Definição das configurações de administração segura para AEM Forms no JEE

Saiba como administrar contas de usuário e serviços que, embora necessários em um ambiente de desenvolvimento privado, não são necessários em um ambiente de produção do AEM Forms no JEE.

Geralmente, os desenvolvedores não usam o ambiente de produção para criar e testar seus aplicativos. Portanto, você deve administrar contas de usuário e serviços que, embora necessários em um ambiente de desenvolvimento privado, não são necessários em um ambiente de produção.

Este artigo descreve métodos para reduzir a superfície geral dos ataques por meio de opções de administração fornecidas pelo AEM Forms no JEE.

Desabilitação do acesso remoto não essencial a serviços

Depois que o AEM Forms no JEE é instalado e configurado, muitos serviços estão disponíveis para invocação remota sobre SOAP e Enterprise JavaBeans™ (EJB). O termo remoto, neste caso, refere-se a qualquer chamador que tenha acesso de rede às portas SOAP, EJB ou Formato de Mensagem de Ação (AMF) para o servidor de aplicativos.

Embora a AEM Forms em serviços JEE exija que credenciais válidas sejam passadas para um chamador autorizado, você deve permitir somente acesso remoto aos serviços que você precisa acessar remotamente. Para alcançar acessibilidade limitada, você deve reduzir o conjunto de serviços acessíveis remotamente ao mínimo possível para um sistema operacional e, em seguida, habilitar a invocação remota para os serviços adicionais de que precisa.

A AEM Forms em serviços JEE sempre precisa de pelo menos acesso SOAP. Normalmente, esses serviços são necessários para o uso do Workbench, mas também incluem serviços que são chamados pelo aplicativo Web do Workspace.

Conclua este procedimento usando a página da Web Aplicativos e Serviços no Console de Administração:

  1. Faça logon no Console de administração digitando o seguinte URL em um navegador da Web:

             https://[host name]:'port'/adminui
    
  2. Clique em Services > Applications and Services > Preferences.

  3. Defina as Preferências para exibir até 200 serviços e endpoints na mesma página.

  4. Clique em Services > Applications and Services > Endpoint Management.

  5. Selecione EJB na lista Provedor e clique em Filtro.

  6. Para desativar todos os pontos de extremidade EJB, marque a caixa de seleção ao lado de cada um na lista e clique em Desativar.

  7. Clique em Next e repita a etapa anterior para todos os pontos de extremidade EJB. Certifique-se de que o EJB esteja listado na coluna Provedor antes de desativar os pontos de extremidade.

  8. Selecione SOAP na lista Provedor e clique em Filtro.

  9. Para remover pontos de extremidade SOAP, marque a caixa de seleção ao lado de cada um na lista e clique em Remove. Não remova os seguintes endpoints:

    • AuthenticationManagerService
    • DiretoryManagerService
    • JobManager
    • event_management_service
    • event_configuration_service
    • ProcessManager
    • TemplateManager
    • RepositoryService
    • TaskManagerService
    • GerenciadorDeFilasDeTarefas
    • TaskManagerQueryService
    • WorkspaceSingleSignOn
    • ApplicationManager
  10. Clique em Next e repita a etapa anterior para pontos de extremidade SOAP que não estão na lista acima. Certifique-se de que o SOAP esteja listado na coluna Provedor antes de remover pontos de extremidade.

Desabilitação do acesso anônimo não essencial a serviços

Alguns serviços do servidor de formulários permitem a invocação não autenticada (anônima) para algumas operações. Isso significa que uma ou mais operações expostas pelo serviço podem ser chamadas como qualquer usuário autenticado ou como nenhum usuário autenticado.

  1. Faça logon no console de administração digitando o seguinte URL em um navegador da Web:

             https://[host name]:'port'/adminui
    
  2. Clique em Services > Applications and Services > Service Management.

  3. Clique no nome do serviço que deseja desativar (por exemplo, AuthenticationManagerService).

  4. Clique na guia Segurança, desmarque Acesso Anônimo Permitido e clique em Salvar.

  5. Complete as etapas 3 e 4 para os seguintes serviços:

    • AuthenticationManagerService
    • EJB
    • E-mail
    • JobManager
    • WatchedFolder
    • UsermanagerUtilService
    • Remoto
    • RepositoryProviderService
    • EMCDocumentumRepositoryProvider
    • IBMFilenetRepositoryProvider
    • FormAugmenter
    • TaskManagerService
    • TaskManagerConnector
    • TaskManagerQueryService
    • GerenciadorDeFilasDeTarefas
    • TaskEndpointManager
    • UserService
    • WorkspaceSearchTemplateService
    • WorkspacePropertyService
    • OutputService
    • FormsService

    Se você pretende expor qualquer um desses serviços para invocação remota, também deve considerar desativar o acesso anônimo para esses serviços. Caso contrário, qualquer chamador com acesso de rede a este serviço poderá invocar o serviço sem transmitir credenciais válidas.

    O acesso anônimo deve ser desativado para quaisquer serviços que não sejam necessários. Muitos serviços internos exigem que a autenticação anônima seja ativada porque eles precisam ser invocados por qualquer usuário no sistema sem ser pré-autorizado.

Alteração do tempo limite global padrão

Os usuários finais podem autenticar para o AEM Forms por meio do Workbench, de aplicativos da Web AEM Forms ou de aplicativos personalizados que chamam os serviços do servidor da AEM Forms. Uma configuração de tempo limite global é usada para especificar por quanto tempo esses usuários podem interagir com o AEM Forms (usando uma Asserção baseada em SAML) antes de serem forçados a reautenticar. A configuração padrão é de duas horas. Em um ambiente de produção, a quantidade de tempo precisa ser reduzida para o número mínimo de minutos aceitáveis.

Minimizar o limite de tempo de reautenticação

  1. Faça logon no console de administração digitando o seguinte URL em um navegador da Web:

             https://[host name]:'port'/adminui
    
  2. Clique em Settings > User Management > Configuration > Import And Export Configuration Files.

  3. Clique em Exportar para produzir um arquivo config.xml com as configurações existentes do AEM Forms.

  4. Abra o arquivo XML em um editor e localize a seguinte entrada:

    <entry key=”assertionValidityInMinutes” value=”120”/>

  5. Altere o valor para qualquer número maior que 5 (em minutos) e salve o arquivo.

  6. No console de administração, navegue até a página Importar e exportar arquivos de configuração .

  7. Insira o caminho para o arquivo config.xml modificado ou clique em Procurar para navegar até ele.

  8. Clique em Importar para carregar o arquivo config.xml modificado e clique em OK.

Nesta página