Zagadnienia dotyczące zabezpieczeń produktu IBM Rational Publishing Engine

Istnieje możliwość zabezpieczenia instalacji, dostosowania ustawień zabezpieczeń i skonfigurowania praw dostępu użytkownika. Należy też poznać wszelkie ograniczenia dotyczące zabezpieczeń, które można napotkać w tej aplikacji.

Włączanie zabezpieczeń podczas procesu instalacji

Jeśli instalowane są tylko aplikacje Launcher i Document Studio, włączenie zabezpieczeń podczas instalacji nie wymaga wykonania żadnych kroków. W przypadku instalowania usług zdalnych na serwerze aplikacji należy wykonać pewne kroki, aby zabezpieczyć serwer.
  • Jeśli jako serwer aplikacji jest używany serwer WebSphere Application Server, podczas wdrażania aplikacji WWW produktu Rational Publishing Engine należy włączyć kilka ustawień zabezpieczeń, takich jak zabezpieczenia administracyjne i zabezpieczenia aplikacji. Więcej informacji na ten temat zawiera sekcja Ręczne wdrażanie aplikacji usług zdalnych na serwerze WebSphere Application Server.
    Ostrzeżenie: Jeśli została zainstalowana poprawka tymczasowa serwera WebSphere Application Server dla problemu PM44303 lub pakiet poprawek zawierający poprawkę dla problemu PM44303, występuje potencjalna luka w zabezpieczeniach dla niektórych wersji serwera WebSphere Application Server. Należy zainstalować poprawkę odpowiednią dla wersji serwera WebSphere Application Server i systemu operacyjnego użytkownika. Więcej informacji na ten temat zawiera nota techniczna Potential security exposure from IBM WebSphere Application Server impacts Rational Publishing Engine (Potencjalna luka w zabezpieczeniach serwera IBM WebSphere Application Server wpływa na produkt Rational Publishing Engine).
  • Jeśli jako serwer aplikacji jest używany serwer Apache Tomcat, nie ma wymaganych ustawień zabezpieczeń do skonfigurowania, lecz można skonfigurować protokół SSL. Więcej informacji na ten temat zawiera procedura konfigurowania protokołu SSL dla wersji 6.0 lub wersji 7.0 w serwisie WWW serwera Apache Tomcat.
  • Więcej informacji na temat przechowywania nazw użytkowników i haseł znajduje się w dokumentacji serwera aplikacji.

V1.2.1.1: Aby zapobiec atakom typu clickjacking, dla nagłówka X-Frame-Options w aplikacji usług zdalnych domyślnie określone jest ustawienie DENY. Więcej informacji na temat ataków typu clickjacking i tego ustawienia zawierają tematy WebSphere Application Server i Apache Tomcat.

Po wdrożeniu aplikacji Usługi zdalne można wybrać, czy aplikacje klienckie będą uzyskiwały dostęp do komponentu zdalnego generowania dokumentów przez zabezpieczone czy przez niezabezpieczone adresy URL. Zabezpieczony adres URL jest podany w dokumentacji w tym Centrum informacyjnym. Więcej informacji zawiera sekcja Adresy URL usług zdalnych. W przypadku skonfigurowania niezabezpieczonego generowania dokumentów każdy użytkownik będzie mógł wyświetlić wygenerowane dokumenty wyjściowe, nawet jeśli nie ma dostępu do danych w źródle danych.

Włączanie bezpiecznej komunikacji między wieloma aplikacjami

Jeśli na jednym serwerze działa wiele aplikacji, żadna dodatkowa konfiguracja nie jest wymagana, ponieważ produkt Rational Publishing Engine nie komunikuje się bezpośrednio z używanym źródłem danych. Schemat źródła danych i dane pochodzą ze źródła danych w produkcie Rational Publishing Engine, lecz dane pochodzące z produktu Rational Publishing Engine nie są modyfikowane w sposób wymagający zwrotnej komunikacji ze źródłem danych.

Porty, protokoły i usługi

Istnieje możliwość skonfigurowania połączenia proxy.

Port transportowy HTTPS Konsoli administracyjnej serwera aplikacji:
  • Port domyślny serwera WebSphere Application Server to 9043.
  • Port domyślny serwera Apache Tomcat to 8080.
Port transportowy HTTP serwera aplikacji:
  • Port domyślny serwera WebSphere Application Server to 9080.
  • Port domyślny serwera Apache Tomcat to 8080, chyba że jest używany port ze skonfigurowanym protokołem SSL, a wtedy zwykle numerem portu jest 8443.

Dostosowywanie ustawień zabezpieczeń

Nazwy i hasła użytkowników dla aplikacji WWW nie są tworzone automatycznie. Produkt Rational Publishing Engine wymaga nazw i haseł użytkowników przy nawiązywaniu połączenia z usługami zdalnymi, lecz nie podczas uruchamiania aplikacji klienckich Launcher i Document Studio na komputerze użytkownika.

Źródło danych może wymagać odrębnego uwierzytelniania przez produkt Rational Publishing Engine w celu uzyskania dostępu do danych wewnątrz niego. Należy sprawdzić zabezpieczenia źródła danych i podczas korzystania z produktu Rational Publishing Engine nie należy używać niezaufanych źródeł danych. Jeśli źródło danych wymaga uwierzytelniania, nazwy i hasła użytkowników dla źródeł danych można zapisać na zdalnym serwerze Rational Publishing Engine, w plikach specyfikacji dokumentu lub w plikach szablonu.

Hasła w produkcie Rational Publishing Engine są zaszyfrowane. Jeśli hasła są zapisane w plikach szablonu i na serwerze zdalnym, znaki są zamaskowane znakami wypunktowania. Jeśli hasła są zapisane w plikach specyfikacji dokumentu, znaki są zamaskowane znakami wypunktowania podczas wpisywania i są zamieniane na gwiazdki po przeniesieniu kursora z wartości. W przypadku otwarcia specyfikacji dokumentu w przeglądarce lub edytorze XML hasło jest zakodowane.

Szablony lub specyfikacje dokumentu można współużytkować, zapisując je w komponencie Centralne zarządzanie lub wysyłając je za pomocą metody poza produkt Rational Publishing Engine. Przed udostępnieniem do współużytkowania szablonu lub specyfikacji dokumentu użytkownik musi zdecydować, czy nazwa i hasło użytkownika zostaną pozostawione w plikach, czy z nich usunięte. W większości przypadków zaleca się usunięcie nazwy i hasła użytkownika z pliku. Pomimo że hasła nie można poznać, ponieważ jest zaszyfrowane, inni użytkownicy w dalszym ciągu mogą wygenerować dokumenty zawierające dane, których w przeciwnym razie nie mogliby zobaczyć.

Więcej informacji na temat usuwania referencji z szablonów i specyfikacji dokumentu zawiera sekcja Zapisywanie specyfikacji dokumentu.

Konfigurowanie ról i dostępu użytkowników

Produkt Rational Publishing Engine zawiera role dla administratorów i użytkowników komponentów usług zdalnych, w tym Zdalne generowanie dokumentów, Centralne zarządzanie, Monitorowanie i sterowanie oraz Planowanie raportów. Przegląd ról użytkowników jest dostępny w sekcji Konfigurowanie aplikacji usług zdalnych.

Następnie można skonfigurować role użytkowników i zapewnić dostęp użytkownikom na serwerze aplikacji WebSphere Application Server lub Apache Tomcat. Poszczególnym użytkownikom należy udostępnić ich własne nazwy i hasła. Nazw użytkowników nie należy udostępniać grupie użytkowników. Indywidualne referencje użytkownika zapewniają, że każdy użytkownik ma dostęp tylko do raportów zawierających dane, do których jest uprawniony.

Postanowienia dotyczące ochrony prywatności

Ten produkt nie używa informacji cookie ani innych technologii w celu gromadzenia informacji umożliwiających identyfikację użytkownika. Więcej szczegółów na temat informacji cookie zawiera sekcja Uwagi dotyczące dokumentacji produktu IBM Rational Publishing Engine.

Ograniczenia dotyczące zabezpieczeń

  • Niezabezpieczone generowanie dokumentów: jeśli nie zostanie wybrana opcja bezpiecznego generowania dokumentów, każdy użytkownik będzie mógł wyświetlić wygenerowane dane wyjściowe.
  • Niepomyślne próby logowania: serwer Apache Tomcat nie blokuje użytkowników po wielu nieudanych próbach zalogowania.
  • Współużytkowanie szablonów i specyfikacji dokumentów: jeśli referencje nie zostaną usunięte ze współużytkowanych szablonów i specyfikacji dokumentów, użytkownicy będą mogli generować dokumenty na podstawie danych, do których normalnie nie mieliby dostępu.
  • Zabezpieczenia źródła danych: dane są zabezpieczane przez aplikację, w której są przechowywane. Produkt Rational Publishing Engine nie zabezpiecza danych.

Opinia