IBM MQ Console および REST API での役割

IBM® MQ Console または REST APIを使用する権限をユーザーおよびグループに付与する場合、それらのユーザーおよびグループには、 MQWebAdmin、 MQWebAdminRO、および MQWebUserの 3 つの役割のいずれかを割り当てる必要があります。各ロールは、 IBM MQ Console および REST APIにアクセスするための異なるレベルの特権を提供し、許可された操作の試行時に使用されるセキュリティー・コンテキストを決定します。

注: MQWebUser 役割を除き、ユーザー ID には大/小文字の区別はありません。この役割の具体的な要件については、 MQWebUser を参照してください。

MQWebAdmin

この役割を割り当てられたユーザーおよびグループはすべての操作を実行できます。また、mqweb サーバーの始動に使用されたオペレーティング・システムのユーザー ID のセキュリティー・コンテキストで操作を行います。

MQWebAdminRO

このロールは、 IBM MQ Console または REST APIへの読み取り専用アクセス権を付与します。この役割を割り当てられたユーザーおよびグループは、以下の操作を実行できます。

キューやチャネルなどの IBM MQ オブジェクトに対する操作を表示および照会します。
キューのメッセージの参照。

この役割を割り当てられたユーザーおよびグループは、mqweb サーバーの始動に使用されたオペレーティング・システムのユーザー ID のセキュリティー・コンテキストで操作を行います。

MQWebUser

この役割を割り当てられたユーザーおよびグループは、ユーザー ID がキュー・マネージャーで実行を許可されている操作をすべて実行できます。以下に例を示します。

チャネルなどの IBM MQ オブジェクトに対する開始操作と停止操作。
キューやチャネルなどの IBM MQ オブジェクトに対する操作を定義および設定します。
キューやチャネルなどの IBM MQ オブジェクトに対する操作を表示および照会します。

この役割を割り当てられたユーザーおよびグループは、プリンシパルのセキュリティー・コンテキストで操作を行い、そのユーザー ID がキュー・マネージャーで実行を許可されている操作だけを実行できます。

したがって、mqweb ユーザー・レジストリーに定義されているユーザーまたはグループには、そのユーザーが操作を実行する前に、 IBM MQ 内で権限を付与する必要があります。この役割を使用すると、 IBM MQ Console および REST API を使用する際に、どのユーザーが特定の IBM MQ リソースに対してどのタイプのアクセス権限を持つかを細かく制御できます。

注:

この役割を割り当てられるユーザー ID の最大長は 12 文字です。
ユーザー ID の大/小文字は、mqweb ユーザー・レジストリーと IBM MQ システムで同じでなければなりません。ユーザー ID の大文字と小文字が異なる場合、ユーザーは IBM MQ Console および REST API によって認証されますが、IBM MQ リソースを使用する権限は与えられません。

これらの役割を使用するようにユーザーおよびグループを構成する方法について詳しくは、ユーザーおよび役割の構成を参照してください。

オーバーラップする役割

1 つのユーザーまたはグループに複数の役割を割り当てることができます。この状態でユーザーが操作を実行すると、その操作に適用可能な最高の特権の役割が使用されます。例えば、役割 MQWebAdminRO および MQWebUser を持つユーザーがキューの照会操作を実行した場合は、MQWebAdminRO 役割が使用され、Web サーバーを始動したシステム・ユーザー ID のコンテキストで操作が試行されます。その同じユーザーが定義操作を実行した場合は、MQWebUser 役割が使用され、プリンシパルのコンテキストで操作が試行されます。

MFT REST API セキュリティー

MFT のユーザー、役割、およびセキュリティーについては、 MFT REST API セキュリティーの構成を参照してください。