IBM Rational Publishing Engine 安全考量

您可以採取動作來確保安裝架構是安全的、自訂安全設定,以及設定使用者存取控制。您也可以確定您知道這個應用程式可能會有的任何安全限制。

在安裝程序期間啟用安全

如果您只要安裝 Document Studio 或 Launcher 應用程式,在安裝期間,不需執行任何步驟來啟用安全。如果您要在應用程式伺服器上安裝遠端服務,必須完成下列這些步驟來保護您伺服器的安全。
  • 如果您使用 WebSphere® Application Server 作為應用程式伺服器,在部署 Rational® Publishing Engine Web 應用程式時,必須啟用某些安全設定,例如:管理安全和應用程式安全。如需相關資訊,請參閱手動將「遠端服務」應用程式部署在 WebSphere Application Server
    警告: 如果您已安裝 WebSphere Application Server 的 PM44303 臨時修正程式,或包含 PM44303 的修正套件,某些版本的 WebSphere Application Server 會有潛在的安全漏洞。您必須安裝您的 WebSphere Application Server 版本及作業系統專用的修正程式。 如需相關資訊,請參閱 Potential security exposure from IBM WebSphere Application Server impacts Rational Publishing Engine Technote。
  • 如果您要使用 Apache Tomcat 作為應用程式伺服器,並無必要的安全設定必須設定,不過您也可以選擇設定 SSL 配置。如需相關資訊,請參閱 Apache Tomcat 網站上有關 6.0 版7.0 版的「SSL 配置操作方式」(SSL Configuration How-To) 資訊。
  • 若想進一步瞭解如何儲存使用者名稱與密碼,請參閱您應用程式伺服器的說明文件。

在部署「遠端服務」應用程式之後,您可以選擇輸入用戶端應用程式中之遠端文件產生元件的安全或非安全 URL。這個資訊中心的說明文件包含安全 URL。如需相關資訊,請參閱遠端服務 URL。如果您選擇設定非安全的文件產生,任何使用者(即使是對資料來源中的資料沒有存取權的使用者)都可以檢視產生的輸出文件。

在多個應用程式之間啟用安全通訊

當您在一部伺服器上執行多個應用程式時,由於 Rational Publishing Engine 和您使用的資料來源之間不會直接通訊,因此不需要額外的配置。在 Rational Publishing Engine 中,會從資料來源使用資料來源綱目和資料,但是在 Rational Publishing Engine 中並不會變更需要傳達回給資料來源的資料。

埠、通訊協定和服務

您可以設定 Proxy 連線。

應用程式伺服器管理主控台的 HTTPS 傳輸埠:
  • WebSphere Application Server 的預設埠是 9043
  • Apache Tomcat 的預設埠是 8080
應用程式伺服器的 HTTP 傳輸埠:
  • WebSphere Application Server 的預設埠是 9080
  • Apache Tomcat 的預設埠是 8080,除非您使用的埠已配置 SSL,埠號通常是 8443

自訂安全設定

Web 應用程式的使用者名稱與密碼不會自動建立。Rational Publishing Engine 需要使用者名稱與密碼才能連接遠端服務,但是如果您在電腦中使用 Document Studio 和 Launcher 用戶端應用程式,就不需要。

資料來源可能需要個別的鑑別,Rational Publishing Engine 才能存取其資料。請驗證資料來源的安全,且 Rational Publishing Engine 不要與未授信的資料來源搭配使用。如果您的資料來源需要鑑別,資料來源的使用者名稱與密碼可以儲存在 Rational Publishing Engine 遠端伺服器、文件規格檔或範本檔中。

密碼在 Rational Publishing Engine 中會經過加密。當密碼儲存在範本檔和遠端伺服器中時,會用項目符號遮罩字元。當密碼儲存在文件規格檔時,在輸入密碼的同時,會用項目符號遮罩字元,在您將游標移開值之後,會將字元切換成星號。

範本或文件規格可以共用,作法是將它們儲存在「中央管理」元件中,或透過方法將它們傳送到 Rational Publishing Engine 之外。在共用範本或文件規格之前,您必須決定要將使用者名稱與密碼保留在檔案中或從其移除。在大部分情況下,建議移除檔案中的使用者名稱與密碼。即使密碼因加密而無法識別,其他使用者仍有可能產生文件,且其中可能含有那些使用者原本無權查看的資料。

如需將認證從範本和文件規格中移除的相關資訊,請參閱儲存文件規格

設定使用者角色和存取權

Rational Publishing Engine 針對包含「遠端文件產生」、「中央管理系統」、「監視和控制」以及「報告排程」在內的遠端服務元件,提供了管理者與使用者角色。有關使用者角色的概觀,請參閱配置「遠端服務」應用程式

您可以接著設定使用者角色,並提供存取權給您的 WebSphere Application ServerApache Tomcat 應用程式伺服器使用者。請為個別的使用者提供其本身的使用者名稱與密碼,不要讓一群人共用使用者名稱。藉由個別的使用者認證,可確保使用者只能存取含有該使用者有權檢視之資料的報告。

隱私權原則注意事項

本「軟體供應項目」不使用 Cookie 或其他技術來收集個人識別資訊。如需 Cookie 的相關資訊,請參閱IBM Rational Publishing Engine 說明文件注意事項

安全控管限制

  • 非安全的文件產生作業如果您沒有選擇安全的文件產生作業,任何使用者都可以檢視產生的輸出。
  • 嘗試登入不成功:在多次嘗試登入失敗之後,Apache Tomcat 不會封鎖使用者。
  • 共用範本和文件規格:如果未將認證從共用的範本和文件規格中移除,則使用者可以根據他們可能無權存取的資料產生文件。
  • 資料來源安全:資料的安全受儲存它的應用程式保護。Rational Publishing Engine 不會保護資料的安全。

意見