代替ユーザー セキュリティがアクティブな場合は、MQADMIN クラスでプロファイルを定義し、必要なグループまたはユーザー ID にそれらのプロファイルへのアクセスを許可して、それらのグループまたはユーザーがオブジェクトを開く際に ALTERNATE_USER_AUTHORITY オプションを使用できるようにする必要があります。
代替ユーザー セキュリティのプロファイルはサブシステム レベルで指定でき、次の形式をとります。
qmgr-name.ALTERNATE.USER.alternateuserid
qmgr-name はキュー マネージャー名で、alternateuserid はオブジェクト記述子の AlternateUserId フィールドの値です。
接頭辞としてキュー マネージャー名が付いたプロファイルは、そのキュー マネージャーで代替ユーザー ID の使用を制御します。
次の表は、代替ユーザー オプションを指定する場合のアクセス権を示しています。
MQOPEN または MQPUT1 のオプション | 必要な RACF アクセス レベル |
---|---|
MQOO_ALTERNATE_USER_AUTHORITY MQPMO_ALTERNATE_USER_AUTHORITY | UPDATE |
代替ユーザー セキュリティ チェックに加えて、キュー、プロセス、コンテキストなどのセキュリティ チェックを行うこともできます。代替ユーザー ID が指定された場合、キューおよびプロセス定義のセキュリティ チェックにのみ使用されます。代替ユーザーおよびコンテキストのセキュリティ チェックでは、チェックを要求しているユーザー ID が使用されます。