Vous pouvez prendre des mesures pour sécuriser votre installation, personnaliser vos paramètres de sécurité et définir des contrôles d'accès utilisateur.
Vous pouvez également vous assurer que vous connaissez les limites de sécurité que vous pourriez rencontrer dans cette application.
Activation de la sécurité lors du processus d'installation
Si vous installez uniquement les applications Document Studio ou Launcher, aucune étape n'est requise pour l'activation de la sécurité lors de l'installation. Si vous installez les services distants sur un serveur d'applications, vous devez effectuez certaines étapes pour sécuriser le serveur.
- Si vous utilisez WebSphere
Application Server comme serveur d'applications, plusieurs paramètres de sécurité, tels que la sécurité administrative et la sécurité d'application, doivent être activés lors du déploiement des applications Web de Rational
Publishing Engine. Pour plus d'informations, voir Déploiement manuel de l'application Services distants sur
WebSphere
Application Server.
Avertissement : Si vous avez installé un correctif temporaire WebSphere
Application Server
pour PM44303 ou un groupe de correctifs contenant PM44303, il existe un risque
potentiel avec certaines versions de WebSphere
Application Server.
Vous devez installer un correctif spécifique à votre version de WebSphere
Application Server
et à votre système d'exploitation. Pour plus d'informations, voir la note technique
Potential security exposure from IBM WebSphere Application
Server impacts Rational Publishing Engine.
- Si vous utilisez Apache Tomcat comme serveur d'applications, aucun paramètre de sécurité ne doit être défini, mais vous pouvez toutefois choisir de définir la configuration SSL. Pour plus d'informations, voir les informations SSL Configuration
How-To pour la version 6.0 ou la version 7.0 sur le site Web d'Apache Tomcat.
- Pour en savoir plus sur le stockage des noms d'utilisateur et des mots de passe,
consultez la documentation de votre serveur d'applications.
Une fois que vous avez déployé l'application Services distants, vous pouvez choisir
d'entrer une URL sécurisée ou non sécurisée pour le composant de génération de
document à distance dans l'application client. L'URL sécurisée est incluse dans la documentation de ce centre de documentation. Pour plus d'informations, voir URL des Services distants. Si vous choisissez de définir une génération de
document non sécurisée, tous les utilisateurs peuvent consulter les documents en sortie
générés, même s'ils n'ont pas accès aux données de la source de données.
Activation d'une communication sécurisée entre plusieurs
applications
Aucune configuration supplémentaire n'est requise lorsque vous exécutez plusieurs applications sur un serveur car il n'y a pas de
communication directe entre Rational
Publishing Engine et la source de données que vous utilisez. La source de données et les données utilisées sont issues de la
source de données de Rational
Publishing Engine,
mais aucune altération des données de Rational
Publishing Engine n'implique une
communication en retour vers la source de données.
Ports, protocoles et
services
Vous pouvez définir une connexion proxy
Port de transport HTTPS de la console d'administration
pour le serveur d'applications :
- Le port par défaut pour
WebSphere
Application Server est 9043.
- Le port par défaut pour Apache Tomcat est 8080.
Port de transport HTTP du serveur d'applications :
- Le port par défaut pour
WebSphere
Application Server est 9080.
- Le port par défaut pour Apache Tomcat est 8080,
sauf si vous utilisez un port sur lequel SSL est configuré, auquel cas le numéro de port est
généralement 8443.
Personnalisation de vos paramètres de sécurité
Les noms d'utilisateur et les mots de passe des applications Web ne sont pas créés automatiquement. Rational
Publishing Engine a besoin de noms d'utilisateur et de mots de passe pour la connexion aux services distants, ce qui n'est pas le cas pour l'utilisation des applications client Document Studio et Launcher sur votre ordinateur.
Les sources de données peuvent nécessiter une authentification distincte pour
Rational
Publishing Engine pour l'accès aux données qu'elles contiennent. Vérifiez la sécurité de la source
de données et n'utilisez pas des données non fiables avec Rational
Publishing Engine.
Si votre
source de données nécessite une authentification, il est possible de stocker des noms d'utilisateur et des mots de passe sur le serveur distant Rational
Publishing Engine, dans des fichiers de spécification de document, ou dans des fichiers de canevas.
Les mots de passe sont chiffrés
dans Rational
Publishing Engine.
Lorsque les mots de passe sont stockés dans des fichiers de canevas et sur le serveur distant, les caractères sont masqués par des puces. Lorsque les mots de passe sont stockés
dans des fichiers de spécification de document, les caractères sont masqués par des puces lors de leur saisie et remplacés par des astérisques dès que vous éloignez le curseur de la valeur.
Il est possible de partager les spécifications de canevas ou de document en les stockant dans un composant Gestion centralisée ou en les envoyant au moyen d'une méthode
hors de Rational
Publishing Engine.
Avant de partager une spécification de canevas ou de document, vous devez indiquer si le nom d'utilisateur et le mot de passe doivent être conservés ou retirés des fichiers.
Dans la plupart des cas, il est recommandé de retirer le nom d'utilisateur et le mot de passe du fichier. Même si le mot de passe ne peut pas être identifié car il est chiffré,
d'autres utilisateurs peuvent quand même générer des documents pouvant
inclure des données qu'ils ne sont pas normalement autorisés à afficher.
Définition des rôles et des accès utilisateur
Rational
Publishing Engine comporte des rôles pour les administrateurs et les utilisateurs de composants de services distants, y compris le composant Génération de document à distance, le système de gestion centralisée, le composant Surveillance et contrôle et Planification des rapports. Les rôles utilisateur sont présentées dans Configuration de l'application Services distants.
Vous pouvez définir des rôles utilisateur et accorder l'accès à vos utilisateurs dans
WebSphere
Application Server ou sur votre serveur d'applications
Apache Tomcat.
Fournissez aux utilisateurs individuels leur propre nom d'utilisateur et mot de passe au lieu de partager les noms d'utilisateur avec un groupe de personnes. Les données d'identification de l'utilisateur individuelles garantissent que
les utilisateurs peuvent accéder aux rapports contenant les données qu'ils sont autorisés à afficher.
Limitations relatives à la sécurité
- Génération de document non sécurisée : Si vous n'avez pas choisi la génération de
document sécurisée, tout utilisateur peut voir la sortie générée.
- Echec des tentatives de connexion : Apache Tomcat ne verrouille pas les utilisateurs après plusieurs
tentatives de connexion qui n'aboutissent pas.
- Partage des spécifications de canevas et de document : Si les données d'identification ne sont pas
retirées des spécification de canevas ou de document partagées, les utilisateurs peuvent générer des documents concernant des données sur lesquelles ils ne disposent par ailleurs d'aucun droit d'accès.
- Sécurité de la source de données : Les données sont sécurisées par l'application qui les stocke. Rational
Publishing Engine ne sécurise pas les données.