z/OS 上の IBM MQ Console および REST API のセキュリティーに関する考慮事項
z/OS®では、 IBM® MQ Console および REST APIのセキュリティーを構成するための追加オプションがあります。 LDAP レジストリーを構成できます。 IBM MQ Console および REST API の TLS を構成して、ユーザーが証明書を使用してログインできるようにすることができます。 ユーザーが z/OS ユーザー ID とパスワードを使用してログインできるように、System Authorization Facility インターフェースを構成することができます。
始める前に
IBM MQ Console および REST API には、ユーザーがコマンドを発行、表示、または変更できるかどうかを制御するセキュリティー機能があります。 その後、コマンドはキュー・マネージャーに渡され、キュー・マネージャー・セキュリティーは、ユーザーがその特定のキュー・マネージャーに対してコマンドを発行できるかどうかを制御するために使用されます。
CHKLOCL (REQUIRED) を設定して、すべてのバッチ・アプリケーションが有効なユーザー ID とパスワードを提供することを必要とするようにキュー・マネージャーが構成されている場合は、アドレス・スペース・ユーザー ID に MQCONN クラスの hlq.BATCH プロファイルに対する UPDATE アクセス権限を付与する必要があります。
これにより、mqweb サーバー・アドレス・スペースのユーザー ID に対する接続認証が、CHKLOCL(OPTIONAL) モードで実行されるようになります。
すべてのバッチ・アプリケーションが有効なユーザー ID とパスワードを提供する必要があるようにキュー・マネージャーを構成していない場合は、MQCONN クラスの hlq.BATCH プロファイルに対する READ アクセス権限を mqweb サーバー・アドレス・スペース・ユーザー ID に付与するだけで十分です。
CHCKLOCL について詳しくは、 ローカルでバインドされたアプリケーションでの CHCKLOCL の使用を参照してください。
mqweb サーバー・アドレス・スペースのユーザー ID には、特定の PCF コマンドを発行するための権限、特定のキューにアクセスするための権限が必要です。
詳細については、以下を参照してください。MQWebUser
役割に割り当てられた IBM MQ Console および REST API ユーザーは、プリンシパルのセキュリティー・コンテキストの下で操作します。このようなユーザー ID は、そのユーザー ID がキュー・マネージャーで実行を許可されている操作のみを実行できます。また、mqweb サーバーのアドレス・スペースと同じシステム・キューに対するアクセス権限を付与される必要があります。
mqweb サーバー・アドレス・スペースのユーザー ID は、
MQWebUser
役割を割り当てられたすべてのユーザーに対する代替ユーザー・アクセス権限を付与される必要があります。 代替ユーザー・セキュリティーについて詳しくは、「 代替ユーザー・セキュリティーのプロファイル 」を参照してください。