Configurazione delle impostazioni di amministrazione sicura per AEM Forms su JEE

Scopri come amministrare gli account utente e i servizi che, sebbene richiesti in un ambiente di sviluppo privato, non sono necessari in un ambiente di produzione di AEM Forms su JEE.

In genere, gli sviluppatori non utilizzano l’ambiente di produzione per creare e testare le applicazioni. Pertanto, devi amministrare gli account utente e i servizi che, sebbene richiesti in un ambiente di sviluppo privato, non sono necessari in un ambiente di produzione.

Questo articolo descrive i metodi per ridurre la superficie di attacco complessiva attraverso le opzioni di amministrazione fornite da AEM Forms su JEE.

Disabilitazione dell’accesso remoto non essenziale ai servizi

Dopo l'installazione e la configurazione di AEM Forms su JEE, molti servizi sono disponibili per la chiamata remota tramite SOAP e Enterprise JavaBeans™ (EJB). Il termine remoto, in questo caso, fa riferimento a qualsiasi chiamante con accesso di rete alle porte SOAP, EJB o AMF (Action Message Format) per l'application server.

Anche se i servizi AEM Forms su JEE richiedono la trasmissione di credenziali valide per un chiamante autorizzato, è consigliabile consentire solo l'accesso remoto ai servizi che devono essere accessibili in remoto. Per ottenere un'accessibilità limitata, è necessario ridurre al minimo il set di servizi accessibili in remoto per un sistema funzionante e quindi abilitare la chiamata remota per i servizi aggiuntivi necessari.

AEM Forms sui servizi JEE richiede sempre almeno l’accesso SOAP. Questi servizi sono generalmente necessari per l’utilizzo da parte di Workbench, ma includono anche i servizi chiamati dall’applicazione Web Workspace.

Completa questa procedura utilizzando la pagina web Applicazioni e servizi in Admin Console:

  1. Accedi alla console di amministrazione digitando il seguente URL in un browser web:

             https://[host name]:'port'/adminui
    
  2. Fai clic su Servizi > Applicazioni e servizi > Preferenze.

  3. Imposta Preferenze per visualizzare fino a 200 servizi e endpoint sulla stessa pagina.

  4. Fai clic su Servizi > Applicazioni e servizi > Gestione endpoint.

  5. Seleziona EJB dall'elenco Provider, quindi fai clic su Filtro.

  6. Per disabilitare tutti gli endpoint EJB, seleziona la casella di controllo accanto a ciascuno nell'elenco e fai clic su Disattiva.

  7. Fai clic su Avanti e ripeti il passaggio precedente per tutti gli endpoint EJB. Assicurati che EJB sia elencato nella colonna Provider prima di disabilitare gli endpoint .

  8. Selezionare SOAP dall'elenco Provider, quindi fare clic su Filtro.

  9. Per rimuovere gli endpoint SOAP, selezionare la casella di controllo accanto a ciascuno nell'elenco e fare clic su Rimuovi. Non rimuovere i seguenti endpoint:

    • AuthenticationManagerService
    • DirectoryManagerService
    • JobManager
    • event_management_service
    • event_configuration_service
    • ProcessManager
    • TemplateManager
    • RepositoryService
    • TaskManagerService
    • TaskQueueManager
    • TaskManagerQueryService
    • Area di lavoroSingleSignOn
    • ApplicationManager
  10. Fare clic su Successivo e ripetere il passaggio precedente per gli endpoint SOAP che non si trovano nell'elenco precedente. Prima di rimuovere gli endpoint, verificare che SOAP sia elencato nella colonna Provider.

Disabilitazione dell’accesso anonimo non essenziale ai servizi

Alcuni servizi server di Forms consentono chiamate non autenticate (anonime) per alcune operazioni. Ciò significa che una o più operazioni esposte dal servizio possono essere richiamate come qualsiasi utente autenticato o come nessun utente autenticato.

  1. Accedi alla console di amministrazione digitando il seguente URL in un browser web:

             https://[host name]:'port'/adminui
    
  2. Fai clic su Servizi > Applicazioni e servizi > Gestione dei servizi.

  3. Fare clic sul nome del servizio che si desidera disattivare (ad esempio, AuthenticationManagerService).

  4. Fai clic sulla scheda Sicurezza, deseleziona Accesso anonimo consentito e fai clic su Salva.

  5. Completa i passaggi 3 e 4 per i seguenti servizi:

    • AuthenticationManagerService
    • EJB
    • E-mail
    • JobManager
    • WatchedFolder
    • UsermanagerUtilService
    • Remoto
    • RepositoryProviderService
    • EMCDocumentumRepositoryProvider
    • IBMFilenetRepositoryProvider
    • FormAugmenter
    • TaskManagerService
    • ConnettoreGestioneAttività
    • TaskManagerQueryService
    • TaskQueueManager
    • TaskEndpointManager
    • UserService
    • WorkspaceSearchTemplateService
    • WorkspacePropertyService
    • OutputService
    • FormsService

    Se desideri esporre uno di questi servizi per la chiamata remota, dovresti anche considerare la possibilità di disabilitare l'accesso anonimo per questi servizi. In caso contrario, qualsiasi chiamante con accesso di rete a questo servizio può richiamare il servizio senza passare credenziali valide.

    L’accesso anonimo deve essere disattivato per tutti i servizi non necessari. Molti servizi interni richiedono l’abilitazione dell’autenticazione anonima perché devono essere richiamati da qualsiasi utente potenzialmente presente nel sistema senza essere preautorizzati.

Modifica del timeout globale predefinito

Gli utenti finali possono eseguire l’autenticazione in AEM Forms tramite Workbench, le applicazioni web AEM Forms o le applicazioni personalizzate che richiamano i servizi server AEM Forms. Viene utilizzata un’impostazione di timeout globale per specificare per quanto tempo questi utenti possono interagire con AEM Forms (utilizzando un’asserzione basata su SAML) prima di essere costretti a ripetere l’autenticazione. L'impostazione predefinita è di due ore. In un ambiente di produzione, il tempo deve essere ridotto al numero minimo di minuti accettabile.

Limite minimo di tempo per la riautenticazione

  1. Accedi alla console di amministrazione digitando il seguente URL in un browser web:

             https://[host name]:'port'/adminui
    
  2. Fai clic su Impostazioni > Gestione utente > Configurazione > Importa ed esporta file di configurazione.

  3. Fai clic su Esporta per produrre un file config.xml con le impostazioni AEM Forms esistenti.

  4. Apri il file XML in un editor e individua la voce seguente:

    <entry key=”assertionValidityInMinutes” value=”120”/>

  5. Modifica il valore in un numero maggiore di 5 (in minuti) e salva il file.

  6. Nella console di amministrazione, passa alla pagina Importa ed esporta file di configurazione.

  7. Immettere il percorso del file config.xml modificato oppure fare clic su Sfoglia per individuarlo.

  8. Fai clic su Importa per caricare il file config.xml modificato, quindi fai clic su OK.

In questa pagina