Aspekte der Sicherheitsplanung
Die in diesem Abschnitt bereitgestellten Informationen dienen dem Sicherheitsplanungsprozess. Es handelt sich dabei jedoch nicht um eine vollständige Beschreibung einzelner Sicherheitsfunktionen oder Unterstützungsstufen.
- Authentifizierung und Autorisierung sind separate Prozesse
- Die Authentifizierung (Anmeldesicherheit) ist von der Autorisierung (Objekt- und Prozesssicherheit) getrennt. Sie müssen Ihre JAAS-Anmeldung (Java Authentication and Authorization Service) auf dem Content Platform Engine-Anwendungsserver so konfigurieren, dass alle Benutzer oder alle Gruppen, die sich erfolgreich an FileNet P8-Ressourcen anmelden können, auch autorisiert werden können, über die Verbindung des Content Platform Engine-Verzeichnis-Service-Providers in FileNet P8-Schnittstellen zu arbeiten.
- Configuration Manager erfasst die Konfigurationsinformationen, um den Authentifizierungsprovider für Ihren Anwendungsserver zu erstellen. Sie können aber auch einen Authentifizierungsprovider verwenden, der bereits auf dem Anwendungsserver vorhanden ist. Unmittelbar nach der Erstimplementierung von Content Platform Engine konfigurieren Sie die Content Platform Engine-Autorisierung über IBM® Administration Console for Content Platform Engine, indem Sie eine Verzeichniskonfiguration erstellen.
- Anmeldungen erfolgen über Java Authentication and Authorization Service
- FileNet P8 verwendet Java™ Authentication and Authorization Service (JAAS) für die Authentifizierung, einem Prozess, der zwischen einer Java EE-Clientanwendung, einem Java EE-Anwendungsserver und mindestens einem JAAS-Anmeldemodul abläuft. Für diesen Prozess ist kein FileNet P8-Code erforderlich.
- Die FileNet P8-Plattform verwendet JAAS nur für die Authentifizierung, nicht für die Autorisierung für gespeicherte Objekte. Auch wird Java Security Manager nicht unterstützt.
- Anforderungen für Single Sign-on (SSO) ermitteln
- Die Fähigkeit von Content Platform Engine, die JAAS-basierte Authentifizierung zu verwenden, bedeutet, dass die Clients der FileNet P8-Anwendungen, für die der Anwendungsserver als Host dient, die Single Sign-on-Lösung verwenden können, wenn ein Single Sign-on-Provider ein JAAS-Anmeldemodul (Java Authentication and Authorization Service) für einen unterstützten Anwendungsserver schreibt. Informationen zur Konfiguration finden Sie in Single Sign-On Solutions for IBM FileNet P8 unter ibm.com/redbooks.
- Anwendbarkeit von Kerberos ermitteln
- Sie können Kerberos für die Single Sign-on-Authentifizierung zwischen .NET-Anwendungen oder anderen Produkten verwenden, die SSO nutzen, sofern Sie Windows Active Directory als Verzeichnisserver einsetzen.
- Anzahl der erforderlichen Authentifizierungsrealms ermitteln
- Es ist mindestens ein Authentifizierungsrealm erforderlich, das Sie während einer Erstinstallation erstellen, indem Sie die LDAP-Konfigurationstask von Configuration Manager ausführen. Nachdem Sie sichergestellt haben, dass das erste Realm ordnungsgemäß arbeitet, können Sie abhängig von Ihrem Sicherheitsmodell und Ihren Anforderungen zusätzliche Realms konfigurieren.
- Sicherstellen, dass Sie über einen Verzeichnis-Service-Provider verfügen
- Verzeichnisservices werden von Verzeichnisservern anderer Hersteller bereitgestellt. Eine Liste der unterstützten Produkte finden Sie in IBM FileNet P8 System Requirements.
- Ab Version 5.2 unterstützt Content Platform Engine heterogene Verzeichnisserverkonfigurationen, wenn Content Platform Engine in einer IBM VMM-Umgebung ausgeführt wird. (Für die Verwendung von Virtual Member Manager in Content Platform Engine ist WebSphere Application Server Version 7.0 oder höher erforderlich.) Für alle übrigen Verzeichnisumgebungen werden nur homogene LDAP-Serverkombinationen unterstützt, eine einzelne FileNet P8-Domäne kann also so konfiguriert werden, dass sie nur einen der unterstützten Verzeichnisserver verwendet.
- Für FileNet P8 erforderliche Benutzer und Gruppen
- Alle allgemeinen Benutzer und Gruppen mit Verwaltungsaufgaben, die auf FileNet P8-basierte Anwendungen zugreifen müssen, müssen sich in einem der unterstützten Verzeichnisserver befinden. Die Planungs- und Vorbereitungstasks enthalten Anweisungen zum Erstellen der für die Installation und Erstkonfiguration erforderlichen Verwaltungskonten.
- (Nur WebLogic) Jeder WebLogic-Authentifizierungsprovider muss FileNet P8 zugeordnet sein
- Aus Leistungsgründen sollten Sie Authentifizierungsprovider, die von WebLogic für implementierte FileNet P8-Komponenten verwendet werden, nicht gemeinsam mit Anwendungen nutzen, die für andere Zwecke verwendet werden.
- Sie können Content Platform Engine für die Verwendung von E-Mail oder UPN für die Anmeldung konfigurieren
- Sie können dem Benutzer das E-Mail-Attribut des Verzeichnisservers oder bei Active Directory den UPN (userPrincipalName - Benutzername des Principals) als Kurznamen für die Anmeldung zuweisen. Die Anweisungen in IBM FileNet P8 Platform Installation und Upgrade enthalten einen Link zu einer Prozedur mit einer Erklärung zur Vorgehensweise.
- (Nur WebSphere) Eigenständigen oder eingebundenen Repository-Typ auswählen
- In der LDAP-Konfigurationstask in Configuration Manager haben Sie die Option, für den
WebSphere Application Server-Repository-Typ 'Eigenständige LDAP-Registry' oder 'Eingebundene Repositorys' auszuwählen. Wenn Configuration Manager Ihre Einstellung für den Repository-Typ verwenden soll, aktivieren Sie die Configuration Manager-Option Als aktuelle aktive Benutzerregistry festlegen.
- Bei Auswahl von 'Eigenständige LDAP-Registry'
- Configuration Manager ändert die Anmeldung des Verwaltungskonsolenbenutzers in das von Ihnen als Name des Administrationskonsolenbenutzers eingegebene Konto. Dieses Konto muss sich an der Position der eigenständigen LDAP-Registry befinden. Eine eventuell für die Verwaltungskonsole bestehende Benutzeranmeldung wird ungültig.
- Damit Configuration Manager eine vorhandene Konfiguration einer eigenständigen LDAP-Registry ersetzt, müssen Sie in Configuration Manager die Option Vorhandenes Repository überschreiben aktivieren.
- Bei Auswahl von 'Eingebundene Repositorys'
- Durch Auswählen der Option für eingebundene Repositorys in Configuration Manager fügen Sie einem vorhandenen eingebundenen LDAP-Repository ein neues LDAP-Realm hinzu. Bei dem von Ihnen bereitgestellten Benutzernamen der Verwaltungskonsole muss es sich in allen eingebundenen Realms um einen eindeutigen Benutzer handeln.
- Überschneidungen in Realmdefinitionen vermeiden
- Wenn Sie in der LDAP-Konfigurationstask in Configuration Manager die Option für den Typ des WebSphere Application Server-LDAP-Repositorys auf Eingebundene Repositorys setzen, dürfen Sie keine Repositorys mit überlappenden Suffixen eingeben, da diese nicht unterstützt werden. So werden beispielsweise die beiden folgenden Repositorys nicht unterstützt, weil sich die Distinguished Names des Basiseintrags überlappen:
- dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- Die Repositorys im nächsten Beispiel werden unterstützt, weil es sich dabei um gleichgeordnete Repositorys handelt, die sich nicht überschneiden:
- dc=tivoli,dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- Verwaltungssicherheit muss aktiviert sein
- Configuration Manager nimmt keine Änderungen am Status der WebSphere-Verwaltungssicherheit vor. Wenn sie aktiv war, bevor Configuration Manager ausgeführt wurde, bleibt sie aktiv, war sie vorher inaktiv, bleibt sie inaktiv.
- WebSphere Application Server-Sicherheitsdomänen
- Content Platform Engine unterstützt WebSphere Application Server-Sicherheitsdomänen. Dieses Feature wurde in WebSphere Application Server 7.0 eingeführt. Sicherheitsdomänen ermöglichen es Administratoren, mehrere Sicherheitskonfigurationen zur Verwendung in einer einzelnen Zelle oder auf einem einzelnen Anwendungsserver zu definieren. Standardmäßig verwenden alle Administrations- und Benutzeranwendungen in WebSphere Application Server dieselbe globale Sicherheitskonfiguration. Allerdings können Sie mit Sicherheitsdomänen zusätzliche Sicherheitskonfigurationen erstellen, wenn Sie verschiedene Sicherheitsattribute für einige oder alle Ihrer Benutzeranwendungen angeben wollen. Sie können z. B. für Benutzeranwendungen andere Einstellungen (wie eine andere Benutzerregistry) als für Administrationsanwendungen angeben. Sie können auch separate Sicherheitskonfigurationen für Benutzeranwendungen definieren, die auf verschiedenen Servern und Clustern implementiert sind.
- Wenn Sie Sicherheitsdomänen verwenden wollen, implementieren Sie Content Platform Engine auf normale Weise und verwenden dann Ihre WebSphere Application Server-Administrationskonsole zum Erstellen einer Sicherheitsdomäne und zum Zuweisen von Content Platform Engine. Der Content Platform Engine-Code berücksichtigt diese Domäneneinstellung dann automatisch. Alle Content Platform Engine-Server und -Clients müssen einer der verfügbaren WebSphere-Sicherheitsdomänen angehören. Außerdem muss das Content Platform Engine-Bootstrap-Konto (CPE-Bootstrap-Administrator) in der globalen WebSphere Application Server-Sicherheitskonfiguration und in der Sicherheitsdomäne vorhanden sein, die für Content Platform Engine gilt. Alternativ hierzu können Sie die Bootstrap-Anmeldung beim Serverstart übergehen, indem Sie das JVM-Argument -Dcom.filenet.engine.init.BGThreadsAsBootstrapId=false festlegen.