As informações desta seção são fornecidas para ajudar no
processo de planejamento de segurança, mas não é uma descrição completa de nenhum
recurso de segurança ou nível de suporte.
- A autenticação e a autorização são processos separados.
- A autenticação (segurança de logon) é separada da autorização
(segurança do objeto e do processo). Você deve configurar seu login JAAS no servidor de aplicativos do Content Platform Engine
para que qualquer usuário ou grupo que possa efetuar logon com êxito nos recursos do FileNet P8 também possa ter autorização
para trabalhar nas interfaces do FileNet P8
usando a conexão do provedor de serviços de diretório do Content Platform Engine.
- O Configuration Manager captura as informações de configuração para criar
seu provedor de autenticação do servidor de aplicativos; ou você pode usar um
provedor de autenticação já existente no servidor de aplicativos.
Imediatamente após a implementação inicial do Content Platform Engine, você
usará o IBM® Administration Console for Content
Platform Engine para configurar a autorização do
Content Platform Engine para criar uma Configuração do Diretório.
- Os logins são realizados por meio de JAAS.
- O FileNet P8 usa o Java™ Authentication and Authorization
Service (JAAS) para autenticação, que é um processo que ocorre
entre um aplicativo cliente Java EE,
um servidor de aplicativo Java EE
e um ou mais módulos de login JAAS. Esse
processo não envolve nenhum código do FileNet P8.
- A plataforma FileNet P8 usa JAAS apenas
para autenticação, não para autorização em objetos armazenados. Além disso, ele não suporta o Java Security
Manager.
- Determine os requisitos de conexão única (SSO).
- A capacidade do Content Platform Engine de
usar a autenticação baseada em JAAS significa que se um provedor de
conexão única (SSO) gravar um Módulo de Login JAAS para um servidor de aplicativos suportado, os clientes de aplicativos FileNet P8
hospedados nesse servidor de aplicativos poderão usar essa solução de SSO. Consulte Single
Sign-On Solutions for IBM FileNet P8 em ibm.com/redbooks
para obter informações de configuração.
- Determine a aplicabilidade de Kerberos.
- É possível usar o Kerberos para autenticação de SSO entre aplicativos .NET
ou outros produtos que o usam, desde que o Windows Active Directory seja usado como o servidor
de diretório.
- Decida quantas regiões de autenticação são necessárias.
- Pelo menos uma região de autenticação é necessária, que deve ser criada durante a instalação inicial
executando a tarefa Configurar LDAP do Gerenciador de Configuração. Depois de
certificar-se de que a primeira região esteja funcionando adequadamente, é possível
configurar regiões adicionais, dependendo do modelo e dos requisitos de segurança.
- Certifique-se de que haja um provedor de serviços de diretório adequado.
- Os serviços de diretório são fornecidos por servidores de diretório de terceiros.
Consulte o IBM
FileNet P8 system requirements para obter uma lista de produtos suportados.
- A
partir da versão 5.2, o Content Platform Engine
suporta configurações heterogêneas de servidor de diretório ao ser executado em um
ambiente de gerenciador de membro virtual IBM.
(Para
usar o gerenciador de membro virtual, o
Content Platform Engine requer o
WebSphere Application
Server versão 7.0 ou superior.)
Para todos os outros ambientes de diretório, apenas combinações homogêneas do servidor LDAP
são suportadas, o que significa que um único domínio do FileNet P8 pode ser configurado
para usar apenas um dos servidores de diretório suportados.
- Entenda os usuários e os grupos necessários para o FileNet P8.
- Todos os usuários e grupos administrativos gerais que precisam de acesso aos aplicativos baseados no FileNet P8 devem
residir em um dos servidores de diretórios suportados. As tarefas de planejamento e preparação fornecem
instruções para criar as contas administrativas necessárias para a instalação e a configuração inicial.
- (Apenas WebLogic) Qualquer provedor de autenticação WebLogic deve ser dedicado
para o FileNet P8.
- Por motivos de desempenho, não compartilhe nenhum provedor de autenticação que é
usado pelo WebLogic para componentes implementados do
FileNet P8 com aplicativos usados para outros
propósitos.
- É possível configurar o Content Platform Engine para usar email ou UPN para
login
- É possível designar o atributo de email do servidor de diretório ou, para o Active
Directory, o userPrincipalName (UPN), para ser o nome abreviado do usuário que é
utilizado para login. Instruções contidas no IBM
FileNet P8 Platform Installation and Upgrade Guide fornecem um link para um
procedimento que explica como fazer isso.
- (Apenas WebSphere) Escolha um tipo de repositório Independente ou
Associado.
- Há uma opção na tarefa Configurar LDAP do Gerenciador de Configuração para selecionar se o tipo de
repositório do WebSphere Application
Server é Registro de LDAP independente ou
Repositórios federados. Para que o Configuration Manager use a configuração do tipo de
repositório, selecione a opção do Configuration Manager para Configurar como
registro do usuário ativo atual.
- Se você escolher Registro LDAP Independente
- O Gerenciador de Configuração altera o login do console administrativo para a conta inserida como o
Nome de usuário do console administrativo. Essa conta deve residir no local do
registro LDAP independente. O login do usuário do console administrativo existente, se houver, torna-se inválido.
- Para que o Configuration Manager substitua uma configuração de registro LDAP
independente existente, você deve ativar a opção do Configuration Manager
Sobrescrever repositório existente.
- Se você escolher Repositórios Associados
- Ao escolher a opção Repositórios Associados no Configuration
Manager, você está incluindo uma nova região LDAP em um Repositório LDAP
Associado existente. O nome do usuário do console administrativo que você fornece deve
ser um usuário exclusivo em todos os domínios federados.
- Evitar sobreposição de definições de região
- Na tarefa Configurar LDAP do Gerenciador de Configuração, se você configurar a opção de tipo de repositório
LDAP do WebSphere Application
Server como Repositórios
federados, não insira repositórios com sufixos sobrepostos, pois eles não são suportados. Por exemplo, os dois seguintes
repositórios com nomes distintos de entrada de Base de sobreposição não são
suportados:
- dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
Essa restrição aplica-se especialmente a domínios
pais e filhos do Active Directory, uma vez que, por definição, os domínios pais/filhos no AD
possuem sufixos de sobreposição.
- Os repositórios do próximo exemplo são suportados, porque são
repositórios irmãos e não são sobrepostos:
- dc=tivoli,dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- A segurança administrativa deve estar ativada
- O Configuration Manager não altera o estado da segurança administrativa do WebSphere.
Se ela estava ativada antes da execução do Configuration Manager, ela permanece ativada;
se estava desativada antes, ela permanece desativada.
- Domínios de segurança do WebSphere Application
Server
- O Content Platform Engine suporta domínios de segurança do WebSphere Application
Server, um recurso que é introduzido no WebSphere Application
Server 7.0.
Os domínios de segurança
permitem que os administradores definam diversas configurações de segurança para uso em
uma única célula ou servidor de aplicativos. Por padrão, todos os aplicativos
administrativos e do usuário no WebSphere Application
Server
usam a mesma configuração de segurança global. No entanto, com domínios de segurança, é
possível criar configurações de segurança adicionais, se você deseja especificar diferentes
atributos de segurança para alguns ou todos os aplicativos de usuário. Por exemplo, você
pode definir configurações diferentes (como um registro de usuário diferente) para
aplicativos de usuário e para aplicativos administrativos. É possível também definir
configurações de segurança separadas para aplicativos de usuário que são implementados em
servidores e clusters diferentes.
- Para usar domínios de segurança, implemente o
Content Platform Engine de maneira normal e, em seguida,
use o console administrativo do WebSphere Application
Server para
criar um domínio de segurança e designar o
Content Platform Engine a ele. O
código do Content Platform Engine respeita
automaticamente essa configuração de domínio. Todos os servidores e clientes
Content Platform Engine devem estar em um dos domínios de
segurança disponíveis do WebSphere. Além disso, a
conta de autoinicialização do Content Platform Engine
(cpe_bootstrap_admin) deve estar presente na configuração de segurança
global do WebSphere Application
Server e no domínio de segurança que se aplica ao
Content Platform Engine; ou você pode ignorar o login de
bootstrap na inicialização do servidor, configurando o argumento da JVM
-Dcom.filenet.engine.init.BGThreadsAsBootstrapId=false.