IBM Rational Publishing Engine のセキュリティーの考慮事項

インストール済み環境が保護されていることを確認し、セキュリティー設定をカスタマイズし、ユーザー・アクセス制御をセットアップするための、アクションを取ることができます。 さらに、このアプリケーションで直面する可能性のあるセキュリティーの制限について確実に把握することもできます。

インストール・プロセス中のセキュリティーの有効化

Document Studio またはランチャー・アプリケーションのみをインストールする場合、インストール中はセキュリティーを有効にするために必要なステップはありません。 リモート・サービスをアプリケーション・サーバーにインストールする場合、サーバーを保護するためのステップを実行する必要があります。
  • WebSphere® Application Server をアプリケーション・サーバーとして使用する場合、管理セキュリティーやアプリケーション・セキュリティーなどのいくつかのセキュリティー設定を、Rational® Publishing Engine Web アプリケーションをデプロイする際に有効にする必要があります。 詳しくは、『WebSphere Application Server でのリモート・サービス・アプリケーションの手動デプロイ』を参照してください。
    警告: PM44303 用の WebSphere Application Server 暫定修正、または PM44303 を含むフィックスパックをインストールした場合、WebSphere Application Server のいくつかのバージョンで機密漏れの可能性が存在することになります。 ご使用のバージョンの WebSphere Application Server およびご使用のオペレーティング・システムに特定の フィックスをインストールする必要があります。 詳しくは、技術情報『Potential security exposure from IBM WebSphere Application Server impacts Rational Publishing Engine』を参照してください。
  • Apache Tomcat をアプリケーション・サーバーとして使用する場合は、設定しなければならない必須のセキュリティー設定はありませんが、SSL 構成をセットアップすることが可能です。。 詳しくは、Apache Tomcat Web サイトのバージョン 6.0 またはバージョン 7.0 の SSL 構成の方法についての情報を参照してください。
  • ユーザー名とパスワードの保管方法について詳しくは、アプリケーション・サーバーの資料を参照してください。

リモート・サービス・アプリケーションのデプロイ後、リモート文書生成コンポーネントのセキュア URL または非セキュア URL を指定したクライアント・アプリケーションを使用するかどうかを選択できます。 セキュア URL は、このインフォメーション・センターの資料に記載されています。 詳しくは、『リモート・サービス URL』を参照してください。 非セキュア文書生成のセットアップを選択した場合は、データ・ソース内のデータへのアクセス権を持っていないユーザーも含め、すべてのユーザーが生成された出力文書を表示できます。

複数のアプリケーション間のセキュア通信の使用可能化

単一のサーバーで複数のアプリケーションを実行する場合は、Rational Publishing Engine と使用するデータ・ソースの間で直接的な通信は行われないため、追加の構成は不要です。 データ・ソース・スキーマおよびデータは、Rational Publishing Engine のデータ・ソースから使用されますが、データ・ソースに戻る通信が必要となるデータの変更は、Rational Publishing Engine にはありません。

ポート、プロトコル、およびサービス

プロキシー接続をセットアップできます。

アプリケーション・サーバーの管理コンソールの HTTPS トランスポート・ポート:
  • WebSphere Application Server のデフォルトのポートは 9043 です。
  • Apache Tomcat のデフォルトのポートは 8080 です。
アプリケーション・サーバーの HTTP トランスポート・ポート:
  • WebSphere Application Server のデフォルトのポートは 9080 です。
  • Apache Tomcat のデフォルトのポートは 8080 です。ただし、SSL が構成されている場合に使用するポートのポート番号は通常 8443 です。

セキュリティー設定のカスタマイズ

Web アプリケーションのユーザー名とパスワードは、自動的に作成されることはありません。 Rational Publishing Engine はリモート・サービスへの接続にはユーザー名とパスワードを必要としますが、コンピューター上の Document Studio およびランチャーのクライアント・アプリケーションの使用には必要としません。

データ・ソースは、その中のデータにアクセスするため、Rational Publishing Engine に別の認証を求める場合があります。 データ・ソースのセキュリティーを確認し、Rational Publishing Engine では信頼できないデータ・ソースを使用しないでください。 データ・ソースが認証を必要とする場合、データ・ソースのユーザー名とパスワードを、Rational Publishing Engine リモート・サーバー、文書仕様ファイル、またはテンプレート・ファイルに保管できます。

パスワードは Rational Publishing Engine で暗号化されます。 パスワードがテンプレート・ファイルおよびリモート・サーバーに保管される場合、文字は黒丸でマスクされます。 パスワードが文書仕様ファイルに保管される場合、文字は入力時に黒丸でマスクされ、カーソルをその値から移動させるとアスタリスクに切り替えられます。

テンプレートまたは文書仕様は、それらをセントラル管理コンポーネントに保管するか、またはそれらを Rational Publishing Engine 外の方法によって送信することで共有できます。 テンプレートまたは文書仕様を共有する前に、ユーザー名とパスワードをファイルで保持するかまたはそこから削除するかを決定する必要があります。 ほとんどの状況で、ユーザー名とパスワードはファイルから削除することを推奨します。 暗号化されているためパスワードが分からない場合でも、他のユーザーは、それらが分からなければ参照を許可されないデータを含んでいる可能性のある文書を生成できます。

テンプレートおよび文書仕様からの資格情報の削除について詳しくは、『文書仕様の保存』を参照してください。

ユーザー役割およびアクセスのセットアップ

Rational Publishing Engine には、リモート文書生成、セントラル管理システム、モニターおよび制御、およびレポート・スケジューリングを含む、リモート・サービス・コンポーネントの管理者とユーザーの役割があります。 ユーザー役割の概説は、『リモート・サービス・アプリケーションの構成』にあります。

次いでユーザー役割をセットアップして、WebSphere Application Server または Apache Tomcat アプリケーション・サーバーで、アクセス権をユーザーに提供できます。 一群のユーザーでユーザー名を共有するのではなく、個々のユーザーにその独自のユーザー名とパスワードを提供します。 個別のユーザー資格情報により、ユーザーは表示を許可されているデータを含むレポートのみに確実にアクセスできます。

プライバシー・ポリシーに関する考慮事項

この「ソフトウェア・オファリング」は、Cookie もしくはその他のテクノロジーを使用して個人情報を収集することはありません。 Cookie について詳しくは、『IBM Rational Publishing Engine 資料に関する特記事項』を参照してください。

セキュリティーの制限事項

  • 非セキュア文書世代: セキュア文書生成を選択しない場合には、生成された出力はどのユーザーでも表示できます。
  • 失敗したログイン試行: Apache Tomcat は、ログイン試行に複数回失敗した後もユーザーをロックアウトしません。
  • テンプレートおよび文書仕様の共有: 資格情報が共有テンプレートおよび文書仕様から削除されていない場合、ユーザーは、他の方法ではアクセスが許可されない可能性があるデータに基づいて文書を生成できます。
  • データ・ソース・セキュリティー: データはそれを保管するアプリケーションによって保護されます。 Rational Publishing Engine はデータを保護しません。

フィードバック