Sie können Maßnahmen ergreifen, um sicherzustellen, dass Ihre Installation geschützt ist, Sicherheitseinstellungen anpassen und Zugriffsbeschränkungen für Benutzer definieren.
Stellen Sie auch sicher, dass Ihnen alle Sicherheitseinschränkungen im Zusammenhang mit dieser Anwendung bekannt sind.
Sicherheit während des Installationsprozesses aktivieren
Wenn Sie nur die Anwendungen "Document Studio" oder "Launcher" installieren, sind keine Schritte für die Aktivierung der Sicherheit während der Installation erforderlich. Wenn Sie die fernen Services auf einem Anwendungsserver installieren, müssen Sie die Schritte zum Sichern Ihres Servers ausführen.
- Wenn Sie WebSphere Application Server als Anwendungsserver verwenden, müssen verschiedene Sicherheitseinstellungen, wie Verwaltungssicherheit und Anwendungssicherheit, beim Implementieren der Webanwendungen von Rational Publishing Engine aktiviert sein. Weitere Informationen finden Sie unter Anwendung "Ferne Services" manuell in WebSphere Application Server implementieren.
Warnung: Wenn Sie einen vorläufigen Fix von
WebSphere Application Server für
PM44303 installiert haben oder ein Fixpack installiert haben, das PM44303 enthält, besteht bei einigen Versionen von
WebSphere Application Server ein Sicherheitsrisiko.
Sie müssen einen Fix installieren, der
spezifisch für Ihre Version von WebSphere Application Server und für Ihr Betriebssystem ist.
Weitere Informationen finden Sie im technischen Hinweis
Potential security exposure from IBM WebSphere Application
Server impacts Rational Publishing Engine.
- Wenn Sie Apache Tomcat als Anwendungsserver verwenden, gibt es keine erforderlichen Sicherheitseinstellungen, die Sie vorab definieren müssen. Sie können jedoch optional die SSL-Konfiguration definieren. Weitere Informationen finden Sie in den Verwendungshinweisen zur SSL-Konfiguration für Version 6.0 bzw. Version 7.0 auf der Website von Apache Tomcat.
- Informationen dazu, wie Benutzernamen und Kennwörter gespeichert werden, finden Sie in der Dokumentation für Ihren Anwendungsserver.
Version 1.2.1.1: Um Clickjacking zu verhindern, ist der Header für die X-Frame-Optionen in der Anwendung "Ferne Services" standardmäßig auf DENY gesetzt. Weitere Informationen zu Clickjacking und dieser Einstellung finden Sie in den entsprechenden Abschnitten zu WebSphere Application Server bzw. Apache Tomcat.
Nach der Implementierung der Anwendung "Ferne Services" können Sie angeben, ob Sie eine sichere oder nicht sichere URL für die Komponente für ferne Dokumentgenerierung in den Clientanwendungen verwenden möchten. Die sichere URL finden Sie in der Dokumentation in diesem Information Center. Weitere Informationen finden Sie unter URLs für ferne Services. Wenn Sie sich entscheiden, eine nicht gesicherte Dokumentgenerierung einzurichten, können alle Benutzer alle generierten Ausgabedokumente auch ohne Zugriff auf die Daten in der Datenquelle anzeigen.
Sichere Kommunikation zwischen mehreren Anwendungen aktivieren
Wenn Sie mehrere Anwendungen auf einem Server ausführen, ist keine
zusätzliche Konfiguration erforderlich, da es keine direkte Kommunikation zwischen Rational Publishing Engine und der von Ihnen verwendeten Datenquelle gibt. Datenquellenschema und Daten werden aus der Datenquelle in Rational Publishing Engine verwendet, es gibt jedoch keine Änderung der Daten in Rational Publishing Engine, die eine Kommunikation an die Datenquelle erforderlich macht.
Ports, Protokolle und Services
Sie können eine Proxy-Verbindung einrichten.
Der HTTPS-Transportport der Administrationskonsole für den Anwendungsserver:
- Der Standardport für WebSphere Application Server ist 9043.
- Der Standardport für Apache Tomcat ist 8080.
Der HTTP-Transportport des Anwendungsservers:
- Der Standardport für WebSphere Application Server ist 9080.
- Der Standardport für Apache Tomcat ist 8080,
sofern Sie nicht einen Port mit konfiguriertem
SSL verwenden. In diesem Fall ist die Portnummer
normalerweise 8443.
Sicherheitseinstellungen anpassen
Benutzernamen und Kennwörter für die Webanwendungen werden nicht automatisch erstellt. Rational Publishing Engine erfordert Benutzernamen und Kennwörter für die Herstellung einer Verbindung zu den fernen Services, jedoch nicht für die Verwendung der Clientanwendungen "Document Studio" und "Launcher" auf Ihrem Computer.
Datenquellen erfordern möglicherweise eine getrennte Authentifizierung für Rational Publishing Engine, um auf die in den Datenquellen enthaltenen Daten zuzugreifen. Überprüfen Sie die Sicherheitseinstellungen der Datenquelle und verwenden Sie keine nicht vertrauenswürdigen Datenquellen mit Rational Publishing Engine.
Wenn Ihre Datenquelle eine Authentifizierung erfordert, können Benutzernamen und Kennwörter für Datenquellen auf dem fernen Server von Rational Publishing Engine in Dokumentspezifikationsdateien oder in Vorlagendateien gespeichert werden.
Kennwörter werden in Rational Publishing Engine verschlüsselt. Bei in Vorlagendateien und auf fernen Servern gespeicherten Kennwörtern werden die Zeichen durch Listenpunktmarkierungen verdeckt. Bei der Eingabe von Zeichen für in Dokumentspezifikationsdateien gespeicherte Kennwörter werden diese durch Listenpunktmarkierungen verdeckt und in Sterne geändert, wenn Sie den Cursor vom Wertfeld wegbewegen. Wenn Sie eine Dokumentspezifikation in einem Browser oder einem XML-Editor öffnen, ist das Kennwort codiert.
Vorlagen oder Dokumentspezifikationen können gemeinsam genutzt werden, indem Sie entweder in der Komponente "Zentrale Verwaltung" gespeichert werden oder indem Sie mithilfe einer Methode aus Rational Publishing Engine gesendet werden. Bevor Sie eine Vorlage oder eine Dokumentspezifikation gemeinsam nutzen, müssen Sie entscheiden, ob Sie den Benutzernamen und das Kennwort aus den Dateien beibehalten oder entfernen möchten.
In den meisten Fällen wird das Entfernen des Benutzernamens und des Kennworts aus der Datei empfohlen. Auch wenn das Kennwort durch die Verschlüsselung nicht ermittelt werden kann, können andere Benutzer trotzdem Dokumente generieren, die möglicherweise Daten enthalten, die diese Benutzer eigentlich nicht anzeigen dürfen.
Benutzerrollen und Zugriff einrichten
Rational Publishing Engine hat Rollen für Administratoren und Benutzer der Komponenten für ferne Services, einschließlich der Komponenten "Ferne Dokumentgenerierung", "Zentrale Verwaltung", "Monitor &
Control" und "Berichtszeitplanung". Eine Übersicht über die Benutzerrollen ist in Anwendung "Ferne Services" konfigurieren enthalten.
Sie können die Benutzerrollen definieren und den Zugriff für Ihre Benutzer in Ihrem
WebSphere Application Server-Anwendungsserver oder
Apache Tomcat-Anwendungsserver einrichten.
Stellen Sie Einzelpersonen eigene Benutzernamen und Kennwörter bereit, damit Benutzernamen nicht von einer Gruppe von Personen gemeinsam genutzt werden müssen. Mit Einzelbenutzerberechtigungen stellen Sie sicher, dass Benutzer nur auf die Berichte zugreifen können, die Daten enthalten, die sie anzeigen dürfen.
Sicherheitseinschränkungen
- Nicht gesicherte Dokumentgenerierung: Wenn Sie die sichere Dokumentgenerierung nicht auswählen, können alle Benutzer die generierte Ausgabe anzeigen.
- Nicht erfolgreiche Anmeldeversuche: Apache Tomcat sperrt Benutzer nicht nach mehreren nicht erfolgreichen Versuchen, sich anzumelden.
- Gemeinsame Nutzung von Vorlagen und Dokumentgenerierungen: Wenn Berechtigungsnachweise nicht aus gemeinsam genutzten Vorlagen und Dokumentspezifikationen entfernt werden, können Benutzer Dokumente zu Daten generieren, für die sie andernfalls möglicherweise keine Zugriffsberechtigung haben.
- Datenquellensicherheit: Die Daten werden von der Anwendung gesichert, in der sie gespeichert sind. Rational Publishing Engine sichert keine Daten.