IBM MQ Console および REST API のセキュリティー

IBM® MQ Console および REST API のセキュリティーを構成するには、 mqwebuser.xml ファイル内の mqweb サーバー構成を編集します。

1. ユーザーを認証するためのユーザー・レジストリーを定義し、各ユーザーまたはグループにロールを割り当てて、ユーザーおよびグループに IBM MQ Console または REST APIの使用を許可します。 詳しくは、 ユーザーおよび役割の構成 を参照してください。
2. IBM MQ Console のユーザーが mqweb サーバーで認証を行う方法を選択します。 すべてのユーザーに対して同じ方法を使用する必要はありません。
   • トークン認証を使用してユーザーを認証する。 この場合、ユーザーは IBM MQ Console ログイン画面でユーザー ID とパスワードを入力します。 ユーザーが一定時間ログインと許可を維持するための LTPA トークンが生成されます。 この認証オプションを使用するための追加構成は不要ですが、オプションで LTPA トークンの有効期限時刻を構成することもできます。 詳しくは、 LTPA トークンの有効期間の構成を参照してください。
   • クライアント証明書を使用してユーザーを認証する。 この場合、ユーザーは IBM MQ Consoleへのログインにユーザー ID またはパスワードを使用せず、代わりにクライアント証明書を使用します。 詳しくは、 REST API および IBM MQ コンソールでのクライアント証明書認証の使用を参照してください。
3. REST API のユーザーが mqweb サーバーで認証を行う方法を選択します。 すべてのユーザーに対して同じ方法を使用する必要はありません。
   • HTTP 基本認証を使用してユーザーを認証する。 この場合、ユーザー名とパスワードはエンコードされますが、暗号化されません。各 REST API 要求と共に送信され、その要求に対してユーザーを認証して許可します。 この認証を保護するには、セキュア接続を使用する必要があります。 つまり、HTTPS を使用する必要があります。 詳しくは、 REST API での HTTP 基本認証の使用を参照してください。
   • トークン認証を使用してユーザーを認証する。 この場合、ユーザーは HTTP POST メソッドを使用して、 REST API login リソースにユーザー ID とパスワードを提供します。 ユーザーが一定時間ログインと許可を維持するための LTPA トークンが生成されます。 この認証を保護するには、セキュア接続を使用する必要があります。 つまり、HTTPS を使用する必要があります。 詳しくは、 LTPA トークンの有効期間の構成を参照してください。
   • クライアント証明書を使用してユーザーを認証する。 この場合、ユーザーは REST APIへのログインにユーザー ID またはパスワードを使用せず、代わりにクライアント証明書を使用します。 詳しくは、 REST API および IBM MQ コンソールでのクライアント証明書認証の使用を参照してください。
4. オプション: REST APIの Cross Origin Resource Sharing を構成します。

   デフォルトでは、Web ブラウザーは、スクリプトが REST APIと同じ発信元ではない場合に、 JavaScriptなどのスクリプトが REST API を呼び出すことを許可しません。 つまり、クロス・オリジン要求が有効になりません。 指定した URL からのクロス・オリジン要求を許可するようクロス・オリジン・リソース共有 (CORS) を構成することができます。 詳しくは、 REST API の CORS の構成を参照してください。