Configuração das configurações de administração segura para AEM Forms no JEE

Saiba como administrar contas de usuário e serviços que, embora obrigatórios em um ambiente de desenvolvimento privado, não são necessários em um ambiente de produção da AEM Forms no JEE.

Geralmente, os desenvolvedores não usam o ambiente de produção para criar e testar seus aplicativos. Portanto, você deve administrar contas de usuário e serviços que, embora obrigatórios em um ambiente de desenvolvimento privado, não são exigidos em um ambiente de produção.

Este artigo descreve os métodos para reduzir a superfície geral do ataque por meio das opções de administração fornecidas pela AEM Forms no JEE.

Desabilitando o acesso remoto não essencial aos serviços

Depois que o AEM Forms em JEE é instalado e configurado, muitos serviços estão disponíveis para invocação remota em SOAP e Enterprise JavaBeans™ (EJB). O termo remoto, neste caso, refere-se a qualquer chamador que tenha acesso de rede às portas SOAP, EJB ou Action Message Format (AMF) para o servidor de aplicativos.

Embora os serviços AEM Forms em JEE exijam que credenciais válidas sejam passadas para um chamador autorizado, você deve permitir somente acesso remoto aos serviços que precisam ser acessados remotamente. Para obter acessibilidade limitada, você deve reduzir o conjunto de serviços acessíveis remotamente ao mínimo possível para um sistema operacional e, em seguida, habilitar a invocação remota para os serviços adicionais de que precisa.

Os serviços AEM Forms em JEE sempre precisam de pelo menos acesso SOAP. Normalmente, esses serviços são necessários para uso pelo Workbench, mas também incluem serviços que são chamados pelo aplicativo da Web do Workspace.

Conclua este procedimento usando a página da Web Aplicativos e Serviços no Console de administração:

  1. Faça logon no Console de administração digitando o seguinte URL em um navegador da Web:

             https://[host name]:'port'/adminui
    
  2. Clique em Serviços > Aplicativos e serviços > Preferências.

  3. Defina Preferências para visualização de até 200 serviços e pontos finais na mesma página.

  4. Clique em Serviços > Aplicativos e Serviços > Endpoint Management.

  5. Selecione EJB na lista Provedor e clique em Filtro.

  6. Para desativar todos os pontos de extremidade EJB, marque a caixa de seleção ao lado de cada um na lista e clique em Desativar.

  7. Clique em Próximo e repita a etapa anterior para todos os pontos finais EJB. Certifique-se de que o EJB esteja listado na coluna Provedor antes de desativar os pontos de extremidade.

  8. Selecione SOAP na lista Fornecedor e clique em Filtro.

  9. Para remover pontos de extremidade SOAP, marque a caixa de seleção ao lado de cada um na lista e clique em Remover. Não remova os seguintes pontos finais:

    • AuthenticationManagerService
    • DiretoryManagerService
    • JobManager
    • evento_management_service
    • evento_configuration_service
    • ProcessManager
    • TemplateManager
    • RepositoryService
    • TaskManagerService
    • TaskQueueManager
    • TaskManagerQueryService
    • WorkspaceSingleSignOn
    • ApplicationManager
  10. Clique em Avançar e repita a etapa anterior para pontos de extremidade SOAP que não estejam na lista acima. Certifique-se de que SOAP esteja listado na coluna Provedor antes de remover pontos de extremidade.

Desabilitando o acesso anônimo não essencial aos serviços

Alguns serviços de servidor de formulários permitem invocação não autenticada (anônima) para algumas operações. Isso significa que uma ou mais operações expostas pelo serviço podem ser chamadas como qualquer usuário autenticado ou como nenhum usuário autenticado.

  1. Faça logon no console de administração digitando o seguinte URL em um navegador da Web:

             https://[host name]:'port'/adminui
    
  2. Clique em Serviços > Aplicativos e serviços > Gerenciamento de serviços.

  3. Clique no nome do serviço que deseja desativar (por exemplo, AuthenticationManagerService).

  4. Clique na guia Segurança, desmarque Acesso Anônimo Permitido e clique em Salvar.

  5. Complete as etapas 3 e 4 para os seguintes serviços:

    • AuthenticationManagerService
    • EJB
    • E-mail
    • JobManager
    • WatchedFolder
    • UsermanagerUtilService
    • Remoto
    • RepositoryProviderService
    • EMCDocumentumRepositoryProvider
    • IBMFilenetRepositoryProvider
    • FormAugmenter
    • TaskManagerService
    • TaskManagerConnector
    • TaskManagerQueryService
    • TaskQueueManager
    • TaskEndpointManager
    • UserService
    • WorkspaceSearchTemplateService
    • WorkspacePropertyService
    • OutputService
    • FormsService

    Se você pretende expor qualquer um desses serviços para invocação remota, também deve considerar a desativação do acesso anônimo para esses serviços. Caso contrário, qualquer chamador com acesso à rede para este serviço poderá invocar o serviço sem transmitir credenciais válidas.

    O acesso anônimo deve ser desabilitado para quaisquer serviços que não sejam necessários. Muitos serviços internos exigem autenticação anônima para serem ativados, pois eles precisam ser chamados por qualquer usuário potencial no sistema sem serem pré-autorizados.

Alteração do tempo limite global padrão

Os usuários finais podem se autenticar na AEM Forms por meio do Workbench, de aplicativos da Web da AEM Forms ou de aplicativos personalizados que chamam os serviços do servidor AEM Forms. Uma configuração de tempo limite global é usada para especificar por quanto tempo esses usuários podem interagir com o AEM Forms (usando uma Asserção baseada em SAML) antes de serem forçados a reautenticar. A configuração padrão é de duas horas. Em um ambiente de produção, a quantidade de tempo precisa ser reduzida para o número mínimo de minutos aceitáveis.

Minimizar o limite de tempo de reautenticação

  1. Faça logon no console de administração digitando o seguinte URL em um navegador da Web:

             https://[host name]:'port'/adminui
    
  2. Clique em Configurações > Gerenciamento de usuários > Configuração > Importar e exportar arquivos de configuração.

  3. Clique em Exportar para produzir um arquivo config.xml com as configurações existentes do AEM Forms.

  4. Abra o arquivo XML em um editor e localize a seguinte entrada:

    <entry key=”assertionValidityInMinutes” value=”120”/>

  5. Altere o valor para qualquer número maior que 5 (em minutos) e salve o arquivo.

  6. No console de administração, navegue até a página Importar e exportar arquivos de configuração.

  7. Digite o caminho para o arquivo config.xml modificado ou clique em Procurar para navegar até ele.

  8. Clique em Importar para carregar o arquivo config.xml modificado e clique em OK.

Nesta página