mqsiwebuseradmin
有关这些命令所需的授权的更多信息，请参阅用于管理安全性的命令和授权。

所有未在此处列出的命令都只能在运行集成节点或集成服务器的计算机上运行。如果运行任何未列出的命令，那么用于运行这些命令的用户标识必须属于安全组 mqbrkrs。或者，它必须是运行集成节点或集成服务器的用户标识。

对于没有对集成节点或集成服务器的读，写和执行许可权的 Web 用户界面和 IBM App Connect Enterprise Toolkit 用户，只能限制对这些资源的访问权。

对于集成节点及其受管集成服务器，支持三种授权方式：基于文件的授权（file 方式）、基于队列的授权（mq 方式）以及 LDAP 授权方式。通过使用以下任一方法，可以对集成节点启用管理安全性并指定基于文件或基于队列的授权方式：

使用 mqsichangeauthmode 命令，如使用 mqsichangeauthmode 命令配置授权中所述。
在集成节点的 node.conf.yaml 配置文件中设置属性，如通过修改 node.conf.yaml 文件配置集成节点的授权中所述。

您可以通过在集成节点的配置文件中设置属性来指定 LDAP 授权，如使用 LDAP 组配置授权中所述。

对于独立集成服务器，支持基于文件的授权（file 方式）和 LDAP 授权。通过使用以下某种方法，可以对独立集成服务器（不受集成节点管理）启用基于文件的授权：

使用 mqsichangeauthmode 命令，如使用 mqsichangeauthmode 命令配置授权中所述。
在集成服务器的 server.conf.yaml 配置文件中设置属性，如通过修改 server.conf.yaml 文件配置集成服务器的授权中所述。

您可以通过在集成服务器的 server.conf.yaml 配置文件中设置属性，为独立集成服务器 (不受集成节点管理) 启用 LDAP 授权，如使用 LDAP 组配置授权中所述。

基于文件的授权（file 方式）

可以对集成节点（及其受管集成服务器）和独立集成服务器配置基于文件的授权。

如果集成节点或服务器配置为使用基于文件的授权，那么可以通过使用 mqsichangefileauth 命令或通过在 node.conf.yaml 或 server.conf.yaml 配置文件中设置许可权来向角色授予许可权。有关更多信息，请参阅设置基于文件的许可权。

如果找不到角色名称的许可权，那么将进行检查以查看角色名称是否与系统用户标识相匹配。如果存在匹配的系统用户标识，并且如果它是 mqbrkrs 组的成员，那么将提供完整许可权。

基于队列的授权（mq 方式）

可以对集成节点（及其管理的集成服务器）配置基于队列的授权。

如果对集成节点设置了基于队列的授权方式，那么您可以在授权队列上指定许可权，这些队列是在对集成节点指定的队列管理器中定义的：

SYSTEM.BROKER.AUTH. 此队列表示集成节点及其属性。对于每个集成节点，只存在一个具有此名称的队列。此队列定义为本地队列。
一个 SYSTEM.BROKER.AUTH. 针对集成节点上定义的每个集成服务器的EG ，其中 EG 是集成服务器的名称。这些队列定义为别名队列。

将自动向 SYSTEM.BROKER.AUTH 队列上的用户组 mqbrkrs 授予读，写和执行权限。

在启用了安全性的集成节点上创建集成服务器时，集成服务器授权队列为 SYSTEM.BROKER.AUTH。将创建EG ，其中 EG 是集成服务器的名称。此队列的读、写和执行权限将自动授予用户组 mqbrkrs。

如果集成节点配置为使用基于队列的授权，那么您必须在运行集成节点的操作系统上创建系统用户标识。然后，您可以向该系统用户标识分配许可权，并且此许可权集表示名称对应于该系统用户标识的名的角色。例如，为 ibmuser 角色的 ibmuser 系统用户定义的许可权集。有关设置基于队列的授权的许可权的更多信息，请参阅设置基于队列的许可权。

LDAP 授权方式

可以对集成节点（及其受管集成服务器）和独立集成服务器配置 LDAP 授权。如果将集成节点或集成服务器配置为使用 LDAP 授权，那么您可以通过在 node.conf.yaml 或 server.conf.yaml 配置文件中设置许可权来向角色授予许可权。有关更多信息，请参阅使用 LDAP 组配置授权。

有关 IBM App Connect Enterprise提供的授权支持的更多信息，请参阅授权用户进行管理和基于角色的安全性。

有关安全许可权的更多信息，请参阅以下主题：