MFT REST API セキュリティーの構成
Managed File Transfer REST API 役割ベースのセキュリティーの構成は、 IBM® MQ REST APIの場合と同様に、 mqwebuser.xmlを介して行われます。
始める前に
セキュリティーのセットアップ方法については、 IBM MQ Console および REST API のセキュリティー を参照してください。
本タスクについて
MFT REST API インターフェースの MFT リソースの側面を処理するために、 MFTWebAdmin および MFTWebAdminRO の新しい役割が、 MQWebAdmin、 MQWebAdminRO、および MQWebUserの既存の IBM MQ 固有の役割に追加されました。
- MFTWebAdmin
- この役割を割り当てられたユーザーまたはグループは、すべての MFT REST 操作を実行でき、
mqweb
サーバーの始動に使用されるオペレーティング・システム・ユーザー ID のセキュリティー・コンテキストで操作を行います。 - MFTWebAdminRO
- このロールは、 MFT REST APIへの読み取り専用アクセス権を付与します。 このロールを割り当てられたユーザーやグループは、転送やエージェントのリスト表示などの読み取り専用操作 (GET 要求) を実行できます。
重要:
- MFTWebAdmin または MFTWebAdminRO の役割を持つプリンシパルは、どの IBM MQ REST API サービスにもアクセスできません。
- MFTWebAdmin ユーザーが IBM MQ REST APIにアクセスする必要がある場合、そのユーザーは MQWebAdmin、 MQWebAdminRO、または MQWebUser グループのいずれかのメンバーでなければなりません。
- MQWebAdmin、 MQWebAdminRO、および MQWebUser グループのメンバーは、 MFT REST APIにアクセスできません。
以下のような権限付与を行うサンプルを取り上げます。
- MQWebAdmin、 MQWebAdminRO、および MQWebUser の各役割については、「 IBM MQ コンソールおよび REST API での役割」を参照してください。
- MFTWebAdmin の役割に mftadmin ユーザーのアクセス権限を与えます。 「mftadmin」ユーザーは、すべての MFT REST サービスを実行できます。
- MFTWebAdminRO の役割に mftreader ユーザーのアクセス権限を与えます。 mftreader ユーザーは、エージェントや転送のリスト表示などの読み取り専用操作だけを実行できます。
<?xml version="1.0" encoding="UTF-8"?>
<server>
<!-- Enable features -->
<featureManager>
<feature>appSecurity-2.0</feature>
</featureManager>
<!-- Role Mappings -->
<enterpriseApplication id="com.ibm.mq.rest">
<application-bnd>
<security-role name="MQWebAdmin">
<group name="MQWebUI" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebAdminRO">
<user name="reader" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebUser">
<special-subject type="ALL_AUTHENTICATED_USERS"/>
</security-role>
<security-role name="MFTWebAdmin">
<user name="mftadmin" realm="defaultRealm"/>
</security-role>
<security-role name="MFTWebAdminRO">
<user name="mftreader" realm="defaultRealm"/>
</security-role>
</application-bnd>
</enterpriseApplication>