Istnieje możliwość zabezpieczenia instalacji, dostosowania ustawień zabezpieczeń i skonfigurowania praw dostępu użytkownika.
Należy też poznać wszelkie ograniczenia dotyczące
zabezpieczeń, które można napotkać w tej aplikacji.
Włączanie zabezpieczeń podczas procesu instalacji
Jeśli instalowane są tylko aplikacje Launcher i Document Studio, włączenie
zabezpieczeń podczas instalacji nie wymaga wykonania żadnych kroków. W
przypadku instalowania usług zdalnych na serwerze aplikacji należy wykonać
pewne kroki, aby zabezpieczyć serwer.
- Jeśli jako serwer aplikacji jest używany serwer
WebSphere Application Server,
podczas wdrażania aplikacji WWW produktu
Rational Publishing Engine
należy włączyć kilka ustawień zabezpieczeń, takich jak zabezpieczenia
administracyjne i zabezpieczenia aplikacji. Więcej informacji na ten temat zawiera sekcja
Ręczne
wdrażanie aplikacji usług zdalnych na serwerze
WebSphere Application Server.
Ostrzeżenie: Jeśli została zainstalowana poprawka tymczasowa serwera
WebSphere Application Server
dla problemu PM44303 lub pakiet poprawek zawierający poprawkę dla problemu
PM44303, występuje potencjalna luka w zabezpieczeniach dla niektórych wersji
serwera
WebSphere Application Server.
Należy zainstalować poprawkę odpowiednią dla wersji serwera WebSphere Application Server i systemu operacyjnego użytkownika. Więcej informacji na ten temat zawiera nota techniczna
Potential
security exposure from IBM WebSphere Application Server impacts Rational
Publishing Engine (Potencjalna luka w zabezpieczeniach serwera IBM
WebSphere Application Server wpływa na produkt Rational Publishing
Engine).
- Jeśli jako serwer aplikacji jest używany serwer Apache Tomcat, nie ma
wymaganych ustawień zabezpieczeń do skonfigurowania, lecz można skonfigurować
protokół SSL. Więcej informacji na ten temat zawiera procedura konfigurowania
protokołu SSL dla
wersji
6.0 lub
wersji
7.0 w serwisie WWW serwera Apache Tomcat.
- Więcej informacji na temat przechowywania nazw użytkowników i haseł
znajduje się w dokumentacji serwera aplikacji.
V1.2.1.1: Aby
zapobiec atakom typu clickjacking, dla nagłówka X-Frame-Options w
aplikacji usług zdalnych domyślnie określone jest ustawienie DENY. Więcej informacji na temat ataków typu clickjacking i tego ustawienia zawierają
tematy
WebSphere Application Server
i
Apache
Tomcat.
Po wdrożeniu
aplikacji Usługi zdalne można wybrać, czy aplikacje klienckie będą uzyskiwały
dostęp do komponentu zdalnego generowania dokumentów przez zabezpieczone czy
przez niezabezpieczone adresy URL. Zabezpieczony adres URL jest podany w dokumentacji w tym Centrum
informacyjnym. Więcej informacji zawiera sekcja
Adresy
URL usług zdalnych. W przypadku skonfigurowania niezabezpieczonego
generowania dokumentów każdy użytkownik będzie mógł wyświetlić wygenerowane
dokumenty wyjściowe, nawet jeśli nie ma dostępu do danych w źródle danych.
Włączanie bezpiecznej komunikacji między wieloma aplikacjami
Jeśli na jednym serwerze działa wiele aplikacji, żadna dodatkowa konfiguracja
nie jest wymagana, ponieważ produkt
Rational Publishing Engine
nie komunikuje się bezpośrednio z używanym źródłem danych. Schemat
źródła danych i dane pochodzą ze źródła danych w produkcie
Rational Publishing Engine,
lecz dane pochodzące z produktu
Rational Publishing Engine
nie są modyfikowane w sposób wymagający zwrotnej komunikacji ze
źródłem danych.
Porty, protokoły i usługi
Istnieje
możliwość skonfigurowania połączenia proxy.
Port transportowy HTTPS
Konsoli administracyjnej serwera aplikacji:
- Port domyślny serwera
WebSphere Application Server
to 9043.
- Port domyślny serwera Apache Tomcat to 8080.
Port transportowy HTTP serwera aplikacji:
- Port domyślny serwera
WebSphere Application Server to 9080.
- Port domyślny serwera Apache Tomcat to 8080, chyba że
jest używany port ze skonfigurowanym protokołem SSL, a wtedy zwykle numerem portu
jest 8443.
Dostosowywanie ustawień zabezpieczeń
Nazwy i hasła użytkowników dla
aplikacji WWW nie są tworzone automatycznie. Produkt Rational Publishing Engine
wymaga nazw i haseł użytkowników przy nawiązywaniu połączenia z
usługami zdalnymi, lecz nie podczas uruchamiania aplikacji
klienckich Launcher i Document Studio na
komputerze użytkownika.
Źródło danych może wymagać odrębnego
uwierzytelniania przez produkt
Rational Publishing Engine
w celu uzyskania dostępu do danych wewnątrz niego. Należy sprawdzić
zabezpieczenia źródła danych i podczas korzystania z produktu Rational Publishing Engine nie należy używać niezaufanych źródeł danych.
Jeśli źródło danych wymaga uwierzytelniania, nazwy i hasła
użytkowników dla źródeł danych można zapisać na zdalnym serwerze
Rational Publishing Engine,
w plikach specyfikacji dokumentu lub w plikach szablonu.
Hasła w
produkcie
Rational Publishing Engine
są zaszyfrowane.
Jeśli hasła są zapisane w plikach szablonu i na serwerze zdalnym, znaki
są zamaskowane znakami wypunktowania. Jeśli hasła są zapisane w plikach
specyfikacji dokumentu, znaki są zamaskowane znakami wypunktowania
podczas wpisywania i są zamieniane na gwiazdki po przeniesieniu kursora
z wartości. W przypadku otwarcia specyfikacji dokumentu w przeglądarce lub
edytorze XML hasło jest zakodowane.
Szablony lub specyfikacje dokumentu można
współużytkować, zapisując je w komponencie Centralne zarządzanie lub
wysyłając je za pomocą metody poza produkt Rational Publishing Engine.
Przed udostępnieniem do współużytkowania szablonu lub specyfikacji dokumentu
użytkownik musi zdecydować, czy nazwa i hasło użytkownika zostaną pozostawione
w plikach, czy z nich usunięte.
W większości przypadków zaleca się usunięcie
nazwy i hasła użytkownika z pliku. Pomimo że hasła nie można poznać, ponieważ jest
zaszyfrowane, inni użytkownicy w dalszym ciągu mogą wygenerować
dokumenty zawierające dane, których w przeciwnym razie nie mogliby
zobaczyć.
Konfigurowanie ról i dostępu użytkowników
Produkt Rational Publishing Engine
zawiera role dla administratorów i użytkowników komponentów usług
zdalnych, w tym Zdalne generowanie dokumentów, Centralne zarządzanie,
Monitorowanie i sterowanie oraz Planowanie raportów. Przegląd ról
użytkowników jest dostępny w sekcji Konfigurowanie aplikacji usług zdalnych.
Następnie można skonfigurować role użytkowników i zapewnić dostęp użytkownikom
na serwerze aplikacji
WebSphere Application Server
lub
Apache
Tomcat.
Poszczególnym użytkownikom należy udostępnić ich własne nazwy i hasła. Nazw
użytkowników nie należy udostępniać grupie użytkowników. Indywidualne
referencje użytkownika zapewniają, że każdy użytkownik ma dostęp tylko do
raportów zawierających dane, do których jest uprawniony.
Ograniczenia dotyczące zabezpieczeń
- Niezabezpieczone generowanie dokumentów: jeśli nie zostanie wybrana
opcja bezpiecznego generowania dokumentów, każdy użytkownik będzie mógł
wyświetlić wygenerowane dane wyjściowe.
- Niepomyślne próby logowania: serwer Apache Tomcat nie blokuje
użytkowników po wielu nieudanych próbach zalogowania.
- Współużytkowanie szablonów i specyfikacji dokumentów: jeśli
referencje nie zostaną usunięte ze współużytkowanych szablonów i
specyfikacji dokumentów, użytkownicy będą mogli generować dokumenty na
podstawie danych, do których normalnie nie mieliby dostępu.
- Zabezpieczenia źródła danych: dane są zabezpieczane przez aplikację,
w której są przechowywane. Produkt
Rational Publishing Engine
nie zabezpiecza danych.