安全性规划注意事项
本节中的信息旨在帮助您完成安全性规划过程,但并非任何安全性功能或支持级别的完整描述。
- 认证与授权是不同的过程。
- 认证(登录安全性)与授权(对象和进程安全性)互相独立。您必须在 Content Platform Engine 应用程序服务器上配置 JAAS 登录,以使任何能够成功登录到 FileNet® P8 资源的用户或组也有权使用 Content Platform Engine 目录服务提供程序连接在 FileNet P8 界面中工作。
- Configuration Manager 将捕获用于创建应用程序服务器认证提供程序的配置信息;您也可以使用应用程序服务器上已存在的认证提供程序。在初始部署 Content Platform Engine 之后,您将立即使用 IBM® Administration Console for Content Platform Engine 通过创建目录配置来配置 Content Platform Engine 权限。
- 登录通过 JAAS 进行。
- FileNet P8 使用 Java™ 认证和授权服务 (JAAS) 进行认证,这是在 Java EE 客户机应用程序、Java EE 应用程序服务器以及一个或多个 JAAS 登录模块之间发生的过程。此过程不涉及任何 FileNet P8 代码。
- FileNet P8 平台仅将 JAAS 用于认证,而不用于针对所存储对象进行授权。并且,它不支持 Java 安全管理器。
- 确定单点登录 (SSO) 需求。
- Content Platform Engine 能够进行基于 JAAS 的认证意味着,如果单点登录 (SSO) 提供程序为受支持的应用程序服务器写 JAAS LoginModule,那么该应用程序服务器中主管的 FileNet P8 应用程序的客户机将能够使用 SSO 解决方案。有关配置信息,请参阅 Single Sign-On Solutions for IBM FileNet P8 (ibm.com/redbooks)。
- 确定 Kerberos 适用性。
- 如果使用 Windows Active Directory 作为目录服务器,那么可以将 Kerberos 用于 .NET 应用程序或者其他使用该应用程序的产品之间的 SSO 认证。
- 确定所需的认证领域数。
- 至少需要一个认证领域,此领域是您在初始安装期间通过运行“Configuration Manager 配置 LDAP”任务创建的。在确保第一个领域正常工作之后,可根据您的安全模型和需求配置其他领域。
- 确保有就绪的目录服务提供程序。
- 目录服务由第三方目录服务器提供。有关受支持产品的列表,请参阅 IBM FileNet P8 系统需求。
- 从 V5.2 开始,在 IBM 虚拟成员管理器环境中运行时,Content Platform Engine 支持异构目录服务器配置。(要使用虚拟成员管理器,Content Platform Engine 需要 WebSphere® Application Server V7.0 或更高版本。)对于所有其他目录环境,仅支持同构 LDAP 服务器组合,这意味着单一 FileNet P8 域可配置成只使用其中一台受支持的目录服务器。
- 了解 FileNet P8 所需的用户和组。
- 所有需要访问基于 FileNet P8 的应用程序的常规管理用户和组都必须驻留在其中一款受支持的目录服务器中。规划和准备任务提供了有关创建安装和初始配置所需要的管理帐户的指示信息。
- (仅限于 WebLogic)任何 WebLogic 认证提供程序都必须由 FileNet P8 专用。
- 由于性能原因,请勿将 WebLogic 用于所部署 FileNet P8 组件的任何认证提供程序与用于其他用途的应用程序共享。
- 可以将 Content Platform Engine 配置为使用电子邮件或 UPN 进行登录
- 可将目录服务器的电子邮件属性或 userPrincipalName (UPN)(对于 Active Directory)指定为用于进行登录的用户短名称。IBM FileNet P8 Platform 安装和升级指南中的指示信息提供了链接,该链接指向用于说明如何完成此任务的过程。
- (仅限于 WebSphere)选择独立存储库类型或联合存储库类型。
- 在“Configuration Manager 配置 LDAP”任务中,有一个选项用于选择 WebSphere Application Server 存储库类型是独立 LDAP 注册表还是联合存储库。要让 Configuration Manager 使用存储库类型设置,请选择 Configuration Manager 选项设置为当前活动用户注册表。
- 如果选择独立 LDAP 注册表
- Configuration Manager 会将管理控制台用户登录更改为您作为管理控制台用户名输入的帐户。此帐户必须位于独立 LDAP 注册表位置。现有的管理控制台用户登录(如果有)将变为无效。
- 要让 Configuration Manager 替换现有的独立 LDAP 注册表配置,必须启用 Configuration Manager 选项覆盖现有存储库。
- 如果选择联合存储库
- 选择 Configuration Manager 中的“联合存储库”选项表明要对现有的联合 LDAP 存储器添加新的 LDAP 领域。您提供的管理控制台用户名在所联合的全部领域中必须是唯一用户。
- 避免重叠的领域定义
- 在 Configuration Manager“配置 LDAP”任务中,如果您将 WebSphere Application Server LDAP 存储库类型选项设置为联合存储库,请勿输入后缀重叠的存储库,这是因为不支持这样的存储库。例如,下面这两个具有重叠基本条目专有名称的存储库不受支持:
- dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- 以下示例中的存储库受支持,这是因为,它们是同代存储库并且不重叠:
- dc=tivoli,dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- 必须启用管理安全性
- Configuration Manager 不会更改 WebSphere 管理安全性的状态。如果它在 Configuration Manager 运行前处于打开状态,那么它将保持打开状态;如果它在 Configuration Manager 运行前处于关闭状态,那么它将保持关闭状态。
- WebSphere Application Server 安全域
- Content Platform Engine 支持 WebSphere Application Server 安全域,该安全域是在 WebSphere Application Server 7.0 中引入的功能部件。安全域允许管理员定义多个安全性配置,以在单个单元或应用程序服务器中使用。在缺省情况下,WebSphere Application Server 中的所有管理应用程序和用户应用程序都使用同一全局安全性配置。但是,如果要为部分或全部用户应用程序指定不同安全性属性,可以使用安全域创建更多安全性配置。例如,可为用户应用程序定义与管理应用程序不同的设置(如不同用户注册表)。对于部署到不同服务器和集群的用户应用程序,还可为这些应用程序定义单独的安全性配置。
- 要使用安全域,您以常规方式部署Content Platform Engine,然后使用 WebSphere Application Server 管理控制台创建安全域以及对其指定 Content Platform Engine。然后,Content Platform Engine 代码会自动考虑此域设置。所有 Content Platform Engine 服务器和客户机都必须位于其中一个可用的 WebSphere 安全域中。此外,Content Platform Engine 引导程序帐户 (cpe_bootstrap_admin) 必须同时存在于 WebSphere Application Server 全局安全性配置以及适用于 Content Platform Engine 的安全域中;或者,您可通过设置 JVM 参数 -Dcom.filenet.engine.init.BGThreadsAsBootstrapId=false 来在服务器启动时跳过引导程序登录。