Consideraciones sobre la planificación de la seguridad
La información de esta sección le ayuda a planificar la seguridad, pero no es una descripción completa de ninguna función de seguridad ni nivel de soporte.
- La autenticación y la autorización son procesos separados.
- La autenticación (seguridad de inicio de sesión) está separada de la autorización (seguridad de objetos y procesos). Debe configurar el inicio de sesión de JAAS en el servidor de aplicaciones de Content Platform Engine para que cualquier usuario o grupo que pueda conectarse satisfactoriamente a recursos de FileNet P8 pueda también estar autorizado para trabajar dentro de interfaces de FileNet P8, utilizando la conexión del proveedor de servicio de directorio de Content Platform Engine.
- El gestor de configuración recoge información de configuración para crear el proveedor de autenticación del servidor de aplicaciones; o bien puede utilizar un proveedor de autenticación que ya exista en el servidor de aplicaciones. Inmediatamente después del despliegue inicial de Content Platform Engine, utilice IBM® Administration Console for Content Platform Engine para configurar la autorización de Content Platform Engine mediante la creación de una configuración de directorio.
- Los inicios de sesión se realizan mediante JAAS (Java Authentication and Authorization Service).
- FileNet P8 usa Java™ Authentication and Authorization Service (JAAS) para autenticación, el cual es un proceso que ocurre entre una aplicación de cliente Java EE y un servidor de aplicación Java EE y uno o más módulos de inicio de sesión de JAAS. En este proceso no interviene código de FileNet P8.
- La plataforma FileNet P8 solo utiliza JAAS para la autenticación, no para la autorización en objetos almacenados. Además, no admite Java Security Manager.
- Determine los requisitos del inicio de sesión único.
- La capacidad de Content Platform Engine para utilizar la autenticación basada en JASS significa que si un proveedor de inicio de sesión único escribe un módulo de inicio de sesión JAAS para un servidor de aplicaciones soportado, los clientes de aplicaciones de FileNet P8 contenidas en ese servidor de aplicaciones pueden utilizar esa solución de inicio de sesión único. Consulte Single Sign-On Solutions for IBM FileNet P8 en ibm.com/redbooks para obtener información de configuración.
- Determine la aplicabilidad de Kerberos.
- Puede usar Kerberos para autenticación SSO entre las aplicaciones .NET u otros productos que lo usan, siempre que use Windows Active Directory como el servidor de directorio.
- Determine cuántos dominios de autenticación necesita.
- Como mínimo es necesario un dominio de autenticación, el cual creará durante la instalación inicial ejecutando la tarea Configurar LDAP del gestor de configuración. Después de asegurarse de que el primer reino funciona correctamente, puede configurar reinos adicionales, dependiendo del modelo de seguridad y de los requisitos.
- Asegúrese de que tiene instalado un proveedor de servicio de directorio.
- Los servicios de directorios los proporcionan servidores de directorios de terceros. Consulte la documentación de IBM FileNet P8 system requirements para obtener la lista de productos soportados.
- A partir de la versión 5.2, Content Platform Engine soporta configuraciones de servidor de directorio heterogéneas al ejecutar en un entorno de IBM Virtual Member Manager. (Para utilizar Virtual Member Manager, Content Platform Engine necesita WebSphere Application Server versión 7.0 o superior.) Para todos los demás entornos de directorio, solo las combinaciones de servidor LDAP homogéneas son admitidas, lo que significa que un solo dominio FileNet P8 se puede configurar para usar solo uno de los servidores de directorio admitidos.
- Determine los usuarios y grupos necesarios para FileNet P8.
- Todos los usuarios y grupos administrativos generales que necesiten acceder a aplicaciones de FileNet P8 deben residir en uno de los servidores de directorio soportados. Las tareas de planificación y preparación proporcionan instrucciones para la creación de las cuentas administrativas necesarias para la instalación y configuración inicial.
- (WebLogic solamente) Los proveedores de autenticación de WebLogic deben estar asignados exclusivamente a FileNet P8.
- Por razones de rendimiento, no comparta ningún proveedor de autenticación utilizado por WebLogic para componentes de FileNet P8 desplegados con aplicaciones utilizadas para otros fines.
- Puede configurar Content Platform Engine para utilizar el correo electrónico o UPN para el inicio de sesión.
- Puede asignar el atributo de correo electrónico del servidor de directorios o, para Active Directory, el userPrincipalName (UPN) para que sea el nombre abreviado de usuario que se utiliza para el inicio de sesión. Las instrucciones contenidas en la publicación IBM FileNet P8 Platform Installation and Upgrade Guide remiten a un procedimiento que explica cómo hacer esto.
- (WebSphere solamente) Seleccione Autónomo o Federado como tipo de repositorio.
- La tarea Configurar LDAP del gestor de configuración contiene una opción para
seleccionar el tipo de repositorio de WebSphere Application
Server: Registro LDAP autónomo o Repositorios
federados. Para que el gestor de configuración
utilice el valor de tipo de repositorio, seleccione la opción
de gestor de configuración Establecer como registro de usuarios activos actual.
- Si elige Registro LDAP autónomo
- El gestor de configuración cambia el inicio de sesión del usuario de la consola administrativa a la nueva cuenta que especifique como Nombre de usuario de consola administrativa. Esta nueva cuenta debe residir en la ubicación del Registro LDAP autónomo. El inicio de sesión del usuario de la consola administrativa, si existe, pasa a ser no válido.
- Para que Configuration Manager sustituya una configuración de registro de LDAP autónomo existente, debe habilitar la opción de Configuration Manager Sobrescribir repositorio existente.
- Si elige Repositorios federados
- Si elige la opción Repositorios federados en el gestor de configuración, se añadirá un nuevo dominio LDAP a un repositorio LDAP federado existente. El nombre de usuario de consola administrativa que proporcione debe ser un usuario exclusivo entre todos los reinos federados.
- Evite definiciones de dominio que se solapen
- En la tarea Configurar LDAP del gestor de configuración, si selecciona
Repositorios federados para el tipo de repositorio LDAP de
WebSphere Application
Server, no especifique repositorios con sufijos que se solapen,
pues no están permitidos.
Por ejemplo, los dos repositorios siguientes cuyos nombres distinguidos tienen entradas
base que se solapan no están permitidos:
- dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- Los repositorios del ejemplo siguiente están soportados, pues son repositorios
hermanos y no se solapan:
- dc=tivoli,dc=ibm,dc=com
- dc=filenet,dc=ibm,dc=com
- La seguridad administrativa debe estar habilitada
- El gestor de configuración no cambia el estado de la seguridad administrativa de WebSphere. Si estaba activa antes de ejecutar el gestor de configuración, permanece activa; si estaba inactiva, permanece así.
- Dominios de seguridad de WebSphere Application Server
- Content Platform Engine soporta dominios de seguridad de WebSphere Application Server, una característica que se incorpora en WebSphere Application Server 7.0. Los dominios de seguridad permiten a los administradores definir varias configuraciones de seguridad para su uso en una sola célula o servidor de aplicaciones. De forma predeterminada, todas las aplicaciones administrativas y de usuario en WebSphere Application Server utilizan la misma configuración de seguridad global. Sin embargo, con dominios de seguridad, puede crear configuraciones de seguridad adicionales si desea especificar distintos atributos de seguridad para algunas o todas las aplicaciones de usuario. Por ejemplo, puede definir valores diferentes (como un registro de usuarios diferente) para las aplicaciones de usuario que para las aplicaciones administrativas. También puede definir configuraciones de seguridad independientes para las aplicaciones de usuario que se despliegan en distintos servidores y clústeres.
- Para utilizar dominios de seguridad, puede desplegar Content Platform Engine de la forma normal y, a continuación, utilizar la consola administrativa de WebSphere Application Server para crear un dominio de seguridad y para asignar Content Platform Engine al mismo. Entonces el código de Content Platform Engine respeta automáticamente este valor de dominio. Todos los servidores y clientes de Content Platform Engine deben estar en uno de los dominios de seguridad de WebSphere disponibles. Además, la cuenta de programa de arranque de Content Platform Engine (cpe_bootstrap_admin) debe estar presente en la configuración de seguridad global de WebSphere Application Server y el dominio de seguridad que se aplica a Content Platform Engine; o puede omitir el inicio de sesión de programa de arranque en el inicio de servidor estableciendo el argumento JVM -Dcom.filenet.engine.init.BGThreadsAsBootstrapId=false.