Aspekty zabezpečení pro modul IBM Rational Publishing Engine

Můžete provést akce, abyste zkontrolovali, že jsou vaše instalace zabezpečené, upravit svá nastavení zabezpečení a nastavit řízení uživatelského přístupu. Můžete také zkontrolovat, zda jste seznámeni se všemi omezeními zabezpečení, které lze rozpoznat pomocí této aplikace.

Povolení zabezpečení během procesu instalace

Pokud instalujete pouze aplikace Document Studio nebo Launcher, není potřeba provést žádné kroky pro povolení zabezpečení během instalace. Pokud instalujete vzdálené služby na aplikační server, musíte dokončit všechny kroky, abyste zabezpečili server.
  • Pokud používáte produkt WebSphere Application Server jako aplikační server, je třeba povolit některá nastavení zabezpečení, jako zabezpečení pro administraci a zabezpečení aplikace, při implementaci webových aplikací Rational Publishing Engine. Chcete-li získat další informace, viz Manuální implementace aplikace Remote Services v produktu WebSphere Application Server.
    Upozornění: Pokud jste nainstalovali prozatímní opravu serveru WebSphere Application Server pro PM44303 nebo opravnou sadu obsahující PM44303, může s určitými verzemi serveru WebSphere Application Server dojít k bezpečnostním rizikům. Musíte nainstalovat opravu specifickou pro verzi serveru WebSphere Application Server a váš operační systém. Další informace naleznete v technické poznámce Potenciální bezpečnostní riziko ze serveru IBM WebSphere Application Server ovlivňující produkt Rational Publishing Engine.
  • Pokud používáte Apache Tomcat jako aplikační server, nemusí být nastavena žádná nastavení zabezpečení, avšak můžete zvolit nastavení konfigurace SSL. Chcete-li získat další informace, viz informace Postup konfigurace SSL pro verzi 6.0 nebo verzi 7.0 na webových stránkách Apache Tomcat.
  • Další informace o tom, jak se ukládají uživatelská jména a hesla, získáte v dokumentaci aplikačního serveru.

Chcete-li zabránit útoku clickjacking, záhlaví X-Frame-Options v aplikaci Remote Services se standardně nastaví na hodnotu DENY. Další informace o útoku clickjacking a tomto nastavení viz téma pro produkt WebSphere Application Server nebo Apache Tomcat.

Jakmile implementujete aplikaci Remote Services, můžete zvolit, zda chcete zadat zabezpečenou nebo nezabezpečenou adresu URL do komponenty vzdáleného generování dokumentů v klientských aplikacích. Zabezpečená adresa URL je zahrnuta v dokumentaci v tomto Informačním centru. Chcete-li získat další informace, viz Adresy URL Remote Services. Pokud zvolíte nastavení nezabezpečeného generování dokumentů, může jakýkoli uživatel zobrazit generované výstupní dokumenty, i když nemá přístup k datům ve zdroji dat.

Povolení zabezpečení komunikace mezi více aplikacemi

Když spustíte více aplikací na jednom serveru, není nezbytná žádná další konfigurace, protože neexistuje žádná přímá komunikace mezi produktem Rational Publishing Engine a zdrojem dat, který používáte. Schéma zdroje dat a dat se používají ze zdroje dat v produktu Rational Publishing Engine, ale v produktu Rational Publishing Engine se nevyskytuje žádná změna dat požadující komunikaci zpět do zdroje dat.

Porty, protokoly a služby

Můžete nastavit připojení proxy.

Port přenosu HTTPS administrativní konzoly pro aplikační server:
  • Výchozí port produktu WebSphere Application Server je 9043.
  • Výchozí port serveru Apache Tomcat je 8080.
Port přenosu HTTP aplikačního serveru.
  • Výchozí port produktu WebSphere Application Server je 9080.
  • Výchozí port serveru Apache Tomcat je 8080, dokud nepoužíváte port, na kterém je nakonfigurováno zabezpečení SSL a pak je číslo portu obvykle 8443.

Upravení nastavení zabezpečení

Jména uživatelů a hesla nejsou pro webové aplikace vytvářena automaticky. Produkt Rational Publishing Engine vyžaduje jména uživatelů a hesla pro připojení ke vzdáleným službám, ale ne pro použití aplikací klienta Document Studio a Launcher na počítači.

Zdroje dat mohou vyžadovat oddělené ověření pro produkt Rational Publishing Engine pro přístup k datům v nich. Ověřte zabezpečení zdroje dat a nepoužívejte s produktem Rational Publishing Engine nedůvěryhodné zdroje dat. Pokud váš zdroj dat vyžaduje ověření, lze uložit jména uživatelů a hesla pro zdroje dat na vzdáleném serveru Rational Publishing Engine, souborech specifikace dokumentu nebo v souborech šablony.

Hesla jsou zašifrována v produktu Rational Publishing Engine. Když jsou hesla uložena v souborech šablony a na vzdáleném serveru, jsou znaky maskovány puntíky. když jsou hesla uložena v souborech specifikace dokumentu, jsou znaky během zadávání maskovány puntíky a po přesunu kurzoru z hodnoty jsou přepnuty na hvězdičky. Pokud otevřete specifikaci dokumentu v prohlížeči nebo editoru XML, heslo se zakóduje.

Šablony nebo specifikace dokumentu lze sdílet jejich uložením v komponentě Centrální správa nebo jejich odesláním pomocí metody mimo produkt Rational Publishing Engine. Před sdílením šablony nebo specifikace dokumentu se musí uživatel rozhodnout, zda uchovat nebo odebrat jméno uživatele a heslo ze souborů. Ve většině situací se doporučuje odebrat jména uživatele a hesla ze souboru. I když nelze heslo kvůli šifrování identifikovat, mohou ostatní uživatelé stále generovat dokumenty, které mohou zahrnovat data, která jinak tito uživatelé nemají povoleno vidět.

Další informace o odebrání pověření ze šablon a specifikací dokumentu viz téma Uložení specifikace dokumentu.

Nastavení rolí uživatele a přístupu

Produkt Rational Publishing Engine má role pro administrátory a uživatele komponent aplikace Remote Services včetně komponent Vzdálené generování dokumentů, Systém centrální správy, Monitorování a řízení a Plánování sestav. Přehled rolí uživatelů je dostupný v tématu Konfigurace aplikace Remote Services.

Pak můžete nastavit role uživatelů a poskytnout přístup k vašim uživatelům v produktu WebSphere Application Server nebo aplikačním serveru Apache Tomcat. Poskytněte jednotlivé uživatele s jejich vlastním jménem uživatele a heslem místo sdílení jmen uživatelů se skupinou osob. Pověření jednotlivého uživatele zajišťují, že uživatelé mají přístup pouze k sestavám obsahujícím data, která mají oprávnění vidět.

Aspekty zásad ochrany osobních údajů

Tato nabídka softwaru nepoužívá soubory cookie ani jiné technologie ke shromažďování informací umožňujících identifikaci osob. Další informace o souborech cookie viz téma Oznámení dokumentace pro produkt IBM Rational Publishing Engine.

Omezení zabezpečení

  • Nezabezpečené generování dokumentů: Pokud jste nezvolili zabezpečené generování dokumentů, generovaný výstup může zobrazit libovolný uživatel.
  • Neúspěšné pokusy o přihlášení: Server Apache Tomcat neuzamyká uživatele po více neúspěšných pokusech o přihlášení.
  • Sdílené šablony a specifikace dokumentu: Pokud jsou pověření odebrána ze sdílených šablon a specifikací dokumentu, uživatelé mohou generovat dokumenty na datech, která jinak nemusí mít povolení přístupu.
  • Zabezpečení zdroje dat: Data jsou zabezpečena aplikací, která je ukládá. Produkt Rational Publishing Engine nezabezpečuje data.

Zpětná vazba