Considerações sobre o Planejamento de Segurança
As informações desta seção são fornecidas para ajudar no processo de planejamento de segurança, mas não é uma descrição completa de nenhum recurso de segurança ou nível de suporte.
- A autenticação e a autorização são processos separados.
- A autenticação (segurança de logon) é separada da autorização (segurança do objeto e do processo). Você deve configurar seu login JAAS no servidor de aplicativos do Content Platform Engine para que qualquer usuário ou grupo que possa efetuar logon com êxito nos recursos do FileNet P8 também possa ter autorização para trabalhar nas interfaces do FileNet P8 usando a conexão do provedor de serviços de diretório do Content Platform Engine.
- O Configuration Manager captura as informações de configuração para criar seu provedor de autenticação do servidor de aplicativos; ou você pode usar um provedor de autenticação já existente no servidor de aplicativos. Imediatamente após a implementação inicial do Content Platform Engine, você usará o IBM® Administration Console for Content Platform Engine para configurar a autorização do Content Platform Engine para criar uma Configuração do Diretório.
- Os logins são realizados por meio de JAAS.
- O FileNet P8 usa o Java™ Authentication and Authorization Service (JAAS) para autenticação, que é um processo que ocorre entre um aplicativo cliente Java EE, um servidor de aplicativo Java EE e um ou mais módulos de login JAAS. Esse processo não envolve nenhum código do FileNet P8.
- A plataforma FileNet P8 usa JAAS apenas para autenticação, não para autorização em objetos armazenados. Além disso, ele não suporta o Java Security Manager.
- Determine os requisitos de conexão única (SSO).
- A capacidade do Content Platform Engine de usar a autenticação baseada em JAAS significa que se um provedor de conexão única (SSO) gravar um Módulo de Login JAAS para um servidor de aplicativos suportado, os clientes de aplicativos FileNet P8 hospedados nesse servidor de aplicativos poderão usar essa solução de SSO. Consulte Single Sign-On Solutions for IBM FileNet P8 em ibm.com/redbooks para obter informações de configuração.
- Determine a aplicabilidade de Kerberos.
- É possível usar o Kerberos para autenticação de SSO entre aplicativos .NET ou outros produtos que o usam, desde que o Windows Active Directory seja usado como o servidor de diretório.
- Decida quantas regiões de autenticação são necessárias.
- Pelo menos uma região de autenticação é necessária, que deve ser criada durante a instalação inicial executando a tarefa Configurar LDAP do Gerenciador de Configuração. Depois de certificar-se de que a primeira região esteja funcionando adequadamente, é possível configurar regiões adicionais, dependendo do modelo e dos requisitos de segurança.
- Certifique-se de que haja um provedor de serviços de diretório adequado.
- Os serviços de diretório são fornecidos por servidores de diretório de terceiros. Consulte o IBM FileNet P8 system requirements para obter uma lista de produtos suportados.
- A partir da versão 5.2, o Content Platform Engine suporta configurações heterogêneas de servidor de diretório ao ser executado em um ambiente de gerenciador de membro virtual IBM. (Para usar o gerenciador de membro virtual, o Content Platform Engine requer o WebSphere Application Server versão 7.0 ou superior.) Para todos os outros ambientes de diretório, apenas combinações homogêneas do servidor LDAP são suportadas, o que significa que um único domínio do FileNet P8 pode ser configurado para usar apenas um dos servidores de diretório suportados.
- Entenda os usuários e os grupos necessários para o FileNet P8.
- Todos os usuários e grupos administrativos gerais que precisam de acesso aos aplicativos baseados no FileNet P8 devem residir em um dos servidores de diretórios suportados. As tarefas de planejamento e preparação fornecem instruções para criar as contas administrativas necessárias para a instalação e a configuração inicial.
- (Apenas WebLogic) Qualquer provedor de autenticação WebLogic deve ser dedicado para o FileNet P8.
- Por motivos de desempenho, não compartilhe nenhum provedor de autenticação que é usado pelo WebLogic para componentes implementados do FileNet P8 com aplicativos usados para outros propósitos.
- É possível configurar o Content Platform Engine para usar email ou UPN para login
- É possível designar o atributo de email do servidor de diretório ou, para o Active Directory, o userPrincipalName (UPN), para ser o nome abreviado do usuário que é utilizado para login. Instruções contidas no IBM FileNet P8 Platform Installation and Upgrade Guide fornecem um link para um procedimento que explica como fazer isso.
- (Apenas WebSphere) Escolha um tipo de repositório Independente ou Associado.
- Há uma opção na tarefa Configurar LDAP do Gerenciador de Configuração para selecionar se o tipo de
repositório do WebSphere Application
Server é Registro de LDAP independente ou
Repositórios federados. Para que o Configuration Manager use a configuração do tipo de
repositório, selecione a opção do Configuration Manager para Configurar como
registro do usuário ativo atual.
- Se você escolher Registro LDAP Independente
- O Gerenciador de Configuração altera o login do console administrativo para a conta inserida como o Nome de usuário do console administrativo. Essa conta deve residir no local do registro LDAP independente. O login do usuário do console administrativo existente, se houver, torna-se inválido.
- Para que o Configuration Manager substitua uma configuração de registro LDAP independente existente, você deve ativar a opção do Configuration Manager Sobrescrever repositório existente.
- Se você escolher Repositórios Associados
- Ao escolher a opção Repositórios Associados no Configuration Manager, você está incluindo uma nova região LDAP em um Repositório LDAP Associado existente. O nome do usuário do console administrativo que você fornece deve ser um usuário exclusivo em todos os domínios federados.
- Evitar sobreposição de definições de região
- Na tarefa Configurar LDAP do Gerenciador de Configuração, se você configurar a opção de tipo de repositório
LDAP do WebSphere Application
Server como Repositórios
federados, não insira repositórios com sufixos sobrepostos, pois eles não são suportados. Por exemplo, os dois seguintes
repositórios com nomes distintos de entrada de Base de sobreposição não são
suportados:
- dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- Os repositórios do próximo exemplo são suportados, porque são
repositórios irmãos e não são sobrepostos:
- dc=tivoli,dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- A segurança administrativa deve estar ativada
- O Configuration Manager não altera o estado da segurança administrativa do WebSphere. Se ela estava ativada antes da execução do Configuration Manager, ela permanece ativada; se estava desativada antes, ela permanece desativada.
- Domínios de segurança do WebSphere Application Server
- O Content Platform Engine suporta domínios de segurança do WebSphere Application Server, um recurso que é introduzido no WebSphere Application Server 7.0. Os domínios de segurança permitem que os administradores definam diversas configurações de segurança para uso em uma única célula ou servidor de aplicativos. Por padrão, todos os aplicativos administrativos e do usuário no WebSphere Application Server usam a mesma configuração de segurança global. No entanto, com domínios de segurança, é possível criar configurações de segurança adicionais, se você deseja especificar diferentes atributos de segurança para alguns ou todos os aplicativos de usuário. Por exemplo, você pode definir configurações diferentes (como um registro de usuário diferente) para aplicativos de usuário e para aplicativos administrativos. É possível também definir configurações de segurança separadas para aplicativos de usuário que são implementados em servidores e clusters diferentes.
- Para usar domínios de segurança, implemente o Content Platform Engine de maneira normal e, em seguida, use o console administrativo do WebSphere Application Server para criar um domínio de segurança e designar o Content Platform Engine a ele. O código do Content Platform Engine respeita automaticamente essa configuração de domínio. Todos os servidores e clientes Content Platform Engine devem estar em um dos domínios de segurança disponíveis do WebSphere. Além disso, a conta de autoinicialização do Content Platform Engine (cpe_bootstrap_admin) deve estar presente na configuração de segurança global do WebSphere Application Server e no domínio de segurança que se aplica ao Content Platform Engine; ou você pode ignorar o login de bootstrap na inicialização do servidor, configurando o argumento da JVM -Dcom.filenet.engine.init.BGThreadsAsBootstrapId=false.