ユーザーおよび役割の構成
IBM® MQ Console または REST APIを使用するには、ユーザーは mqweb サーバーに定義されているユーザー・レジストリーに対して認証を行う必要があります。
本タスクについて
認証済みユーザーは、 IBM MQ Console および REST APIの機能へのアクセスを許可するグループの 1 つのメンバーでなければなりません。 デフォルトでは、ユーザー・レジストリーにユーザーは含まれていません。ユーザーは、mqwebuser.xml ファイルを編集して追加する必要があります。
ユーザーおよびグループを構成するときは、ユーザーおよびグループを認証する際の基準となるユーザー・レジストリーをまず構成する必要があります。 このユーザー・レジストリーは、 IBM MQ Console と REST APIの間で共有されます。 ユーザーおよびグループの役割を構成するときに、ユーザーおよびグループが IBM MQ Console、 REST API、またはその両方にアクセスできるかどうかを制御できます。
ユーザー・レジストリーを構成した後、ユーザーおよびグループの役割を構成して許可を付与します。 3 つの役割が使用可能であり、役割ごとに異なるレベルのアクセス権限が付与されます。 詳しくは、 IBM MQ コンソールおよび REST API での役割を参照してください。
ユーザーおよびグループの構成を簡単にするために、いくつかのサンプル XML ファイルが mqweb サーバーに付属しています。 このタスクでは、それらのサンプルを使用する方法および環境に合わせて調整する方法を説明します。
WebSphere® Application Server Liberty (WLP) でのセキュリティーの構成に精通しているユーザーは、サンプルを使用したくない場合があります。 WLP では、ここで説明する機能のほかにも、複数の承認機能を利用できます。
MFT 役割と例については、 MFT REST API セキュリティーの構成 を参照してください。
手順
例
MQWebAdminGroup
に、役割 MQWebAdmin
を持つ IBM MQ Console へのアクセス権限が付与されます。 役割 MQWebAdminRO
によってユーザー reader
にアクセス権限が付与され、役割 MQWebUser
によってユーザー guest
にアクセス権限が付与されます。<enterpriseApplication id="com.ibm.mq.console">
<application-bnd>
<security-role name="MQWebAdmin">
<group name="MQWebAdminGroup" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebAdminRO">
<user name="reader" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebUser">
<user name="guest" realm="defaultRealm"/>
</security-role>
</application-bnd>
</enterpriseApplication>
reader
および guest
に IBM MQ Consoleへのアクセス権限が付与されます。 ユーザー user
には REST APIへのアクセス権限が付与され、 MQAdmin
グループ内のすべてのユーザーには IBM MQ Console および REST APIへのアクセス権限が付与されます。<enterpriseApplication id="com.ibm.mq.console">
<application-bnd>
<security-role name="MQWebAdmin">
<group name="MQAdmin" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebAdminRO">
<user name="reader" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebUser">
<user name="guest" realm="defaultRealm"/>
</security-role>
</application-bnd>
</enterpriseApplication>
<enterpriseApplication id="com.ibm.mq.rest">
<application-bnd>
<security-role name="MQWebAdmin">
<group name="MQAdmin" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebUser">
<user name="user" realm="defaultRealm"/>
</security-role>
</application-bnd>
</enterpriseApplication>
次のタスク
- IBM MQ Console 認証オプション
- トークン認証を使用してユーザーを認証する。 この場合、ユーザーは IBM MQ Console ログイン画面でユーザー ID とパスワードを入力します。 ユーザーが一定時間ログインと許可を維持するための LTPA トークンが生成されます。 この認証オプションを使用するうえでこれ以上の構成は不要ですが、必要に応じて LTPA トークンの有効期間を構成できます。 詳しくは、 LTPA トークンの有効期間の構成を参照してください。
- クライアント証明書を使用してユーザーを認証する。 この場合、ユーザーは IBM MQ Consoleへのログインにユーザー ID またはパスワードを使用せず、代わりにクライアント証明書を使用します。 詳しくは、 REST API および IBM MQ コンソールでのクライアント証明書認証の使用を参照してください。
- REST API 認証オプション
- HTTP 基本認証を使用してユーザーを認証する。 この場合、ユーザー名とパスワードはエンコードされますが、暗号化されません。各 REST API 要求と共に送信され、その要求に対してユーザーを認証して許可します。 この認証を保護するには、セキュア接続を使用する必要があります。 つまり、HTTPS を使用する必要があります。 詳しくは、 REST API での HTTP 基本認証の使用を参照してください。
- トークン認証を使用してユーザーを認証する。 この場合、ユーザーは HTTP POST メソッドを使用して、 REST API
login
リソースにユーザー ID とパスワードを提供します。 ユーザーが一定時間ログインと許可を維持するための LTPA トークンが生成されます。 詳しくは、 IBM MQ 9.0.4 以前の REST API でのトークン・ベース認証の使用を参照してください。 LTPA トークンの有効期間を構成できます。 詳しくは、 LTPA トークンの有効期間の構成を参照してください。 - クライアント証明書を使用してユーザーを認証する。 この場合、ユーザーは REST APIへのログインにユーザー ID またはパスワードを使用せず、代わりにクライアント証明書を使用します。 詳しくは、 REST API および IBM MQ コンソールでのクライアント証明書認証の使用を参照してください。