インスタンスにログオンするには、各オペレーターがゾーンにリンクされている必要があります。また、セキュリティゾーンで定義されたアドレスまたはアドレスセットにオペレーターの IP が含まれている必要があります。セキュリティゾーンの設定は、Adobe Campaign サーバーの設定ファイルで実行されます。
オペレーターは、クライアントコンソールでオペレーターのプロファイルからセキュリティゾーンにリンクされます。オペレーターのプロファイルは、管理/アクセス管理/オペレーターノードでアクセスできます。詳細情報。
この手順は次に制限されています: オンプレミス デプロイメント。
As a ホスト 顧客、 キャンペーンCampaign コントロールパネルセキュリティゾーンセルフサービスインターフェイスを使用できます。 詳細情報
その他 ハイブリッド/ホスト のお客様は、Adobeサポートチームに連絡して、IP をチームに追加する必要があり許可リストます。
ゾーンは次の方法で定義します。
セキュリティゾーンは相互にロックされています。つまり、別のゾーン内で新しいゾーンを定義すると、各オペレーターに割り当てられる権限を増やしながら、ログオンできるオペレーターの数が減ります。
ゾーンは、サーバーの構成時に、 serverConf.xml ファイル。 次の serverConf.xml が この節.
各ゾーンは、次のような権限を定義します。
各オペレーターは、ゾーンにリンクされている必要があります. オペレーターの IP アドレスがゾーンで定義された範囲に属している場合、オペレーターはインスタンスにログオンできます。
オペレーターの IP アドレスは、複数のゾーンに定義される場合があります。 この場合、オペレーターは 設定 の権限を持つことができます。
標準搭載の serverConf.xml ファイルには 3 つのゾーンが含まれます。 パブリック、VPN、および LAN.
標準設定は安全です. ただし、以前のバージョンのAdobe Campaignから移行する前に、新しいルールを移行して承認するために、セキュリティを一時的に低減する必要が生じる場合があります。
でゾーンを定義する方法の例 serverConf.xml ファイル:
<securityZone allowDebug="false" allowHTTP="false" label="Public Network" name="public">
<subNetwork label="All addresses" mask="*" name="all"/>
<securityZone allowDebug="true" allowHTTP="false" label="Private Network (VPN)"
name="vpn" showErrors="true">
<securityZone allowDebug="true" allowEmptyPassword="true" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)" name="lan"
sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"/>
<subNetwork label="Lan 2" mask="172.16.0.0/12" name="lan2"/>
<subNetwork label="Lan 3" mask="10.0.0.0/8" name="lan3"/>
<subNetwork label="Localhost" mask="127.0.0.1/16" name="locahost"/>
<subNetwork label="Lan (IPv6)" mask="fc00::/7" name="lan6"/>
<subNetwork label="Localhost (IPv6)" mask="::1/128" name="localhost6"/>
</securityZone>
</securityZone>
</securityZone>
ゾーンを定義するすべての権限は次のとおりです。
<login>/<password>
"ゾーン定義では、各属性は true 価値はセキュリティを低下させます。
Message Center を使用する場合、複数の実行インスタンスがある場合は、 sessionTokenOnly 属性が次のように定義されている: true:必要な IP アドレスのみを追加します。 インスタンスの設定について詳しくは、 このドキュメント.
の定義 lan セキュリティゾーン、テクニカルアクセスを定義する IP アドレスマスクを追加できます。 この追加により、サーバーでホストされるすべてのインスタンスにアクセスできます。
<securityZone allowDebug="true" allowEmptyPassword="false" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)" name="lan"
sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"/>
<subNetwork label="Lan 2" mask="172.16.0.0/12" name="lan2"/>
<subNetwork label="Lan 3" mask="10.0.0.0/8" name="lan3"/>
<subNetwork label="Localhost" mask="127.0.0.1/16" name="locahost"/>
<subNetwork label="Lan (IPv6)" mask="fc00::/7" name="lan6"/>
<subNetwork label="Localhost (IPv6)" mask="::1/128" name="localhost6"/>
<!-- Customer internal IPs -->
<subNetwork id="internalNetwork" mask="a.b.c.d/xx"/>
</securityZone>
特定のインスタンスにのみアクセスするオペレーターの場合は、そのインスタンス専用の設定ファイルで IP アドレス範囲を直接定義することをお勧めします。
内 config-<instance>.xml
ファイル:
<securityZone name="public">
...
<securityZone name="vpn">
<subNetwork id="cus1" mask="a.b.c.d/xx"/>
この プロキシ パラメーターは subNetwork 要素:セキュリティゾーンでのプロキシ使用を指定します。
プロキシが参照され、接続がこのプロキシ経由で入る(HTTP X-Forwarded-For ヘッダー経由で表示される)場合、検証されたゾーンはプロキシのクライアントのゾーンではなく、プロキシのクライアントのゾーンになります。
プロキシが設定され、上書き可能な場合(または存在しない場合)は、テスト対象の IP アドレスを偽造できます。
さらに、リレーはプロキシのように生成されます。 したがって、IP アドレス 127.0.0.1 をセキュリティゾーン設定のプロキシのリストに追加できます。
例:" <subnetwork label="Lan 1" mask="192.168.0.0/16" name="lan1" proxy="127.0.0.1,10.100.2.135" />
".
次のような場合が考えられます。
サブネットワークはセキュリティゾーンで直接参照され、プロキシは設定されません。サブネットワークのユーザーは、Adobe Campaignサーバーに直接接続できます。
セキュリティゾーンのサブネットワークに対してプロキシが指定されています。このサブネットワークのユーザーは、このプロキシ経由でAdobe Campaignサーバーにアクセスできます。
プロキシは、セキュリティゾーンのサブネットワークに含まれます。このプロキシを通じてアクセスできるユーザーは、接続元に関係なく、Adobe Campaignサーバーにアクセスできます。
Adobe Campaignサーバーにアクセスする可能性が高いプロキシの IP アドレスは、 <subnetwork>
関係するサブネットワークと第 1 レベルのサブネットワーク <subnetwork name="all"/>
. 例えば、IP アドレスが 10.131.146.102 のプロキシの場合は、次のようになります。
<securityZone allowDebug="false" allowHTTP="false" label="Public Network"
name="public">
<subNetwork label="All addresses" mask="*" name="all"
proxy="10.131.146.102,127.0.0.1, ::1"/>
<securityZone allowDebug="true" allowHTTP="false" label="Private Network (VPN)"
name="vpn" showErrors="true">
<securityZone allowDebug="true" allowEmptyPassword="false" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)"
name="lan" sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan proxy" mask="10.131.193.182" name="lan3"
proxy="10.131.146.102,127.0.0.1, ::1"/>
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"
proxy="127.0.0.1, ::1"/>
</securityZone>
</securityZone>
</securityZone>
ゾーンを定義したら、各オペレーターをいずれかのオペレーターにリンクして、インスタンスにログオンできるようにする必要があります。また、ゾーンで参照されるアドレスやアドレスの範囲に、オペレーターの IP アドレスを含める必要があります。
ゾーンの技術的な設定は、Campaign サーバーの設定ファイルで実行します。 serverConf.xml.
これをおこなう前に、最初に標準搭載のを設定する必要があります セキュリティゾーン ラベルを、 serverConf.xml ファイル。
この設定は、Campaign エクスプローラーでおこないます。
次をクリック: 管理/プラットフォーム/列挙 ノード。
を選択します。 セキュリティゾーン (securityZone) システムの列挙。
サーバーの設定ファイルで定義されたセキュリティゾーンごとに、 追加 」ボタンをクリックします。
内 内部名 フィールドに、 serverConf.xml ファイル。 これは、 @name の属性 <securityzone>
要素。 内部名にリンクされたラベルを ラベルフィールドに入力します。
「OK」をクリックし、変更を保存します。
ゾーンを定義し、 セキュリティゾーン 列挙を設定する場合は、各オペレーターをセキュリティゾーンにリンクする必要があります。
次をクリック: 管理/アクセス管理/オペレーター ノード。
セキュリティゾーンのリンク先のオペレーターを選択し、 編集 タブをクリックします。
次に移動: アクセス権 」タブで、 アクセスパラメーターを編集… リンク。
次からゾーンを選択: 認証済み接続ゾーン ドロップダウンリスト
クリック OK 変更を保存して、これらの変更を適用します。
subNetwork でリバースプロキシが許可されていないことを確認します。許可されている場合は、すべてのトラフィックがこのローカル IP から来ているものとして検出され、信頼されます。
sessionTokenOnly="true" の使用は最小限に抑えます。
可能な場合は、all allowHTTP と showErrors を false に設定し(localhost ではなく)、それらを確認します。
調査、webApp、レポートを作成(実際にはプレビュー)する必要があるマーケティングユーザーまたは管理者が使用する IP に対してのみ、allowDebug を true に設定します。このフラグを使用すると、これらの IP でリレールールが表示され、デバッグできるようになります。
allowEmptyPassword、allowUserPassword、allowSQLInjection は決して true に設定しないでください。これらの属性は、v5 や v6.0 からの移行のためだけにあります。
allowEmptyPassword を使用すると、オペレーターは空のパスワードを設定できます。この属性を使用する場合、すべてのオペレーターに所定の期限までにパスワードを設定するよう通知してください。この期限を経過したら、この属性を false に設定します。
allowUserPassword を使用すると、オペレーターは資格情報をパラメーターとして送信できます(この情報は、Apache、IIS、プロキシでログに記録されます)。この機能は、以前に API の使用を簡素化するために使用されていました。クックブック(または仕様)で、サードパーティのアプリケーションがこれを使用していないかをチェックできます。使用されている場合、API の使用方法を変更して、なるべく早くこの機能を削除するよう通知する必要があります。
allowSQLInjection を使用すると、ユーザーは古い構文を使用した SQL インジェクションを実行できます。できるだけ早く、 このページ を追加して、この属性を false に設定できるようにします。 /nl/jsp/ping.jsp?zones=true を使用すると、セキュリティゾーン設定をチェックできます。このページには、現在の IP のセキュリティ対策のアクティブステータス(これらのセキュリティフラグで計算)が表示されます。
HttpOnly cookie/useSecurityToken:sessionTokenOnly フラグを参照してください。
に追加される IP を最小許可リスト化:標準では、セキュリティゾーンに、プライベートネットワーク用の 3 つの範囲が追加されています。 通常、これらの IP アドレスをすべて使用することはありません。そのため、必要なもののみを保持するようにしてください。
webApp/内部オペレーターを更新して、localhost でのみアクセス可能となるようにしてください。