Configurazione delle impostazioni di amministrazione protetta per i AEM Forms in JEE

Scoprite come amministrare gli account utente e i servizi che, sebbene richiesti in un ambiente di sviluppo privato, non sono richiesti in un ambiente di produzione di AEM Forms su JEE.

In genere, gli sviluppatori non utilizzano l'ambiente di produzione per creare e testare le proprie applicazioni. Pertanto, è necessario amministrare gli account utente e i servizi che, sebbene richiesti in un ambiente di sviluppo privato, non sono richiesti in un ambiente di produzione.

Questo articolo descrive i metodi per ridurre la superficie di attacco globale attraverso le opzioni di amministrazione fornite dai AEM Forms su JEE.

Disattivazione dell'accesso remoto non essenziale ai servizi

Dopo l'installazione e la configurazione di AEM Forms su JEE, molti servizi sono disponibili per la chiamata remota attraverso SOAP e Enterprise JavaBeans™ (EJB). Il termine remoto, in questo caso, si riferisce a qualsiasi chiamante che dispone dell'accesso di rete alle porte SOAP, EJB o AMF (Action Message Format) per il server dell'applicazione.

Sebbene i AEM Forms sui servizi JEE richiedano il passaggio di credenziali valide per un chiamante autorizzato, è consigliabile consentire l'accesso remoto solo ai servizi che devono essere accessibili in remoto. Per ottenere un'accessibilità limitata, è necessario ridurre al minimo il set di servizi accessibili in remoto per un sistema funzionante e quindi abilitare la chiamata in remoto per i servizi aggiuntivi necessari.

I AEM Forms sui servizi JEE richiedono sempre almeno l'accesso SOAP. Tali servizi sono in genere richiesti per l'utilizzo da parte di Workbench ma includono anche i servizi richiamati dall'applicazione Web Workspace.

Completa questa procedura utilizzando la pagina Web Applicazioni e servizi nella console di amministrazione:

  1. Accedete alla console di amministrazione digitando il seguente URL in un browser Web:

             https://[host name]:'port'/adminui
    
  2. Fare clic su Servizi > Applicazioni e servizi > Preferenze.

  3. Impostate Preferenze per visualizzare fino a 200 servizi e endpoint sulla stessa pagina.

  4. Fai clic su Servizi > Applicazioni e servizi > Gestione ​endpoint.

  5. Selezionate EJB dall'elenco Fornitori , quindi fate clic su Filtro.

  6. Per disattivare tutti gli endpoint EJB, selezionate la casella di controllo accanto a ciascuno nell’elenco e fate clic su Disattiva.

  7. Fate clic su Avanti e ripetete il passaggio precedente per tutti gli endpoint EJB. Prima di disattivare gli endpoint, accertatevi che EJB sia elencato nella colonna Provider.

  8. Selezionare SOAP dall'elenco Fornitori , quindi fare clic su Filtro.

  9. Per rimuovere gli endpoint SOAP, selezionare la casella di controllo accanto a ciascuno nell'elenco e fare clic su Rimuovi. Non rimuovere i seguenti endpoint:

    • AuthenticationManagerService
    • DirectoryManagerService
    • JobManager
    • event_management_service
    • event_configuration_service
    • ProcessManager
    • TemplateManager
    • RepositoryService
    • TaskManagerService
    • TaskQueueManager
    • TaskManagerQueryService
    • WorkspaceSingleSignOn
    • ApplicationManager
  10. Fare clic su Avanti e ripetere il passaggio precedente per gli endpoint SOAP che non si trovano nell'elenco precedente. Prima di rimuovere gli endpoint, verificate che SOAP sia elencato nella colonna Provider.

Disattivazione dell'accesso anonimo non essenziale ai servizi

Alcuni servizi server moduli consentono chiamate non autenticate (anonime) per alcune operazioni. Ciò significa che una o più operazioni esposte dal servizio possono essere invocate come qualsiasi utente autenticato o come nessun utente autenticato.

  1. Accedete alla console di amministrazione digitando il seguente URL in un browser Web:

             https://[host name]:'port'/adminui
    
  2. Fai clic su Servizi > Applicazioni e servizi > Gestione dei servizi.

  3. Fare clic sul nome del servizio che si desidera disattivare (ad esempio, AuthenticationManagerService).

  4. Fate clic sulla scheda ​Protezione, deselezionate Accesso anonimo consentito e fate clic su Salva.

  5. Completa i passaggi 3 e 4 per i seguenti servizi:

    • AuthenticationManagerService
    • EJB
    • E-mail
    • JobManager
    • WatchedFolder
    • UsermanagerUtilService
    • Remoto
    • RepositoryProviderService
    • EMCDocumentumRepositoryProvider
    • IBMFilenetRepositoryProvider
    • FormAugmenter
    • TaskManagerService
    • TaskManagerConnector
    • TaskManagerQueryService
    • TaskQueueManager
    • TaskEndpointManager
    • UserService
    • WorkspaceSearchTemplateService
    • WorkspacePropertyService
    • OutputService
    • FormsService

    Se si desidera esporre uno di questi servizi per la chiamata remota, è consigliabile disattivare l'accesso anonimo per questi servizi. In caso contrario, qualsiasi chiamante con accesso di rete a questo servizio potrebbe richiamare il servizio senza passare credenziali valide.

    L'accesso anonimo deve essere disattivato per tutti i servizi non necessari. Molti servizi interni richiedono l'abilitazione dell'autenticazione anonima perché devono essere richiamati da qualsiasi utente potenzialmente presente nel sistema senza essere preautorizzati.

Modifica del timeout globale predefinito

Gli utenti finali possono eseguire l'autenticazione ai AEM Forms tramite Workbench, applicazioni Web AEM Forms o applicazioni personalizzate che richiamano i servizi server AEM Forms. Un'impostazione di timeout globale viene utilizzata per specificare per quanto tempo gli utenti possono interagire con i AEM Forms (utilizzando un'associazione basata su SAML) prima di essere costretti a eseguire nuovamente l'autenticazione. L’impostazione predefinita è due ore. In un ambiente di produzione, il tempo deve essere ridotto al numero minimo di minuti accettabile.

Limite minimo di tempo per la riautenticazione

  1. Accedete alla console di amministrazione digitando il seguente URL in un browser Web:

             https://[host name]:'port'/adminui
    
  2. Fate clic su Impostazioni > Gestione utente > Configurazione > Importa ed esporta file di configurazione.

  3. Fate clic su Esporta per generare un file config.xml con le impostazioni AEM Forms esistenti.

  4. Aprite il file XML in un editor e individuate la voce seguente:

    <entry key=”assertionValidityInMinutes” value=”120”/>

  5. Modificate il valore in un numero qualsiasi maggiore di 5 (in minuti) e salvate il file.

  6. Nella console di amministrazione, andate alla pagina Importa ed esporta file di configurazione.

  7. Inserite il percorso del file config.xml modificato oppure fate clic su Sfoglia per individuarlo.

  8. Fate clic su Importa per caricare il file config.xml modificato, quindi fate clic su OK.

In questa pagina