![[V9.0.5 2018 年 3 月]](ng905.gif)
配置 MFT REST API 安全性
基于 Managed File Transfer REST API 角色的安全性的配置是通过 mqwebuser.xml完成的,对于 IBM® MQ REST API也是如此。
开始之前
请参阅 IBM MQ 控制台和 REST API 安全性 ,以获取有关如何设置安全性的信息。
关于本任务
To handle aspects of MFT resources for the MFT REST API interface, the new roles of MFTWebAdmin and MFTWebAdminRO have been added to the existing IBM MQ specific roles of MQWebAdmin, MQWebAdminRO, and MQWebUser.
- MFTWebAdmin
- 分配了此角色的用户或组可以执行所有 MFT REST 操作,并在用于启动
mqweb服务器的操作系统用户标识的安全上下文下运行。 - MFTWebAdminRO
- 此角色授予对 MFT REST API的只读访问权。 分配了此角色的用户或组可以执行只读操作 (GET 请求) ,例如列表传输和列表代理。
重要说明:
- 具有MFTWebAdmin或MFTWebAdminRO角色的负责人不能访问任何 "IBM MQ"REST API服务。
- 如果MFTWebAdmin用户需要访问 "IBM MQ"REST API,则该用户必须是MQWebAdmin, MQWebAdminRO,或MQWebUser组的成员。
- MQWebAdmin, MQWebAdminRO,和MQWebUser组的成员不能访问 "MFT"REST API。
以下示例授予以下权限:
- MQWebAdmin, MQWebAdminRO,和MQWebUser角色,以及在 IBM MQ控制台和 REST API 的角色中描述的访问权限。
- 对 "mftadmin" 用户的 MFTWebAdmin 角色访问权。 "mftadmin" 用户可以执行所有 MFT REST 服务。
- MFTWebAdminRO角色对 "mftreader "用户的访问权限。 "mftreader" 用户可以执行只读操作,例如列表代理和列表传输。
<?xml version="1.0" encoding="UTF-8"?>
<server>
<!-- Enable features -->
<featureManager>
<feature>appSecurity-2.0</feature>
</featureManager>
<!-- Role Mappings -->
<enterpriseApplication id="com.ibm.mq.rest">
<application-bnd>
<security-role name="MQWebAdmin">
<group name="MQWebUI" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebAdminRO">
<user name="reader" realm="defaultRealm"/>
</security-role>
<security-role name="MQWebUser">
<special-subject type="ALL_AUTHENTICATED_USERS"/>
</security-role>
<security-role name="MFTWebAdmin">
<user name="mftadmin" realm="defaultRealm"/>
</security-role>
<security-role name="MFTWebAdminRO">
<user name="mftreader" realm="defaultRealm"/>
</security-role>
</application-bnd>
</enterpriseApplication>