FileNet P8 플랫폼, 버전 5.2.1              

보안 계획 고려사항

이 절의 정보는 보안 계획 프로세스를 돕기 위해 제공되지만 보안 기능 또는 지원 레벨을 전체적으로 설명하지는 않습니다.

인증 및 권한 부여는 별도의 프로세스입니다.
인증(로그온 보안)은 권한 부여(오브젝트 및 프로세스 보안)와 별개입니다. Content Platform Engine 애플리케이션 서버에 대한 JAAS 로그인을 구성하여, FileNet® P8 자원에 성공적으로 로그온할 수 있는 사용자 또는 그룹도 Content Platform Engine 디렉토리 서비스 제공자 연결을 통해 FileNet P8 인터페이스 내에서 작업 권한이 부여될 수 있도록 해야 합니다.
Configuration Manager는 구성 정보를 캡처하여 애플리케이션 서버 인증 제공자를 작성합니다. 또는 사용자가 애플리케이션 서버에 이미 존재하는 인증 제공자를 사용할 수도 있습니다. 초기 Content Platform Engine 배치 직후에 디렉토리 구성을 작성하여 IBM® Administration Console for Content Platform Engine에서 Content Platform Engine 권한 부여를 구성합니다.
로그인은 JAAS를 통해 수행됩니다.
FileNet P8은 인증을 위해 JAAS(Java™ Authentication and Authorization Service)를 사용하며, 이 인증은 Java EE 클라이언트 애플리케이션, Java EE 애플리케이션 서버 및 하나 이상의 JAAS 로그인 모듈 간에 발생하는 프로세스입니다. 이 프로세스에서는 FileNet P8 코드가 관련되지 않습니다.
FileNet P8 플랫폼은 인증을 위해서만 JAAS를 사용하고 저장된 오브젝트의 권한 부여를 위해서는 사용하지 않습니다. 또한 Java Security Manager를 지원하지 않습니다.
SSO(Single Sign-On) 요구사항을 확인하십시오.
Content Platform Engine이 JAA 기반 인증을 사용할 수 있다는 것은 지원되는 애플리케이션 서버의 JAAS LoginModule을 SSO(Single Sign-On) 제공자가 작성한 경우 해당 애플리케이션 서버에 호스트된 FileNet P8 애플리케이션의 클라이언트가 해당 SSO 솔루션을 사용할 수 있음을 의미합니다. 또한 ibm.com/redbooks의 IBM FileNet P8용 싱글 사인온 솔루션에서 구성 정보를 참조하십시오.
Kerberos 적용 가능성을 확인하십시오.
Windows Active Directory를 디렉토리 서버로 사용하는 경우 .NET 애플리케이션 또는 이를 사용하는 기타 제품 간의 SSO 인증을 위해 Kerberos를 사용할 수 있습니다.
필요한 인증 영역의 수를 결정하십시오.
하나 이상의 인증 영역이 필요하며 이 영역은 초기 설치 중에 Configuration Manager의 LDAP 구성 태스크를 실행하여 작성합니다. 첫 번째 영역이 적절히 작동하는지 확인한 후, 보안 모델 및 요구사항에 따라 추가 영역을 구성할 수 있습니다.
디렉토리 서비스 제공자가 준비되어 있는지 확인하십시오.
디렉토리 서비스는 써드파티 디렉토리 서버에 의해 제공됩니다. 지원되는 제품 목록은 IBM FileNet P8 system requirements을 참조하십시오.
버전 5.2부터 시작하여 Content Platform Engine은 IBM Virtual Member Manager 환경에서 실행 중인 경우 이기종 디렉토리 서버 구성을 지원합니다. (Virtual Member Manager를 사용하려면, Content Platform EngineWebSphere® Application Server 버전 7.0 이상이 필요합니다.) 다른 모든 디렉토리 환경의 경우, 동종 LDAP 서버 조합만 지원되는데 이는 단일 FileNet P8 도메인이 지원되는 디렉토리 서버 중 하나만 사용하여 구성될 수 있음을 의미합니다.
FileNet P8에 필요한 사용자 및 그룹을 이해합니다.
FileNet P8 기반 애플리케이션에 액세스해야 하는 모든 일반 관리 사용자 및 그룹은 지원되는 디렉토리 서버 중 하나에 존재해야 합니다. 계획 및 준비 태스크에서는 설치 및 초기 구성에 필요한 관리 계정을 작성하기 위한 지시사항을 제공합니다.
(WebLogic만 해당) WebLogic 인증 제공자는 FileNet P8 전용으로 사용되어야 합니다.
성능상의 이유로, 배치된 FileNet P8 컴포넌트에 대한 WebLogic이 사용하는 인증 제공자를 다른 목적에 사용되는 애플리케이션과 공유하지 마십시오.
Content Platform Engine이 로그인을 위해 이메일 또는 UPN을 사용하도록 구성할 수 있습니다.
디렉토리 서버의 이메일 속성을 지정하거나, 로그인에 사용되는 짧은 사용자 이름이 될 userPrincipalName(UPN)을 Active Directory에 대해 지정할 수 있습니다. IBM FileNet P8 Platform Installation and Upgrade Guide의 지시사항은 이 방법을 설명하는 프로시저에 대한 링크를 제공합니다.
(WebSphere만 해당) 독립형 또는 연합 저장소 유형을 선택하십시오.
Configuration Manager의 LDAP 구성 태스크에서는 WebSphere Application Server 저장소 유형이 독립형 LDAP 레지스트리인지 또는 연합 저장소인지 여부를 선택하는 옵션이 있습니다. Configuration Manager가 저장소 유형 설정을 사용하도록 하려면 Configuration Manager 옵션 현재 활성 사용자 레지스트리로 설정을 선택하십시오.
독립형 LDAP 레지스트리를 선택하는 경우
Configuration Manager는 관리 콘솔 사용자 로그인을 사용자가 관리 콘솔 사용자 이름으로 입력하는 계정으로 변경합니다. 이 계정은 독립형 LDAP 레지스트리 위치에 존재해야 합니다. 기존 관리 콘솔 사용자 로그인은 유효하지 않게 됩니다.
Configuration Manager가 기존의 독립형 LDAP 레지스트리 구성을 대체하도록 하려면 Configuration Manager 옵션을 기존 저장소 겹쳐쓰기로 설정해야 합니다.
연합 저장소를 선택하는 경우
Configuration Manager에서 연합 저장소 옵션을 선택하면 새 LDAP 영역이 기존 연합 LDAP 저장소에 추가됩니다. 사용자가 입력하는 관리 콘솔 사용자 이름은 모든 연합 영역에서 고유한 사용자여야 합니다.
중복 영역 정의를 피하십시오.
Configuration Manager의 LDAP 구성 태스크에서 WebSphere Application Server LDAP 저장소 유형 옵션을 연합 저장소로 설정한 경우, 중복 접미부를 가진 여러 저장소를 입력하지 마십시오. 중복 저장소는 지원되지 않습니다. 예를 들어, 기본 항목 구별 이름이 중복되는 다음 두 저장소는 지원되지 않습니다.
  • dc=ibm,dc=com
  • dc=filenet,dc=ibm,dc=com
이 제한은 특히 Active Directory 상위 및 하위 도메인에 적용됩니다. 정의에 의해 Active Directory의 상위/하위 도메인에서 접미부가 중복되기 때문입니다.
다음 예제의 저장소는 동위 저장소이며 중복되지 않으므로 지원됩니다.
  • dc=tivoli,dc=ibm,dc=com
  • dc=filenet,dc=ibm,dc=com
관리 보안이 사용 가능해야 합니다.
Configuration Manager는 WebSphere 관리 보안의 상태를 변경하지 않습니다. Configuration Manager를 실행하기 전에 관리 보안이 설정된 경우 설정 상태가 유지되고, 전에 해제된 경우 해제 상태가 유지됩니다.
WebSphere Application Server 보안 도메인
Content Platform EngineWebSphere Application Server 보안 도메인(WebSphere Application Server 7.0에서 도입된 기능)을 지원합니다. 관리자는 보안 도메인을 통해 단일 셀이나 애플리케이션 서버에 사용할 다수의 보안 구성을 정의할 수 있습니다. 기본적으로 WebSphere Application Server의 모든 관리 애플리케이션과 사용자 애플리케이션은 동일한 글로벌 보안 구성을 사용합니다. 그러나 보안 도메인을 사용하면 전체 또는 일부 애플리케이션에 서로 다른 보안 속성을 지정할 때 추가적인 보안 구성을 작성할 수 있습니다. 예를 들어, 사용자 애플리케이션의 설정을 관리 애플리케이션의 설정과 다르게 정의할 수 있습니다(예: 서로 다른 사용자 레지스트리). 또한 서로 다른 서버와 클러스터에 배치된느 사용자 애플리케이션에 별도의 보안 구성을 정의할 수도 있습니다.
보안 도메인을 사용하려면 일반적인 방법으로 Content Platform Engine을 배치한 다음 사용자의 WebSphere Application Server 관리 콘솔을 사용하여 보안 도메인을 작성하고 Content Platform Engine을 여기에 지정하십시오. 그러면 Content Platform Engine 코드가 자동으로 이러한 도메인 설정을 부여합니다. 모든 Content Platform Engine 서버와 클라이언트는 사용 가능한 WebSphere 보안 도메인 중 하나에 있어야 합니다. 또한 Content Platform Engine 부트스트랩 계정(cpe_bootstrap_admin)은 WebSphere Application Server 글로벌 보안 구성과, Content Platform Engine에 적용되는 보안 도메인에 모두 표시되어야 합니다. 그렇지 않으면 JVM 인수(-Dcom.filenet.engine.init.BGThreadsAsBootstrapId=false)를 설정하여 서버 시작 시 부트스트랩 로그인을 건너뛸 수 있습니다.


마지막 업데이트 날짜: 2015년 10월
p8ppi066.htm

© Copyright IBM Corp. 2013, 2015.