Remarques relatives à la planification de la sécurité
Les informations de cette section sous fournies afin de vous aider dans le processus de planification de la sécurité mais ne constituent pas une description complète d'une fonction de sécurité ou d'un niveau de support.
- L'authentification et l'autorisation sont des processus séparés.
- L'authentification (sécurité de connexion) est distincte de l'autorisation (sécurité des objets et des processus). Vous devez configurer votre connexion JAAS sur le serveur d'applications Content Platform Engine afin que les utilisateurs ou les groupes pouvant se connecter aux ressources FileNet P8 soient également autorisés à utiliser les interfaces FileNet P8, à l'aide de la connexion du fournisseur de services d'annuaire Content Platform Engine.
- Configuration Manager capture des informations de configuration pour créer votre fournisseur d'authentification de serveur d'applications. Vous pouvez également utiliser un fournisseur d'authentification qui existe déjà sur le serveur d'applications. Immédiatement après le premier déploiement de Content Platform Engine, vous utilisez IBM® Administration Console for Content Platform Engine pour configurer l'autorisation Content Platform Engine en créant une configuration d'annuaire.
- Les connexions sont effectuées via JAAS.
- FileNet P8 utilise JAAS (Java™ Authentication and Authorization Service) pour l'authentification, qui est un processus survenant entre une application client Java EE, un serveur d'applications Java EE et un ou plusieurs modules de connexion JAAS. Ce processus n'implique aucun code FileNet P8.
- La plateforme FileNet P8 utilise JAAS uniquement pour l'authentification, et non pour l'autorisation sur les objets mémorisés. De plus, Java Security Manager n'est pas pris en charge.
- Déterminez la configuration requise pour SSO.
- La possibilité de Content Platform Engine d'utiliser l'authentification de type JAAS signifie que si un fournisseur SSO écrit un module de connexion JAAS pour un serveur d'applications pris en charge, alors les clients des applications FileNet P8 hébergées dans ce serveur d'applications peuvent utiliser la solution SSO. Voir les informations de configuration à la rubrique Single Sign-On Solutions for IBM FileNet P8 du site ibm.com/redbooks.
- Déterminez l'applicabilité Kerberos.
- Vous pouvez utiliser l'authentification Kerberos for SSO entre les applications .NET ou les autres produits l'utilisant, à condition que vous utilisiez Windows Active Directory en tant que serveur d'annuaire.
- Décidez du nombre de domaines d'authentification requis.
- Au moins un domaine d'authentification est requis, que vous créez lors d'une installation initiale en exécutant la tâche de configuration LDAP de Configuration Manager. Après avoir vérifié que le premier domaine fonctionne correctement, vous pouvez configurer des domaines supplémentaires, en fonction de votre modèle de sécurité et de vos exigences.
- Assurez-vous d'avoir un fournisseur de service d'annuaire.
- Les services d'annuaire sont fournis par des serveurs d'annuaire tiers. Pour obtenir la liste des produits pris en charge, consultez le document IBM FileNet P8 system requirements.
- A partir de la version 5.2, Content Platform Engine prend en charge les configurations de serveur d'annuaire hétérogènes dans un environnement IBM Virtual member manager. (Pour utiliser IBM Virtual member manager, Content Platform Engine requiert WebSphere Application Server version 7.0 ou une version supérieure.) Pour tous les autres environnements d'annuaire, seules les combinaisons de serveurs LDAP homogènes sont prises en charge. Autrement dit, la configuration d'un domaine FileNet P8 ne peut utiliser qu'un des serveurs d'annuaire pris en charge.
- Description des utilisateurs et des groupes requis pour FileNet P8.
- Tous les utilisateurs et groupes d'administration généraux ayant besoin d'accéder aux applications de type FileNet P8 doivent se trouver dans un des serveurs d'annuaire pris en charge. Les tâches de planification et de préparation fournissent des instructions pour la création des comptes d'administration requis pour l'installation et la configuration initiales.
- (WebLogic uniquement) Tout fournisseur d'authentification WebLogic doit être dédié pour FileNet P8.
- Pour des raisons de performances, ne partagez pas le fournisseur d'authentification qui est utilisé par WebLogic pour les composants FileNet P8 déployés, avec des applications utilisées à d'autres fins.
- Vous pouvez configurer Content Platform Engine pour utiliser l'attribut email ou UPN pour la connexion.
- Vous pouvez affecter l'attribut email du serveur d'annuaire ou, pour Active Directory, l'attribut userPrincipalName (UPN) qui sera le nom abrégé utilisé pour la connexion. Les instructions du document IBM FileNet P8 Platform Installation and Upgrade Guide incluent un lien vers une procédure qui explique comme effectuer cette action.
- (WebSphere uniquement) Choisissez le type de référentiel autonome ou fédéré.
- Il existe une option dans la tâche LDAP de configuration de Configuration Manager qui permet
de sélectionner si le type de référentiel WebSphere Application
Server est un registre
LDAP autonome ou des référentiels fédérés. Pour que Configuration Manager utilise
votre paramètre de type de référentiel, vous devez sélectionner l'option Définir comme registre d'utilisateurs actif de Configuration Manager.
- Si vous choisissez le registre LDAP autonome
- Configuration Manager change la connexion utilisateur de la console d'administration et la remplace par le nouveau compte entré en tant que nom d'utilisateur de la console d'administration. Ce compte doit se trouver à l'emplacement de registre LDAP autonome. La connexion utilisateur de la console d'administration existante, s'il existe, devient non valide.
- Pour que Configuration Manager remplace une configuration de registre LDAP autonome, vous devez activer l'option Configuration Manager Overwrite existing repository.
- Si vous choisissez les référentiels fédérés
- Lorsque vous choisissez l'option des référentiels fédérés dans Configuration Manager, vous ajoutez un domaine LDAP à un référentiel LDAP fédéré. Le nom que vous entrez pour l'utilisateur de la console d'administration doit être un utilisateur unique sur l'ensemble des domaines fédérés.
- Evitez le chevauchement des définitions de domaine
- Dans la tâche de configuration LDAP de Configuration Manager, si vous sélectionnez Federated
repositories pour l'option de type de référentiel LDAP de WebSphere Application
Server, n'entrez
pas de référentiels ayant des suffixes se chevauchant. Par exemple, les deux référentiels
suivants avec des noms distinctifs d'entrée de base se chevauchant ne sont pas pris en charge :
- dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- Les référentiels dans l'exemple suivant sont pris en charge car il s'agit de référentiels
homologues qui ne se chevauchent pas :
- dc=tivoli,dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- La sécurité administrative doit être activée
- Configuration Manager ne prend pas en charge l'état de la sécurité d'administration WebSphere. S'il était activé avant l'exécution de Configuration Manager, il reste activé. S'il était désactivé, il reste désactivé.
- Domaines de sécurité WebSphere Application Server
- Content Platform Engine prend en charge les domaines de sécurité WebSphere Application Server, une fonctionnalité qui a été introduite dans WebSphere Application Server 7.0. Les domaines de sécurité permettent aux administrateurs de définir plusieurs configurations de sécurité destinées à être utilisées dans une même cellule ou serveur d'applications. Par défaut, toutes les applications d'administration et les applications utilisateur de WebSphere Application Server utilisent la même configuration de sécurité globale. Toutefois, avec des domaines de sécurité, vous pouvez créer des configurations de sécurité supplémentaires si vous avez besoin de spécifier d'autres attributs de sécurité pour une partie ou l'ensemble de vos applications utilisateur. Par exemple, vous pouvez définir des paramètres différents (tels qu'un registre d'utilisateurs différent) pour les applications utilisateur et les applications d'administration. Vous pouvez également définir des configurations de sécurité distinctes pour des applications utilisateur déployées sur différents serveurs et clusters.
- Pour utiliser des domaines de sécurité, déployez Content Platform Engine de manière normale, puis utilisez la console d'administration de WebSphere Application Server pour créer un domaine de sécurité et l'associer à Content Platform Engine. Le code de Content Platform Engine prend alors automatiquement en compte ce paramètre de domaine. Tous les serveurs et clients de Content Platform Engine doivent résider dans l'un des domaines de sécurité WebSphere disponibles. De même, le compte d'amorçage de Content Platform Engine (admin_amorçage_cpe) doit être présent à la fois dans la configuration de sécurité globale de WebSphere Application Server et dans le domaine de sécurité qui s'applique à Content Platform Engine ; ou vous pouvez ignorer l'étape de connexion pour l'amorçage au démarrage du serveur en définissant l'argument JVM -Dcom.filenet.engine.init.BGThreadsAsBootstrapId=false.