Guía de AEM 6.5 Forms
Notas de la versión
- Notas de la versión
- Resumen de las nuevas funciones
- Funciones en desuso
Introducción
- Introducción a AEM Forms
- Introducción a la creación de formularios adaptables
- Introducción a las comunicaciones interactivas
- Introducción a la administración de formularios
- Introducción al servicio de conversión automatizada de formularios
- Tutorial: Crear el primer formulario adaptable
- Tutorial: Crear la primera comunicación interactiva
- Colaterales de referencia de AEM Forms
Instalación y configuración de AEM Forms
- Arquitectura y topologías de implementación para AEM Forms
- Selección de un tipo de persistencia para una instalación de AEM Forms
- Instalación de AEM Forms en OSGi
- Instalar AEM Forms en JEE
- Configurar AEM Forms
Actualizar AEM Forms
- Rutas de actualización disponibles
- Actualización de AEM Forms en OSGi
- Actualizar AEM Forms en JEE
Administrar AEM Forms
- AEM Forms en grupos y privilegios OSGi
- Crear nuevas carpetas para aplicar categorías a los formularios
- Búsqueda de formularios y recursos
- Administrar metadatos de formulario
- Descargar una plantilla de formulario XFA o un PDF
- Eliminación de formularios y recursos relacionados
- Obtención de documentos XDP y PDF en AEM Forms
- Importación y exportación de recursos a AEM Forms
- Compatibilidad con nuevas configuraciones regionales para la localización de formularios adaptables
- Gestión de datos de usuario
- Endurecimiento del entorno de AEM Forms
Modelo de datos de formulario
- Introducción a la integración de datos de AEM Forms
- Configuración de fuentes de datos
- Configuración de datos de Microsoft Dynamics
- Crear modelo de datos de formulario
- Trabajo con el modelo de datos de formulario
- Uso del modelo de datos de formulario
Forms adaptable: creación básica
- Prácticas recomendadas para usar formularios adaptables
- Creación de un formulario adaptable
- Fragmentos de formulario adaptables
- Configuración de la acción Enviar
- Uso de CAPTCHA en formularios adaptables
- Palabras clave de formularios adaptables
- Tablas en formularios adaptables
- Guardado automático de un formulario adaptable
- Configuración de la página de redireccionamiento
- Creación de formularios adaptables accesibles
- Creación de formularios con secciones repetibles
- Incrustar un formulario adaptable o una comunicación interactiva en AEM página de sitios
- Incrustar formulario adaptable en una página web externa
- Estilo en línea de los componentes de formulario adaptables
- Introducción a la secuencia de formularios en varios pasos
- Funciones de diseño de formularios adaptables
- Texto de marcador de posición en AEM Forms
- Vista previa de un formulario
- Reutilización de formularios adaptables
- Componente separador en formularios adaptables
- Aplicar firmas electrónicas a un formulario utilizando firmas de anotaciones
- Atajos de teclado de AEM Forms
- Asociación de revisores de envío con un formulario
- Creación de ayuda en contexto para campos de formulario
- Uso del modo Diseño para cambiar el tamaño de los componentes
Forms adaptable: creación avanzada
- Creación de formularios adaptables mediante el esquema JSON
- Creación de formularios adaptables mediante el esquema XML
- Uso de Adobe Sign en un formulario adaptable
- Creación y uso de temas
- Editor de reglas de formularios adaptables
- API para invocar el servicio del modelo de datos de formulario desde formularios adaptables
- Envío asíncrono de formularios adaptables
- Creación de un formulario adaptable utilizando un conjunto de formularios adaptables
- Plantillas de formulario adaptables
- Expresiones de formulario adaptables
- Generar documento de registro para formularios adaptables
- Mejorar el rendimiento de los formularios grandes con carga diferida
- Rellenar previamente campos de formulario adaptables
- Uso de expresiones SOM en formularios adaptables
- Adición de información de datos de usuario a metadatos de envío de formulario
- Compatibilidad con XFA en formularios adaptables basados en XDP
- Cambio del contenido Página cero en Designer
- Conceder acceso al editor de reglas a determinados grupos de usuarios
- Uso de AEM flujo de trabajo de traducción para localizar formularios adaptables y documento de registro
- Automatizar las pruebas de formularios adaptables
- Construcciones de estilo para formularios adaptables
- Sincronización de Forms adaptable con plantillas de formulario XFA
- Integración de Adobe Sign con AEM Forms
- Creación y administración de revisiones para recursos en formularios
- Incrustar un formulario adaptable o una comunicación interactiva en una aplicación de una sola página de AEM Sites
- Mensajes de error de validación estándar Forms adaptable
Comunicaciones interactivas
- Introducción a la IU de creación de Interactive Communication
- Crear una comunicación interactiva
- Uso de gráficos en Interactive Communications
- Textos en comunicaciones interactivas
- Condiciones de las comunicaciones interactivas
- Preparación y envío de comunicación interactiva mediante la interfaz de usuario del agente
- Canal de impresión y canal web
- Propiedades de configuración de Interactive Communications
- Generación de varias comunicaciones interactivas
- Uso del modo Diseño para cambiar el tamaño de los componentes
Flujos de trabajo
- Flujo de trabajo centrado en Forms en OSGi
- Flujo de trabajo centrado en Forms en OSGi: referencia de los pasos
- Seleccionar dinámicamente un usuario o grupo para los pasos de flujo de trabajo centrados en AEM Forms
- Acciones y capacidades de los flujos de trabajo AEM centrados en formularios en los flujos de trabajo OSGi y AEM Forms JEE
- Iniciar las API de servicios de documentos desde AEM flujo de trabajo
- Inicio de sesión en flujos de trabajo de AEM Forms
- Variables en flujos de trabajo AEM
- Compartir y solicitar acceso a los elementos de la bandeja de entrada de un usuario
- Configurar fuera de Office
AEM Forms Workspace
- Introducción al espacio de trabajo de AEM Forms
- Uso del espacio de trabajo de AEM Forms
- Arquitectura de AEM Forms Workspace
- Funciones del espacio de trabajo de AEM Forms no disponibles en el espacio de trabajo de Flex
- Funciones del espacio de trabajo de Flex no disponibles en el espacio de trabajo de AEM Forms
- Interacción con la red troncal
- Descripción de los componentes reutilizables
- Detalles del documento para el procesador
- Integración de componentes de espacio de trabajo de AEM Forms en aplicaciones web
- Nuevo servicio de renderización y envío
- Explicación de la estructura de carpetas
- Integración de aplicaciones de terceros en el espacio de trabajo de AEM Forms
- Descripción del objeto JSON del espacio de trabajo de AEM Forms
- Introducción a Personalización de AEM espacio de trabajo del formulario
- Pasos genéricos para la personalización del espacio de trabajo de AEM Forms
- Cambio de la configuración regional de la interfaz de usuario del espacio de trabajo de AEM Forms
- Creación de una nueva pantalla de inicio de sesión
- Personalización de cuadros de diálogo de error
- Personalización de pestañas para una tarea
- Personalización de la página de detalles de la tarea
- Personalización de la lista de instancias de proceso
- Personalización de acciones de tarea
- Visualización de datos adicionales en la lista de tareas pendientes
- Obtención de variables de tarea en la URL de resumen
- Personalización de imágenes utilizadas en acciones de ruta
- Minificación de los archivos JavaScript
- Personalización de las tablas de seguimiento
- Actualización del vínculo a la documentación
- Uso de conjuntos de formularios en el espacio de trabajo de AEM Forms
- API utilizadas en el espacio de trabajo de AEM Forms
- Inicio de un nuevo proceso con datos de proceso existentes en el espacio de trabajo de AEM Forms
- Alojamiento de dos instancias de espacio de trabajo de AEM Forms en un servidor
- Cambio del esquema de colores de la interfaz
- Cambio de la fuente en la interfaz
- Cambio del logotipo de la organización para la promoción de la marca
- Visualización de información en el panel Resumen de tareas
- Visualización del avatar del usuario
- Introducción al espacio de trabajo de AEM Forms
- Administración de tareas en una jerarquía organizativa mediante la vista Administrador
- Inicio de procesos
- Seguimiento de procesos
- Inicio de sesión único y controladores de tiempo de espera
- Uso de un formulario adaptable en HTML Workspace
- Integración de AEM espacio de trabajo de formularios con Microsoft Office SharePoint Server
- Uso de listas de tareas pendientes
- Directrices para la resolución de problemas del espacio de trabajo de AEM Forms
aplicación AEM Forms
- Introducción a la aplicación de AEM Forms
- Configuración del entorno para la aplicación AEM Forms
- Configuración del proyecto Xcode y compilación de la aplicación iOS
- Creación de una aplicación segura de AEM Forms para iOS
- Configurar el proyecto de Visual Studio y crear la aplicación de Windows
- Configure el proyecto de Android Studio y cree la aplicación de Android.
- Creación de la aplicación AEM Forms Android
- Distribuir aplicación de AEM Forms
- Personalización de gestos
- Personalización de promoción de la marca
- Personalización de temas
- Inicio de sesión en la aplicación AEM Forms
- Pantalla principal
- Sincronización de la aplicación
- Uso de un formulario
- Uso de puntos de inicio
- Apertura de una tarea
- Guardado de una tarea o formulario como borrador
- Uso del guardado automático en la aplicación de AEM Forms
- Guardar formularios como plantillas
- Adición de archivos adjuntos
- Trabajo en modo sin conexión
- Actualización de la configuración general
- Resolución de problemas de la aplicación AEM Forms
Formularios HTML5
- Introducción a los formularios de HTML5
- Introducción a los formularios HTML5
- Arquitectura de los formularios HTML5
- Diferenciación de características entre formularios HTML5 y PDF forms
- Preguntas más frecuentes para formularios HTML5
- Diseño de plantillas de formulario para formularios HTML5
- Prácticas recomendadas para formularios HTML5
- Diseño de formularios HTML5 accesibles
- Generar previsualización de HTML5 de un formulario XDP
- Representación de la plantilla de formulario para formularios HTML5
- Activación de archivos adjuntos en un formulario HTML5
- proxy de servicio de formularios HTML5
- Optimización de formularios HTML5
- Lectores de pantalla para formularios HTML5
- Creación de un perfil personalizado para formularios HTML5
- Idiomas de derecha a izquierda en formularios HTML5
- Integración de Form Bridge con el portal personalizado para formularios HTML5
- Crear apariciones personalizadas en formularios HTML5
- Cambio de los estilos predeterminados de los formularios HTML5
- Compatibilidad con cláusula de imagen para formularios HTML5
- Crear tablas complejas accesibles en formularios HTML5
- Creación de estilos CSS para formularios HTML5
- Personalización de mensajes de error para formularios HTML5
- Guardado de un formulario de HTML 5 como borrador
- Habilitar el registro para formularios HTML5
- Depuración de formularios HTML5
- Compatibilidad con secuencias de comandos para formularios HTML5
- Conjunto de formularios en AEM Forms
Cartas y correspondencias
- Información general sobre la gestión de correspondencia
- Diseño
- Diccionario de datos
- Fragmentos de documento
- Crear carta
- Crear correspondencia
- Funciones remotas en el Generador de expresiones
- Administrar imágenes de firma del agente
- Procesamiento posterior de cartas y comunicaciones interactivas
- Agregar una acción personalizada a la vista Listado de activos
- Añadir acción/botón personalizado en la IU Crear correspondencia
- Agregar propiedades personalizadas a los recursos de Gestión de correspondencia
- Personalización de la IU para crear correspondencia
- Personalizar editor de texto
- Gestión de correspondencia: Resolución de problemas
- API para acceder a instancias de carta
- Integración de la IU Crear correspondencia con su portal personalizado
- Caracteres especiales personalizados en la gestión de correspondencia
- Marca de agua personalizada en la vista previa del PDF de letras
- Configuración de una solución de Gestión de Correspondencia
- Condición y repetición en línea en Interactive Communications y letras
- Fragmentos de documento
- Propiedades de configuración de la gestión de correspondencia
Integración de AEM Forms con las soluciones de Experience Cloud
- Crear experiencias segmentadas en AEM Forms
- Medir y mejorar la eficacia y la conversión de formularios
- Configuración de análisis e informes
- Ver y comprender los informes de análisis de AEM Forms
- Crear y administrar pruebas A/B para formularios adaptables
Publicar y procesar AEM Forms
- Introducción a la publicación de formularios en un portal
- Ejemplo para integrar el componente Borradores y envíos con la base de datos
- Configuración de servicios de almacenamiento para borradores y envíos
- Administrar aplicaciones y tareas de Forms en AEM bandeja de entrada
- Carpeta vigilada en AEM Forms
- Componente Borradores y presentaciones
- Incrustación de un componente de vínculo en una página
- Publicación y cancelación de la publicación de formularios y documentos
- Listado de formularios en una página web mediante API
- Acceso y cumplimentación de formularios publicados
- Envío de un acuse de recibo de envío de formulario por correo electrónico
- Crear o configurar una carpeta vigilada
- Uso de plantillas de correo electrónico personalizadas en un paso Asignar tarea
- Usar metadatos en una notificación por correo electrónico
Forms Portal
- Personalización de plantillas para componentes del portal de formularios
- Habilitación de componentes del portal de formularios
- Creación de una página de portal de formularios
- API para trabajar con formularios enviados en el portal de formularios
- Almacenamiento personalizado para borradores y componentes de envíos
Servicios de documento
- Descripción general de AEM Document Services
- Servicio de Forms
- Servicio de salida
- Servicio ConvertPDF
- Servicio de Forms con códigos de barras
- Uso del servicio Assembler
- Uso de HSM para firmar o certificar documentos digitalmente
- Uso de AEM Document Services mediante programación
- Uso de la API sendToPrinter
Seguridad de los documentos
- Ofertas de seguridad de documentos
- Habilitar AEM para buscar documentos PDF protegidos de seguridad de documentos
- Reader que amplía documentos de PDF protegidos por políticas utilizando la Biblioteca de Protección Portátil
- Habilitar AEM para buscar documentos PDF protegido de seguridad de documentos y documentos de Microsoft Office
- Protect un documento en nombre de otro usuario
Forms Designer
- Uso de Designer
- Tutoriales de inicio rápido de Designer
- Muestras de Designer
- Conceptos básicos de secuencias de comandos en Designer
- Referencia de secuencias de comandos en Designer
- Referencia de FormCalc de Designer
- Uso de la firma manuscrita en formularios HTML5
Personalizar AEM Forms
- Marco de aspecto para formularios adaptables y HTML5
- Creación de una plantilla de formulario adaptable personalizada
- Creación de componentes de diseño personalizados para formularios adaptables
- Adición de acciones personalizadas a elementos de lista de formularios
- Personalización de la presentación y la colocación de los mensajes de error de un formulario adaptable
- Creación de una acción de barra de herramientas personalizada
- Personalización del seguimiento de eventos de formulario
- Crear aspectos personalizados para campos de formulario adaptables
- Personalización de los servicios de datos Borrador y Envío
- Rellenado dinámico de listas desplegables
- Escritura de una acción de envío personalizada para formularios adaptables
- Creación de un diseño de barra de herramientas personalizado
- Visualización de componentes basados en la plantilla utilizada
- Creación de temas de formularios adaptables personalizados
Informes de transacciones
- Información general sobre los informes de transacciones
- Visualización y comprensión de informes de transacciones
- API facturables de informes de transacciones
- Registrar una transacción para implementaciones personalizadas
Ayuda del administrador para AEM Forms en JEE
- Introducción
  - Configuración general de AEM Forms
  - Actualizar el tipo de licencia para la implementación
- Configuración y administración de dominios
  - Adición de dominios
  - Eliminar un dominio
  - Configuración del bloqueo de cuentas
  - Edición y conversión de dominios existentes
  - Configuración de proveedores de autenticación
  - Sincronización de directorios
  - Configuración de directorios
- Configuración de la administración de usuarios
  - Cambiar el orden de evaluación para la autenticación
  - Configuración de la contraseña de enlace LDAP
  - Configuración de AEM formularios para recuperar previamente información de dominio
  - Configuración de la autenticación basada en certificados
  - Configuración de la configuración del proveedor de servicios SAML
  - Activación del inicio de sesión único en AEM formularios
  - Configuración de la administración de usuarios para un servidor LDAP habilitado para SSL
  - Importación y exportación del archivo de configuración
  - Configuración de atributos de sistema avanzados
  - Prevención de ataques del CSRF
- Configuración y organización de usuarios
  - Adición y configuración de usuarios
  - Aprovisionamiento de usuarios justo a tiempo
  - Creación y configuración de grupos
  - Buscar un usuario o grupo
  - Creación y configuración de funciones
- Conexión a un sistema de administración de contenido
  - Configuración de Connector para Documentum de EMC
  - Configuración del conector para IBM FileNet
  - Configuración del conector para IBM Content Manager
  - Configuración del conector para Microsoft SharePoint
- Administración de certificados y credenciales
  - Adición y eliminación de credenciales de nombre de usuario y contraseña
  - Administración de listas de revocación de certificados
  - Aspectos básicos de la administración de certificados y credenciales
  - Administración de certificados
  - Administración de credenciales HSM
  - Administración de credenciales locales
- Importación y administración de aplicaciones y archivos
  - Cambiar el número de elementos mostrados en las páginas Aplicaciones y Servicios
  - Importar y administrar archivos
  - Importar y administrar aplicaciones
- Administración de servicios
  - Configuración de los ajustes del servicio
  - Inicio y parada de servicios
- Administración de puntos de conexión
  - Adición, activación, modificación o eliminación de puntos finales
  - Configuración de extremos de correo electrónico
  - Configuración de puntos finales de Remoting
  - Configuración de extremos de carpeta vigilados
  - Configuración de los extremos del Administrador de tareas
  - Tipos de extremos
- Configuración de extensiones de Acrobat Reader DC
  - Tipos de certificados utilizados por las extensiones de Acrobat Reader DC
  - Reconocimiento de certificados válidos y caducados en documentos de PDF
  - Configuración de extensiones de Acrobat Reader DC para la captura de datos
  - Revisar información de uso de credenciales
  - Configuración de credenciales para usarlas con extensiones de Acrobat Reader DC
  - Revisión de los derechos de uso de un archivo de PDF
  - Activación de los comentarios en línea para el complemento del explorador web de Adobe Reader
  - Configuración de valores de tiempo de espera para su uso con extensiones de Acrobat Reader DC
  - Actualización de certificados de servicio de extensión de Reader caducados
- Uso del generador de PDF
  - Introducción al trabajo con el Generador de PDF
  - Activación de conversiones de archivos con subprocesos múltiples
  - Configuración de Adobe PDF
  - Configuración de la configuración de seguridad
  - Configuración de la configuración del tipo de archivo
  - Importación y exportación de archivos de configuración de PDF Generator
  - Habilitar compatibilidad con PDF/A
  - Configuración de una impresora de red PDFG (solo Windows)
  - Configuración de fuentes de reserva
  - Modificación de la configuración de conversión de exportación del PDF
  - Conversión de archivos mediante el Generador de PDF
- Configuración de SSL
  - Información general sobre la configuración de SSL
  - Configuración de SSL para el servidor de aplicaciones JBoss
  - Configuración de SSL en Windows Vista
  - Configuración de SSL para el servidor de aplicaciones WebSphere
- Trabajo con la seguridad del documento
  - Acerca de la seguridad de los documentos
  - Entrega de información segura de gran volumen
  - Configuración de las opciones de cliente y servidor
  - Administración de cuentas de usuario invitadas y locales
  - Control del acceso a documentos protegidos por políticas
  - Supervisión de eventos
  - Creación y administración de políticas
  - Uso de las páginas web de seguridad del documento
  - Creación y administración de conjuntos de políticas
  - Registro como usuario
- Configuración de Forms
  - Aspectos básicos de la configuración de formularios
  - Configuración de las opciones de internacionalización
  - Configuración del almacenamiento en caché para Forms
  - Especificación de las opciones de configuración XCI
  - Configuración de la salida del formulario
  - Especificación de fuentes para incrustar
  - Configuración de ubicaciones para Forms
  - Especificación de la configuración de seguridad
  - Configuración de mensajes de validación
- Configuración de salida
  - Descripción general del servicio de salida
  - Especificar las opciones de configuración XCI
  - Configuración del almacenamiento en caché para salida
  - Especificar ubicaciones de archivos para la salida
  - Hacer que las fuentes estén disponibles
  - Especificar fuentes para incrustar
  - Especificar la configuración de seguridad
  - Cambiar el conjunto de caracteres
- Configuración del flujo de trabajo de formularios
  - Acerca de la administración y la terminología de los procesos
  - Administración de procesos
  - Configuración de calendarios comerciales
  - Descripción general del flujo de trabajo de Forms
  - Configuración de fuera de la oficina
  - Búsqueda de instancias de proceso
  - Configuración del servidor
  - Trabajo con operaciones y ramas estancadas
  - Configuración de colas compartidas
  - Trabajo con tareas
- Configuración de Workspace
  - Información general de Workspace
  - Importación y exportación de la configuración global
  - Configuración del mensaje del día
  - Personalización de plantillas de búsqueda
  - Administración de las categorías mostradas en Workspace
- Monitorización de estado
  - Resumen del monitor de estado
  - Ajuste del rendimiento del Monitor de estado
  - Ver estadísticas relacionadas con Work Manager
  - Ver información del sistema
  - Purgar registros de la base de datos de Job Manager
- Mantenimiento de formularios AEM
  - Archivos de registro
  - Administración de usuarios
  - Supervisión de las implementaciones de formularios AEM
  - Gestor de trabajo y regulación
  - Ejecución de AEM formularios en modo de mantenimiento
- Mantenimiento de la base de datos de AEM forms
  - Base de datos DB2: Ejecución de un proceso semanalmente
  - Umbral máximo de cursores abiertos de la base de datos de oracle
  - Base de datos IBM DB2: Ejecución de comandos para mantenimiento regular
  - Depuración de datos de procesos
  - Base de datos de Microsoft SQL Server: Ajuste de la configuración
  - Sugerencias para minimizar el crecimiento de las bases de datos
- Mantenimiento del servidor de aplicaciones
  - Sitios web del servidor de aplicaciones
  - Directorio global de almacenamiento de documentos
  - Consideraciones al ejecutar la Consola de administración
  - Mejora del rendimiento del servidor de aplicaciones
  - Inicio y parada del servidor de aplicaciones WebSphere
- Copia de seguridad y recuperación de formularios AEM
  - Backup y recuperación del repositorio de Documentum de EMC
  - Activación y desactivación del modo de copia de seguridad segura
  - Copia de seguridad de los datos de AEM formularios
  - Archivos para realizar copias de seguridad y recuperar
  - Estrategia de backup y recuperación para formularios AEM
  - Limitaciones de copia de seguridad del Generador de PDF
  - Estrategias de copia de seguridad para carpetas vigiladas
  - Recuperación de los datos de los formularios AEM
  - Estrategia de Backup para Usuarios de Connector para Documentum de EMC
  - Estrategia para backup y restore en un entorno en cluster
- Servicio de información del sistema
  - Configuración del servicio de información del sistema
  - API del servicio de información del sistema
Informes de procesos
- Introducción a la creación de informes de procesos
- Introducción a la creación de informes de procesos
- Funcionamiento de los informes de procesos
- Informes predefinidos en informes de proceso
- Informes personalizados en proceso de informes
- Informes de consultas ad hoc en proceso
- Resolución de problemas de informes de procesos
Referencia del desarrollador
- Conceptos básicos del desarrollador
- Lenguaje de plantilla HTML
- AEM para depurar formularios adaptables
- Referencia de la API de AEM Forms Java
- Referencia de la API de AEM Forms en JEE Java
- API de Form Bridge para formularios HTML5
- Referencia de la API de la biblioteca JavaScript para Forms adaptable
- Servicio de ensamblador y referencia DDX
- Ayuda de Workbench
- Programación con AEM Forms en JEE

Endurecimiento de la AEM Forms en el entorno JEE

Aprenda una variedad de configuraciones de seguridad para mejorar la seguridad de AEM Forms en JEE que se ejecuta en una intranet corporativa.

El artículo describe recomendaciones y prácticas recomendadas para proteger los servidores que ejecutan AEM Forms en JEE. Este no es un documento completo que endurece el host para su sistema operativo y servidores de aplicaciones. En su lugar, en este artículo se describe una serie de ajustes de seguridad que debe implementar para mejorar la seguridad de AEM Forms en JEE que se ejecuta dentro de una intranet corporativa. Sin embargo, para garantizar que AEM Forms en los servidores de aplicaciones JEE permanezca seguro, también debe implementar procedimientos de supervisión, detección y respuesta de seguridad.

El artículo describe técnicas de endurecimiento que deben aplicarse durante las siguientes etapas durante el ciclo de vida de instalación y configuración:

Preinstalación: utilice estas técnicas antes de instalar AEM Forms en JEE.
Instalación: utilice estas técnicas durante el proceso de instalación de AEM Forms en JEE.
Después de la instalación: utilice estas técnicas después de la instalación y periódicamente después.

AEM Forms en JEE es altamente personalizable y puede funcionar en muchos entornos diferentes. Es posible que algunas de las recomendaciones no se ajusten a las necesidades de la organización.

Preinstalación

Antes de instalar AEM Forms en JEE , puede aplicar soluciones de seguridad a la capa de red y al sistema operativo. En esta sección se describen algunos problemas y se formulan recomendaciones para reducir las vulnerabilidades de seguridad en estas áreas.

Instalación y configuración en UNIX y Linux

No debe instalar ni configurar AEM Forms en JEE con un shell raíz. De forma predeterminada, los archivos se instalan en el directorio /opt y el usuario que realiza la instalación necesita todos los permisos de archivo en /opt. Alternativamente, una instalación se puede realizar en el directorio /user de un usuario individual donde ya tiene todos los permisos de archivo.

Instalación y configuración en Windows

Debe realizar la instalación en Windows como administrador si está instalando AEM Forms en JEE en JBoss mediante el método llave en mano o si está instalando PDF Generator. Además, al instalar PDF Generator en Windows con compatibilidad con aplicaciones nativas, debe ejecutar la instalación como el mismo usuario de Windows que instaló Microsoft Office. Para obtener más información sobre los privilegios de instalación, consulte el documento* Instalación e implementación de AEM Forms en JEE* para su servidor de aplicaciones.

Seguridad de capa de red

Las vulnerabilidades de seguridad de red están entre las primeras amenazas para cualquier servidor de aplicaciones orientado a Internet o a la intranet. En esta sección se describe el proceso de endurecimiento de los hosts de la red contra estas vulnerabilidades. Se ocupa de la segmentación de red, el refuerzo de la pila del Protocolo de control de transmisión/Protocolo Internet (TCP/IP) y el uso de cortafuegos para la protección del host.

En la tabla siguiente se describen procesos comunes que reducen las vulnerabilidades de seguridad de red.

Problema	Descripción
Zonas desmilitarizadas (DMZ)	Implementar servidores de formularios en una zona desmilitarizada (DMZ). La segmentación debe existir en al menos dos niveles con el servidor de aplicaciones utilizado para ejecutar AEM Forms en JEE colocado detrás del cortafuegos interno. Separe la red externa de la DMZ que contiene los servidores web, que a su vez deben separarse de la red interna. Utilice cortafuegos para implementar las capas de separación. Categorice y controle el tráfico que pasa por cada capa de red para garantizar que solo se permita el mínimo absoluto de datos requeridos.
Direcciones IP privadas	Utilice traducción de direcciones de red (NAT) con direcciones IP privadas RFC 1918 en el servidor de aplicaciones de AEM Forms. Asigne direcciones IP privadas (10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16) para que sea más difícil para un atacante enrutar el tráfico hacia y desde un host interno NAT a través de Internet.
Firewalls	Utilice los siguientes criterios para seleccionar una solución de cortafuegos: Implemente firewalls que admitan servidores proxy o inspección con estado en lugar de soluciones simples de filtrado de paquetes. Utilice un firewall que admita un denegar todos los servicios excepto los paradigmas de seguridad explícitamente permitidos. Implemente una solución de firewall que tenga dos hogares o varias casas. Esta arquitectura proporciona un nivel bueno de seguridad y ayuda a evitar que usuarios no autorizados pasen por alto la seguridad del firewall.
Puertos de base de datos	No utilice puertos de escucha predeterminados para bases de datos (MySQL - 3306, Oracle - 1521, MS SQL - 1433). Para obtener información sobre cómo cambiar los puertos de base de datos, consulte la documentación de la base de datos. El uso de un puerto de base de datos diferente afecta a la configuración general de AEM Forms en JEE. Si cambia los puertos predeterminados, debe realizar las modificaciones correspondientes en otras áreas de configuración, como las fuentes de datos para AEM Forms en JEE. Para obtener información sobre la configuración de fuentes de datos en AEM Forms en JEE, consulte Instalación y actualización de AEM Forms en JEE o Actualización a AEM Forms en JEE para su servidor de aplicaciones en la guía del usuario de AEM Forms.

Seguridad del sistema operativo

En la tabla siguiente se describen algunos enfoques posibles para minimizar las vulnerabilidades de seguridad que se encuentran en el sistema operativo.

Problema	Descripción
Revisiones de seguridad	Existe un mayor riesgo de que un usuario no autorizado obtenga acceso al servidor de aplicaciones si los parches y las actualizaciones de seguridad del proveedor no se aplican de manera oportuna. Pruebe parches de seguridad antes de aplicarlos a los servidores de producción. Además, cree políticas y procedimientos para buscar e instalar parches de forma regular.
Software de protección antivirus	Los analizadores de virus pueden identificar los archivos infectados mediante la búsqueda de una firma o la observación de comportamientos inusuales. Los escáneres guardan sus firmas de virus en un archivo, que generalmente se almacena en el disco duro local. Debido a que los virus nuevos se descubren con frecuencia, debe actualizar este archivo para que el analizador de virus identifique todos los virus actuales.
Protocolo de tiempo de red (NTP)	Para el análisis forense, mantenga la precisión del tiempo en los servidores de formularios. Utilice NTP para sincronizar el tiempo en todos los sistemas conectados directamente a Internet.

Problema

Descripción

Revisiones de seguridad

Además, cree políticas y procedimientos para buscar e instalar parches de forma regular.

Software de protección antivirus

Los analizadores de virus pueden identificar los archivos infectados mediante la búsqueda de una firma o la observación de comportamientos inusuales. Los escáneres guardan sus firmas de virus en un archivo, que generalmente se almacena en el disco duro local. Debido a que los virus nuevos se descubren con frecuencia, debe actualizar este archivo para que el analizador de virus identifique todos los virus actuales.

Protocolo de tiempo de red (NTP)

Para el análisis forense, mantenga la precisión del tiempo en los servidores de formularios. Utilice NTP para sincronizar el tiempo en todos los sistemas conectados directamente a Internet.

Para obtener información de seguridad adicional para su sistema operativo, consulte "Información de seguridad del sistema operativo".

Instalación

En esta sección se describen las técnicas que puede utilizar durante el proceso de instalación de AEM Forms para reducir las vulnerabilidades de seguridad. En algunos casos, estas técnicas utilizan opciones que forman parte del proceso de instalación. En la tabla siguiente se describen estas técnicas.

Problema	Descripción
Privilegios	Utilice el menor número de privilegios necesarios para instalar el software. Inicie sesión en el equipo con una cuenta que no esté en el grupo Administradores. En Windows, puede utilizar el comando Ejecutar como para ejecutar el instalador de AEM Forms en JEE como usuario administrativo. En sistemas UNIX y Linux, utilice un comando como `sudo` para instalar el software.
Fuente de software	No descargue ni ejecute AEM Forms en JEE desde fuentes que no sean de confianza. Los programas maliciosos pueden contener código para violar la seguridad de varias maneras, incluyendo robo, modificación y eliminación de datos, y denegación de servicio. Instale AEM Forms en JEE desde el DVD de Adobe o solo desde una fuente de confianza.
particiones de disco	Coloque AEM Forms en JEE en una partición de disco dedicada. La segmentación de discos es un proceso que mantiene datos específicos en el servidor en discos físicos separados para mayor seguridad. La organización de los datos de esta manera reduce el riesgo de ataques transversales de directorios. Planee crear una partición independiente de la partición del sistema en la que puede instalar AEM Forms en el directorio de contenido JEE. (En Windows, la partición del sistema contiene el directorio system32 o la partición de inicio).
Componentes	Evalúe los servicios existentes y deshabilite o desinstale los que no sean necesarios. No instale componentes y servicios innecesarios. La instalación predeterminada de un servidor de aplicaciones puede incluir servicios que no son necesarios para su uso. Debe deshabilitar todos los servicios innecesarios antes de la implementación para minimizar los puntos de entrada para un ataque. Por ejemplo, en JBoss, puede comentar servicios innecesarios en el archivo descriptor META-INF/jboss-service.xml.
Archivo de directiva entre dominios	La presencia de un archivo `crossdomain.xml` en el servidor puede debilitar inmediatamente dicho servidor. Se recomienda que la lista de dominios sea lo más restrictiva posible. No coloque el archivo `crossdomain.xml` que se utilizó durante el desarrollo en producción al utilizar Guías (obsoleto). En el caso de una guía que utilice servicios web, si el servicio se encuentra en el mismo servidor que proporcionó la guía, no se necesita ningún archivo `crossdomain.xml`. Pero si el servicio está en otro servidor, o si hay clústeres involucrados, se necesitaría la presencia de un archivo `crossdomain.xml`. Consulte https://kb2.adobe.com/cps/142/tn_14213.html para obtener más información sobre el archivo cross-domain.xml.
Configuración de seguridad del sistema operativo	Si necesita utilizar codificación XML de 192 o 256 bits en plataformas Solaris, asegúrese de instalar `pkcs11_softtoken_extra.so` en lugar de `pkcs11_softtoken.so`.

Pasos posteriores a la instalación

Después de instalar correctamente AEM Forms en JEE, es importante mantener periódicamente el entorno desde una perspectiva de seguridad.

En la siguiente sección se describen en detalle las diferentes tareas recomendadas para proteger el servidor de formularios implementado.

Seguridad de AEM Forms

Las siguientes configuraciones recomendadas se aplican a AEM Forms en el servidor JEE fuera de la aplicación web administrativa. Para reducir los riesgos de seguridad para el servidor, aplique esta configuración inmediatamente después de instalar AEM Forms en JEE.

Revisiones de seguridad

Existe un mayor riesgo de que un usuario no autorizado obtenga acceso al servidor de aplicaciones si los parches y las actualizaciones de seguridad del proveedor no se aplican de manera oportuna. Pruebe parches de seguridad antes de aplicarlos a los servidores de producción para garantizar la compatibilidad y disponibilidad de las aplicaciones. Además, cree políticas y procedimientos para buscar e instalar parches de forma regular. Las actualizaciones de AEM Forms en JEE se encuentran en el sitio de descarga de productos de Enterprise.

Cuentas de servicio (llave en mano de JBoss solo en Windows)

AEM Forms en JEE instala un servicio, de forma predeterminada, mediante la cuenta LocalSystem . La cuenta de usuario de LocalSystem integrada tiene un alto nivel de accesibilidad; forma parte del grupo Administradores . Si se ejecuta una identidad de proceso de trabajo como cuenta de usuario de LocalSystem, ese proceso de trabajo tiene acceso completo a todo el sistema.

Para ejecutar el servidor de aplicaciones en el que se implementa AEM Forms en JEE, utilizando una cuenta específica no administrativa, siga estas instrucciones:

En Microsoft Management Console (MMC), cree un usuario local para que el servicio de servidor de formularios inicie sesión como:
- Seleccione El usuario no puede cambiar la contraseña.
- En la pestaña Member Of, asegúrese de que aparece el grupo Users en la lista.
NOTA

No puede cambiar esta configuración para PDF Generator.
Seleccione Inicio > Configuración > Herramientas administrativas > Servicios.
Haga doble clic en JBoss para AEM Forms en JEE y detenga el servicio.
En la pestaña Iniciar sesión, seleccione Esta cuenta, busque la cuenta de usuario que ha creado e introduzca la contraseña de la cuenta.
En MMC, abra Configuración de seguridad local y seleccione Directivas locales > Asignación de derechos de usuario.
Asigne los siguientes derechos a la cuenta de usuario en la que se ejecuta el servidor de formularios:
- Denegar el inicio de sesión a través de Terminal Services
- Denegar inicio de sesión localmente
- Iniciar sesión como servicio (ya debería estar configurado)
Asigne a la nueva cuenta de usuario permisos de modificación en los siguientes directorios:
- Directorio Global Document Storage (GDS): La ubicación del directorio GDS se configura manualmente durante el proceso de instalación de AEM Forms. Si la configuración de ubicación permanece vacía durante la instalación, la ubicación predeterminada es un directorio en la instalación del servidor de aplicaciones en [JBoss root]/server/[type]/svcnative/DocumentStorage
- Directorio CRX-Repository: La ubicación predeterminada es [AEM-Forms-installation-location]\crx-repository
- Directorios temporales de AEM Forms:
  - (Windows) Ruta TMP o TEMP tal como se establece en las variables de entorno
  - (AIX, Linux o Solaris) Directorio de inicio del usuario con sesión iniciada
    En sistemas basados en UNIX, un usuario no raíz puede utilizar el siguiente directorio como directorio temporal:
  - (Linux) /var/tmp o /usr/tmp
  - (AIX) /tmp o /usr/tmp
  - (Solaris) /var/tmp o /usr/tmp
Asigne permisos de escritura a la nueva cuenta de usuario en los siguientes directorios:
- [JBoss-directory]\standalone\deployment
- [JBoss-directory]\standalone\
- [JBoss-directory]\bin\
NOTA
La ubicación de instalación predeterminada del servidor de aplicaciones JBoss:
- Windows: C:\Adobe\Adobe_Experience_Manager_Forms\jboss
- Linux: /opt/jboss/
Inicie el servidor de aplicaciones.

Desactivación del servlet de arranque de Configuration Manager

Configuration Manager hizo uso de un servlet implementado en su servidor de aplicaciones para realizar arranques de AEM Forms en la base de datos JEE. Dado que Configuration Manager accede a este servlet antes de que se complete la configuración, el acceso a él no se ha asegurado para los usuarios autorizados y debe deshabilitarse después de haber utilizado correctamente Configuration Manager para configurar AEM Forms en JEE.

Descomprima el archivo adobe-livecycle-[appserver].ear.
Abra el archivo META-INF/application.xml.

Busque la sección adobe-bootstrapper.war :

<!-- bootstrapper start --> 
<module id="WebApp_adobe_bootstrapper"> 
    <web> 
        <web-uri>adobe-bootstrapper.war</web-uri> 
        <context-root>/adobe-bootstrapper</context-root> 
    </web> 
</module> 
<module id="WebApp_adobe_lcm_bootstrapper_redirector"> 
    <web> 
        <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri> 
        <context-root>/adobe-lcm-bootstrapper</context-root> 
    </web> 
</module> 
<!-- bootstrapper end-->

Detenga el servidor de AEM Forms.

Comente adobe-bootstrapper.war y adobe-lcm-bootstrapper-redirectory. módulos de guerra como se indica a continuación:

<!-- bootstrapper start --> 
<!-- 
<module id="WebApp_adobe_bootstrapper"> 
    <web> 
        <web-uri>adobe-bootstrapper.war</web-uri> 
        <context-root>/adobe-bootstrapper</context-root> 
    </web> 
</module> 
<module id="WebApp_adobe_lcm_bootstrapper_redirector"> 
    <web> 
        <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri> 
        <context-root>/adobe-lcm-bootstrapper</context-root> 
    </web> 
</module> 
--> 
<!-- bootstrapper end-->

Guarde y cierre el archivo META-INF/application.xml.
Elimine el archivo EAR y vuelva a implementarlo en el servidor de aplicaciones.
Inicie el servidor de AEM Forms.
Escriba la siguiente URL en un explorador para probar el cambio y asegurarse de que ya no funciona.

https://<localhost>:<port>/adobe-bootstrapper/bootstrap

Bloqueo del acceso remoto al Almacén de confianza

Configuration Manager permite cargar una credencial de extensiones de Acrobat Reader DC en AEM Forms en el almacén de confianza JEE. Esto significa que el acceso al Servicio de Credenciales de Almacén de Confianza a través de protocolos remotos (SOAP y EJB) se ha habilitado de forma predeterminada. Este acceso ya no es necesario después de cargar las credenciales de derechos mediante el Administrador de configuración o si decide utilizar la Consola de administración más adelante para administrar las credenciales.

Puede deshabilitar el acceso remoto a todos los servicios del almacén de confianza siguiendo los pasos de la sección Desactivación del acceso remoto no esencial a los servicios.

Deshabilitar todo acceso anónimo no esencial

Algunos servicios de servidor de formularios tienen operaciones que un llamador anónimo puede invocar. Si no se requiere acceso anónimo a estos servicios, inactívelo siguiendo los pasos de Desactivación del acceso anónimo no esencial a los servicios.

Cambiar la contraseña de administrador predeterminada

Cuando se instala AEM Forms en JEE, se configura una sola cuenta de usuario predeterminada para el usuario Super Administrator/ login-id Administrator con una contraseña predeterminada de password. Debe cambiar esta contraseña inmediatamente mediante el Administrador de configuración.

Escriba la siguiente URL en un explorador web:
```
https://[host name]:[port]/adminui
```
El número de puerto predeterminado es uno de estos:

JBoss: 8080

Servidor WebLogic: 7001

WebSphere: 9080.
En el campo User Name, escriba administrator y, en el campo Password, escriba password.
Haga clic en Configuración > Administración de usuarios > Usuarios y grupos.
Escriba administrator en el campo Buscar y haga clic en Buscar.
Haga clic en Super Administrator en la lista de usuarios.
Haga clic en Cambiar contraseña en la página Editar usuario.
Especifique la nueva contraseña y haga clic en Guardar.

Además, se recomienda cambiar la contraseña predeterminada para el administrador CRX realizando los siguientes pasos:

Inicie sesión en https://[server]:[port]/lc/libs/granite/security/content/useradmin.html con el nombre de usuario/contraseña predeterminados.
Escriba Administrator en el campo de búsqueda y haga clic en Go.
Seleccione Administrator en el resultado de la búsqueda y haga clic en el icono Edit en la parte inferior derecha de la interfaz de usuario.
Especifique la nueva contraseña en el campo Nueva contraseña y la contraseña antigua en el campo Su contraseña.
Haga clic en el icono Guardar en la parte inferior derecha de la interfaz de usuario.

Deshabilitar generación WSDL

La generación del lenguaje de definición de servicios web (WSDL) solo debe habilitarse para entornos de desarrollo, donde los desarrolladores utilizan la generación WSDL para crear sus aplicaciones cliente. Puede optar por desactivar la generación de WSDL en un entorno de producción para evitar exponer los detalles internos de un servicio.

Escriba la siguiente URL en un explorador web:
```
https://[host name]:[port]/adminui
```
Haga clic en Configuración > Configuración del sistema principal > Configuraciones.
Desmarque Habilitar WSDL y haga clic en Aceptar.

Seguridad del servidor de aplicaciones

En la tabla siguiente se describen algunas técnicas para proteger el servidor de aplicaciones después de instalar AEM Forms en la aplicación JEE.

Problema	Descripción
Consola administrativa del servidor de aplicaciones	Después de instalar, configurar e implementar AEM Forms en JEE en el servidor de aplicaciones, debe deshabilitar el acceso a las consolas administrativas del servidor de aplicaciones. Consulte la documentación del servidor de aplicaciones para obtener más información.
Configuración de cookies del servidor de aplicaciones	El servidor de aplicaciones controla las cookies de las aplicaciones. Al implementar la aplicación, el administrador del servidor de aplicaciones puede especificar las preferencias de cookies en un servidor o en una aplicación específica. De forma predeterminada, la configuración del servidor tiene preferencia. Todas las cookies de sesión generadas por el servidor de aplicaciones deben incluir el atributo `HttpOnly`. Por ejemplo, al usar el servidor de aplicaciones JBoss, puede modificar el elemento SessionCookie a `httpOnly="true"` en el archivo `WEB-INF/web.xml`. Puede restringir el envío de cookies mediante HTTPS solamente. Como resultado, no se envían sin encriptar a través de HTTP. Los administradores del servidor de aplicaciones deben habilitar las cookies seguras para el servidor de forma global. Por ejemplo, al usar el servidor de aplicaciones JBoss, puede modificar el elemento conector a `secure=true` en el archivo `server.xml`. Consulte la documentación del servidor de aplicaciones para obtener más información sobre la configuración de cookies.
Exploración de directorios	Cuando alguien solicita una página que no existe o solicita el nombre de un director (la cadena de solicitud termina con una barra diagonal (/)), el servidor de aplicaciones no debe devolver el contenido de ese directorio. Para evitarlo, puede desactivar la exploración de directorios en el servidor de aplicaciones. Debe hacerlo para la aplicación de consola de administración y para otras aplicaciones que se ejecuten en el servidor. Para JBoss, establezca el valor del parámetro de inicialización listings de la propiedad `DefaultServlet` en `false` en el archivo web.xml, como se muestra en este ejemplo: <servlet> <servlet-name>default</servlet-name> <servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> <init-param> <param-name>anuncios</param-name> <param-value>false</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> Para WebSphere, establezca la propiedad `directoryBrowsingEnabled` en el archivo ibm-web-ext.xmi en `false`. Para WebLogic, establezca las propiedades de los directorios de índice del archivo weblogic.xml en `false`, como se muestra en este ejemplo: <container-descriptor> <index-directory-enabled>false </index-directory-enabled> </container-descriptor>

Problema

Descripción

Consola administrativa del servidor de aplicaciones

Después de instalar, configurar e implementar AEM Forms en JEE en el servidor de aplicaciones, debe deshabilitar el acceso a las consolas administrativas del servidor de aplicaciones. Consulte la documentación del servidor de aplicaciones para obtener más información.

Configuración de cookies del servidor de aplicaciones

El servidor de aplicaciones controla las cookies de las aplicaciones. Al implementar la aplicación, el administrador del servidor de aplicaciones puede especificar las preferencias de cookies en un servidor o en una aplicación específica. De forma predeterminada, la configuración del servidor tiene preferencia.

Todas las cookies de sesión generadas por el servidor de aplicaciones deben incluir el atributo HttpOnly. Por ejemplo, al usar el servidor de aplicaciones JBoss, puede modificar el elemento SessionCookie a httpOnly="true" en el archivo WEB-INF/web.xml.

Puede restringir el envío de cookies mediante HTTPS solamente. Como resultado, no se envían sin encriptar a través de HTTP. Los administradores del servidor de aplicaciones deben habilitar las cookies seguras para el servidor de forma global. Por ejemplo, al usar el servidor de aplicaciones JBoss, puede modificar el elemento conector a secure=true en el archivo server.xml.

Consulte la documentación del servidor de aplicaciones para obtener más información sobre la configuración de cookies.

Exploración de directorios

Cuando alguien solicita una página que no existe o solicita el nombre de un director (la cadena de solicitud termina con una barra diagonal (/)), el servidor de aplicaciones no debe devolver el contenido de ese directorio. Para evitarlo, puede desactivar la exploración de directorios en el servidor de aplicaciones. Debe hacerlo para la aplicación de consola de administración y para otras aplicaciones que se ejecuten en el servidor.

Para JBoss, establezca el valor del parámetro de inicialización listings de la propiedad DefaultServlet en false en el archivo web.xml, como se muestra en este ejemplo:

<servlet-name>default</servlet-name>

<servlet-class>

org.apache.catalina.servlets.DefaultServlet

</servlet-class>

<init-param>

<param-name>anuncios</param-name>

<param-value>false</param-value>

</init-param>

<load-on-startup>1</load-on-startup>

</servlet>

Para WebSphere, establezca la propiedad directoryBrowsingEnabled en el archivo ibm-web-ext.xmi en false.

Para WebLogic, establezca las propiedades de los directorios de índice del archivo weblogic.xml en false, como se muestra en este ejemplo:

<container-descriptor>

<index-directory-enabled>false

</index-directory-enabled>

</container-descriptor>

Seguridad de la base de datos

Al proteger la base de datos, debe implementar las medidas descritas por el proveedor de la base de datos. Debe asignar un usuario de base de datos con el mínimo de permisos de base de datos requeridos otorgados para su uso por AEM Forms en JEE. Por ejemplo, no utilice una cuenta con privilegios de administrador de base de datos.

En el Oracle, la cuenta de la base de datos que utilice solo necesita los privilegios de CONNECT, RECURSO y CREATE VIEW. Para obtener requisitos similares en otras bases de datos, consulte Preparación para instalar AEM Forms en JEE (un solo servidor).

Configuración de la seguridad integrada para SQL Server en Windows para JBoss

Modifique [JBOSS_HOME]\standalone\configuration\lc_{datasource.xml} para agregar integratedSecurity=true a la dirección URL de conexión, como se muestra en este ejemplo:
```
 jdbc:sqlserver://<serverhost>:<port>;databaseName=<dbname>;integratedSecurity=true
```
Agregue el archivo sqljdbc_auth.dll a la ruta de acceso del sistema de Windows en el equipo que ejecuta el servidor de aplicaciones. El archivo sqljdbc_auth.dll se encuentra con la instalación del controlador JDBC 6.2.1.0 de Microsoft SQL.
Modifique la propiedad JBoss de Windows service (JBoss para AEM Forms en JEE) para Iniciar sesión desde el sistema local a una cuenta de inicio de sesión que tenga una base de datos de AEM Forms y un conjunto mínimo de privilegios. Si está ejecutando JBoss desde la línea de comandos en lugar de como servicio de Windows, no necesita realizar este paso.
Establezca Security for SQL Server del modo Mixed en Autenticación de Windows solamente.

Configuración de la seguridad integrada para SQL Server en Windows para WebLogic

Inicie la consola de administración del servidor de WebLogic escribiendo la siguiente URL en la línea URL de un explorador web:
```
https://[host name]:7001/console
```
En Centro de cambios, haga clic en Bloquear y editar.
En Estructura del dominio, haga clic en [base_domain] > Services > JDBC > Fuentes de datos y, en el panel derecho, haga clic en IDP_DS.
En la siguiente pantalla, en la pestaña Configuration, haga clic en la pestaña Connection Pool y, en el cuadro Properties, escriba integratedSecurity=true.
En Estructura del dominio, haga clic en [base_domain] > Services > JDBC > Fuentes de datos y, en el panel derecho, haga clic en RM_DS.
En la siguiente pantalla, en la pestaña Configuration, haga clic en la pestaña Connection Pool y, en el cuadro Properties, escriba integratedSecurity=true.
Agregue el archivo sqljdbc_auth.dll a la ruta de acceso del sistema de Windows en el equipo que ejecuta el servidor de aplicaciones. El archivo sqljdbc_auth.dll se encuentra con la instalación del controlador JDBC 6.2.1.0 de Microsoft SQL.
Establezca Security for SQL Server del modo Mixed en Autenticación de Windows solamente.

Configuración de la seguridad integrada para SQL Server en Windows para WebSphere

En WebSphere, puede configurar la seguridad integrada solo cuando utiliza un controlador JDBC de SQL Server externo, no el controlador JDBC de SQL Server incrustado en WebSphere.

Inicie sesión en la Consola Administrativa de WebSphere.
En el árbol de navegación, haga clic en Resources > JDBC > Fuentes de datos y, en el panel derecho, haga clic en IDP_DS.
En el panel derecho, en Propiedades adicionales, haga clic en Propiedades personalizadas y, a continuación, haga clic en Nuevo.
En el cuadro Name, escriba integratedSecurity y, en el cuadro Value, escriba true.
En el árbol de navegación, haga clic en Resources > JDBC > Fuentes de datos y, en el panel derecho, haga clic en RM_DS.
En el panel derecho, en Propiedades adicionales, haga clic en Propiedades personalizadas y, a continuación, haga clic en Nuevo.
En el cuadro Name, escriba integratedSecurity y, en el cuadro Value, escriba true.
En el equipo en el que está instalado WebSphere, agregue el archivo sqljdbc_auth.dll a la ruta de acceso del sistema de Windows (C:\Windows). El archivo sqljdbc_auth.dll se encuentra en la misma ubicación que la instalación del controlador JDBC 1.2 de Microsoft SQL (el valor predeterminado es [InstallDir]/sqljdbc_1.2/enu/auth/x86).
Seleccione Inicio > Panel de control de Campaign > Servicios, haga clic con el botón derecho en el servicio de Windows para WebSphere (IBM WebSphere Application Server <version> - <node>) y seleccione Propiedades.
En el cuadro de diálogo Propiedades, haga clic en la ficha Iniciar sesión.
Seleccione Esta cuenta y proporcione la información necesaria para configurar la cuenta de inicio de sesión que desee utilizar.
Establezca Security on SQL Server del modo Mixed a Autenticación de Windows solamente.

Protección del acceso al contenido confidencial en la base de datos

El esquema de la base de datos de AEM Forms contiene información confidencial sobre la configuración del sistema y los procesos empresariales, y debe ocultarse detrás del cortafuegos. La base de datos debe considerarse dentro del mismo límite de confianza que el servidor de formularios. Para evitar la divulgación de información y el robo de datos empresariales, el administrador de la base de datos (DBA) debe configurar la base de datos para permitir el acceso únicamente a los administradores autorizados.

Como precaución adicional, debe considerar la posibilidad de utilizar herramientas específicas del proveedor de bases de datos para cifrar columnas en tablas que contengan los siguientes datos:

Claves de documento del Rights Management
Clave de cifrado del PIN de HSM de la tienda de confianza
Hashes de contraseñas de usuario local

Para obtener información sobre herramientas específicas del proveedor, consulte "Información de seguridad de la base de datos".

Seguridad LDAP

AEM Forms utiliza normalmente un directorio de Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol ) en JEE como fuente de información de usuarios y grupos empresariales, y como medio para realizar la autenticación de contraseñas. Debe asegurarse de que su directorio LDAP esté configurado para utilizar Secure Socket Layer (SSL) y que AEM Forms en JEE esté configurado para acceder a su directorio LDAP utilizando su puerto SSL.

Negación de servicio LDAP

Un ataque común usando LDAP implica que un atacante deliberadamente no se autentica varias veces. Esto obliga al servidor de directorio LDAP a bloquear a un usuario de todos los servicios dependientes de LDAP.

Puede establecer el número de intentos de error y el tiempo de bloqueo posterior que AEM Forms implementa cuando un usuario falla repetidamente en autenticarse en AEM Forms. En la Consola de administración, seleccione valores bajos. Al seleccionar el número de intentos de error, es importante comprender que después de todos los intentos realizados, AEM Forms bloquea al usuario antes de que lo haga el servidor de directorio LDAP.

Establecer el bloqueo automático de cuentas

Inicie sesión en la Consola de administración.
Haga clic en Configuración > Administración de usuarios > Administración de dominios.
En Configuración de bloqueo automático de cuentas, establezca Máximo de errores de autenticación consecutiva en un número bajo, como 3.
Haga clic en Guardar.

Auditoría y registro

El uso adecuado y seguro de la auditoría y el registro de aplicaciones puede ayudar a garantizar que se realice el seguimiento y la detección de la seguridad y otros eventos anómalos lo antes posible. El uso efectivo de la auditoría y el registro dentro de una aplicación incluye elementos como el seguimiento de inicios de sesión correctos y fallidos, así como eventos clave de la aplicación como la creación o eliminación de registros clave.

Puede utilizar la auditoría para detectar muchos tipos de ataques, entre ellos:

Ataques de contraseña de fuerza bruta
Ataques de denegación de servicio
Inyección de entradas hostiles y clases conexas de ataques de secuencias de comandos

En esta tabla se describen las técnicas de auditoría y registro que puede utilizar para reducir las vulnerabilidades del servidor.

Problema	Descripción
ACL de archivo de registro	Establezca el AEM Forms apropiado en las listas de control de acceso (ACL) de archivos de registro JEE. La configuración de las credenciales adecuadas ayuda a evitar que los atacantes eliminen los archivos. Los permisos de seguridad en el directorio de archivos de registro deben ser Control total para los grupos Administradores y SYSTEM. La cuenta de usuario de AEM Forms solo debe tener permisos de lectura y escritura.
Redundancia de archivos de registro	Si los recursos lo permiten, envíe registros a otro servidor en tiempo real al que el atacante (solo escritura) no pueda acceder mediante Syslog, Tivoli, Microsoft Operations Manager (MOM) Server u otro mecanismo. Proteger los registros de esta manera ayuda a evitar la manipulación. Además, el almacenamiento de registros en un repositorio central ayuda en la correlación y la monitorización (por ejemplo, si se utilizan varios servidores de formularios y se está realizando un ataque de adivinación de contraseña en varios equipos en los que se solicita una contraseña para cada equipo).

Problema

Descripción

ACL de archivo de registro

Establezca el AEM Forms apropiado en las listas de control de acceso (ACL) de archivos de registro JEE.

La configuración de las credenciales adecuadas ayuda a evitar que los atacantes eliminen los archivos.

Los permisos de seguridad en el directorio de archivos de registro deben ser Control total para los grupos Administradores y SYSTEM. La cuenta de usuario de AEM Forms solo debe tener permisos de lectura y escritura.

Redundancia de archivos de registro

Si los recursos lo permiten, envíe registros a otro servidor en tiempo real al que el atacante (solo escritura) no pueda acceder mediante Syslog, Tivoli, Microsoft Operations Manager (MOM) Server u otro mecanismo.

Proteger los registros de esta manera ayuda a evitar la manipulación. Además, el almacenamiento de registros en un repositorio central ayuda en la correlación y la monitorización (por ejemplo, si se utilizan varios servidores de formularios y se está realizando un ataque de adivinación de contraseña en varios equipos en los que se solicita una contraseña para cada equipo).

Habilitar a un usuario que no es administrador para ejecutar PDF Generator

Puede habilitar a un usuario que no sea administrador para que utilice PDF Generator. Normalmente, solo los usuarios con privilegios administrativos pueden utilizar PDF Generator. Realice los siguientes pasos para permitir que un usuario que no es administrador ejecute el generador de PDF:

Cree un nombre de variable de entorno PDFG_NON_ADMIN_ENABLED.
Establezca el valor de la variable en TRUE.
Reinicie la instancia de AEM Forms.

Configuración de AEM Forms en JEE para acceder más allá de la empresa

Después de instalar correctamente AEM Forms en JEE, es importante mantener periódicamente la seguridad de su entorno. En esta sección se describen las tareas recomendadas para mantener la seguridad de AEM Forms en el servidor de producción JEE.

Configuración de un proxy inverso para acceso web

Se puede utilizar un proxy inverso para garantizar que un conjunto de URL para AEM Forms en aplicaciones web JEE esté disponible para usuarios externos e internos. Esta configuración es más segura que permitir que los usuarios se conecten directamente al servidor de aplicaciones en el que se ejecuta AEM Forms en JEE. El proxy inverso realiza todas las solicitudes HTTP para el servidor de aplicaciones que ejecuta AEM Forms en JEE. Los usuarios solo tienen acceso de red al proxy inverso y solo pueden intentar conexiones URL compatibles con el proxy inverso.

AEM Forms en URL raíz JEE para su uso con el servidor proxy inverso

Las siguientes URL raíz de aplicación para cada AEM Forms en la aplicación web JEE. Debe configurar el proxy inverso solo para exponer las direcciones URL a la funcionalidad de la aplicación web que desea proporcionar a los usuarios finales.

Ciertas direcciones URL se resaltan como aplicaciones web dirigidas al usuario final. Debe evitar exponer otras direcciones URL para Configuration Manager para acceder a usuarios externos a través del proxy inverso.

URL raíz	Finalidad o aplicación web asociada	Interfaz basada en web	Acceso del usuario final
/ReaderExtensions/*	Aplicación web de usuario final de extensiones de Acrobat Reader DC para aplicar derechos de uso a documentos PDF	Sí	Sí
/edc/*	aplicación web del usuario final Rights Management	Sí	Sí
/edcws/*	URL del servicio web para el Rights Management	No	Sí
/pdfgui/*	aplicación web de administración de PDF Generator	Sí	Sí
/el espacio de trabajo/*	Aplicación web del usuario final de Workspace	Sí	Sí
/workspace-server/*	Servlets y servicios de datos de Workspace que requiere la aplicación cliente de Workspace	Sí	Sí
/adobe-bootstrapper/*	Servlet para arrancar el repositorio AEM Forms en JEE	No	No
/soap/*	Página de información de los servicios web del servidor de formularios	No	No
/soap/services/*	URL de servicio web para todos los servicios de servidor de formularios	No	No
/edc/admin/*	aplicación web de administración de Rights Management	Sí	No
/adminui/*	Página de inicio de la Consola de administración	Sí	No
/TruststoreComponent/ seguro/*	Páginas de administración de administración de almacenes de confianza	Sí	No
/FormsIVS/*	Aplicación Forms IVS para probar y depurar la renderización de formularios	Sí	No
/OutputIVS/*	Aplicación IVS de salida para probar y depurar el servicio de salida	Sí	No
/rmws/*	URL de REST para el Rights Management	No	Sí
/OutputAdmin/*	Páginas de administración de salida	Sí	No
/FormServer/*	Archivos de aplicación web de Forms	Sí	No
/FormServer/GetImage Servlet	Se utiliza para recuperar JavaScript durante la transformación HTML.	No	No
/FormServerAdmin/*	Páginas de administración de Forms	Sí	No
/repository/*	URL para acceso a WebDAV (depuración)	Sí	No
/AACComponent/*	Interfaz de usuario de Aplicaciones y Servicios	Sí	No
/WorkspaceAdmin/*	Páginas de administración de Workspace	Sí	No
/rest/*	Resto de páginas de soporte	Sí	No
/CoreSystemConfig/*	Página AEM Forms en la configuración principal de JEE	Sí	No
/um/	Autenticación de Administración de usuarios	No	Sí
/um/*	Interfaz de administración de administración de usuarios	Sí	No
/DoumentManager/*	Carga y descarga de documentos que se van a procesar al acceder a puntos de conexión remotos, puntos de conexión WSDL SOAP y el SDK de Java a través del transporte SOAP o el transporte EJB con documentos HTTP habilitados.	Sí	Sí

Protección contra ataques de falsificación de solicitudes entre sitios

Un ataque de falsificación de solicitudes entre sitios (CSRF) explota la confianza que un sitio web tiene para el usuario, para transmitir comandos que no están autorizados y no son intencionados por el usuario. El ataque se configura incluyendo un vínculo o una secuencia de comandos en una página web, o una URL en un mensaje de correo electrónico, para acceder a otro sitio en el que el usuario ya ha sido autenticado.

Por ejemplo, puede iniciar sesión en la Consola de administración mientras navega simultáneamente por otro sitio web. Una de las páginas web puede incluir una etiqueta de imagen HTML con un atributo src que se dirija a un script del lado del servidor en el sitio web de la víctima. Al aprovechar el mecanismo de autenticación de sesión basado en cookies que proporcionan los exploradores web, el sitio web atacante puede enviar solicitudes malintencionadas a este script de la víctima del lado del servidor, que se muestra como el usuario legítimo. Para obtener más ejemplos, consulte https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)#Examples.

Las siguientes características son comunes al CSRF:

Incluir sitios que dependen de la identidad de un usuario.
Explotar la confianza del sitio en esa identidad.
Haga clic en el navegador del usuario para enviar solicitudes HTTP a un sitio de destino.
Incluya solicitudes HTTP que tengan efectos secundarios.

AEM Forms en JEE utiliza la función de filtro de referente para bloquear los ataques de CSRF. En esta sección se utilizan los términos siguientes para describir el mecanismo de filtrado del referente:

Referente permitido: un referente es la dirección de la página de origen que envía una solicitud al servidor. Para páginas o formularios JSP, los Referentes son generalmente la página anterior en el historial de navegación. El referente de las imágenes suele ser la página en la que se muestran las imágenes. Puede identificar el referente al que se permite acceder a los recursos del servidor si los agrega a la lista de referente permitido.
Excepciones de referente permitidas: es posible que desee restringir el alcance de acceso de un referente en particular en la lista de referentes permitidos. Para aplicar esta restricción, puede agregar rutas individuales de ese Referente a la lista de Excepciones de Referente Permitidas. Las solicitudes procedentes de rutas de la lista Excepciones de referente permitidas no pueden invocar ningún recurso en el servidor de formularios. Puede definir Excepciones de referente permitidas para una aplicación específica y también utilizar una lista global de excepciones que se aplican a todas las aplicaciones.
URI permitidos: es una lista de recursos que se van a proporcionar sin comprobar el encabezado del referente. Los recursos, por ejemplo, páginas de ayuda que no producen cambios de estado en el servidor, se pueden agregar a esta lista. El filtro Referente nunca bloquea los recursos de la lista URI permitidos independientemente de quién sea el referente.
Referente nulo: una solicitud de servidor que no está asociada a una página web principal o que no se origina en ella se considera una solicitud de un Referente nulo. Por ejemplo, al abrir una nueva ventana del explorador, escribir una dirección y pulsar Intro, el Referente enviado al servidor es nulo. Una aplicación de escritorio (.NET o SWING) que realiza una solicitud HTTP a un servidor web, también envía un referente nulo al servidor.

Filtrado de referentes

El proceso de filtrado del referente se puede describir de la siguiente manera:

El servidor de formularios comprueba el método HTTP utilizado para la invocación:
1. Si es POST, el servidor de formularios realiza la comprobación del encabezado Referente.
2. Si es un GET, el servidor de formularios evita la comprobación Referente, a menos que CSRF_CHECK_GETS esté configurado como verdadero, en cuyo caso realiza la comprobación de encabezado Referente. CSRF_CHECK_ GETSse especifica en el archivo web. xmlfile para su aplicación.
El servidor de formularios comprueba si el URI solicitado existe en la lista de permitidos:
1. Si el URI está incluido en la lista de permitidos, el servidor acepta la solicitud.
2. Si el URI solicitado no está incluido en la lista de permitidos, el servidor recupera el referente de la solicitud.
Si hay un referente en la solicitud, el servidor comprueba si es un referente permitido. Si está permitido, el servidor comprueba la existencia de una excepción de referente:
1. Si es una excepción, la solicitud se bloquea.
2. Si no es una excepción, se pasa la solicitud.
Si no hay ningún referente en la solicitud, el servidor comprueba si se permite un referente nulo:
1. Si se permite un referente nulo, se pasa la solicitud.
2. Si no se permite un referente nulo, el servidor comprueba si el URI solicitado es una excepción para el referente nulo y gestiona la solicitud en consecuencia.

Administración del filtrado del referente

AEM Forms en JEE proporciona un filtro de referente para especificar Referente al que se permite el acceso a los recursos del servidor. De forma predeterminada, el filtro Referente no filtra las solicitudes que utilizan un método HTTP seguro, por ejemplo, GET, a menos que CSRF_CHECK_GETS esté establecido en true. Si el número de puerto de una entrada de referente permitida está establecido en 0, AEM Forms en JEE permitirá todas las solicitudes con referente desde ese host independientemente del número de puerto. Si no se especifica ningún número de puerto, solo se permiten las solicitudes del puerto predeterminado 80 (HTTP) o 443 (HTTPS). El filtro de referente se desactiva si se eliminan todas las entradas de la lista Referente permitido.

Cuando instala Document Services por primera vez, la lista Referente permitido se actualiza con la dirección del servidor en el que está instalado Document Services. Las entradas para el servidor incluyen el nombre del servidor, la dirección IPv4, la dirección IPv6 si IPv6 está habilitada, la dirección loopback y una entrada localhost. El sistema operativo Host devuelve los nombres agregados a la lista Referente permitido. Por ejemplo, un servidor con una dirección IP de 10.40.54.187 incluirá las siguientes entradas: https://server-name:0, https://10.40.54.187:0, https://127.0.0.1:0, http://localhost:0. Para cualquier nombre no cualificado devuelto por el sistema operativo del host (nombres que no tienen dirección IPv4, dirección IPv6 o nombre de dominio cualificado), la lista de permitidos no se actualiza. Modifique la lista Referente permitidos para adaptarla a su entorno empresarial. No implemente el servidor de formularios en el entorno de producción con la lista de referentes permitidos predeterminada. Después de modificar cualquiera de los URI, las excepciones de referente o referente permitidos, asegúrese de reiniciar el servidor para que los cambios surtan efecto.

Administración de la lista de referentes permitidos

Puede administrar la lista Referente permitidos desde la interfaz de administración de usuarios de la consola de administración. La interfaz de administración de usuarios proporciona la funcionalidad para crear, editar o eliminar la lista. Consulte la sección * Prevención de ataques CSRF* de la ayuda de administración para obtener más información sobre cómo trabajar con la lista de referentes permitidos.

Administración de excepciones de referente permitidas y listas de URI permitidas

AEM Forms en JEE proporciona API para administrar la lista de excepciones de referente permitidas y la lista de URI permitidas. Puede utilizar estas API para recuperar, crear, editar o eliminar la lista. A continuación se muestra una lista de las API disponibles:

createAllowedURIsList
getAllowedURIsList
updateAllowedURIsList
deleteAllowedURIsList
addAllowedRefererExceptions
getAllowedRefererExceptions
updateAllowedRefererExceptions
deleteAllowedRefererExceptions

Consulte la* Referencia de la API de AEM Forms en JEE* para obtener más información sobre las API.

Utilice la lista LC_GLOBAL_ALLOWED_REFERER_EXCEPTION para Excepciones de Referente permitidas a nivel global, es decir, para definir excepciones que sean aplicables a todas las aplicaciones. Esta lista contiene solo URI con una ruta absoluta (p. ej. /index.html) o una ruta relativa (p. ej. /sample/). También puede anexar una expresión regular al final de un URI relativo, por ejemplo: /sample/(.)*.

El ID de lista LC_GLOBAL_ALLOWED_REFERER_EXCEPTION se define como una constante en la clase UMConstants del espacio de nombres com.adobe.idp.um.api, que se encuentra en adobe-usermanager-client.jar. Puede utilizar las API de AEM Forms para crear, modificar o editar esta lista. Por ejemplo, para crear la lista de excepciones de referente permitidos globales, utilice:

addAllowedRefererExceptions(UMConstants.LC_GLOBAL_ALLOWED_REFERER_EXCEPTION, Arrays.asList("/index.html", "/sample/(.)*"))

Utilice la lista CSRF_ALLOWED_REFERER_EXCEPTIONS para excepciones específicas de la aplicación.

Desactivación del filtro de referente

En el caso de que el Filtro de referente bloquee por completo el acceso al servidor de formularios y no pueda editar la lista de referentes permitidos, puede actualizar la secuencia de comandos de inicio del servidor y deshabilitar el Filtrado de referentes.

Incluya el argumento JAVA -Dlc.um.csrffilter.disabled=true en el script de inicio y reinicie el servidor. Asegúrese de eliminar el argumento JAVA después de haber reconfigurado correctamente la lista Referente permitido.

Filtrado de referentes para archivos WAR personalizados

Es posible que haya creado archivos WAR personalizados para trabajar con AEM Forms en JEE con el fin de satisfacer sus necesidades comerciales. Para habilitar el filtrado de referentes para sus archivos WAR personalizados, incluya adobe-usermanager-client.jar en la ruta de clase para la WAR e incluya una entrada de filtro en el archivo web.xml* con los siguientes parámetros:

CSRF_CHECK_ GETS controla la comprobación del referente en las solicitudes de GET. Si no se define este parámetro, el valor predeterminado se establece en false. Incluya este parámetro solo si desea filtrar las solicitudes de GET.

CSRF_ALLOWED_REFERER_ EXCEPTIONS es el ID de la lista de excepciones de referente permitidas. El filtro Referente evita que las solicitudes procedentes de Referentes de la lista identificada por el ID de lista invoquen cualquier recurso en el servidor de formularios.

CSRF_ALLOWED_URIS_LIST_ NAME es el ID de la lista de URI permitidos. El filtro de referente no bloquea las solicitudes de ninguno de los recursos de la lista identificados por el ID de lista, independientemente del valor del encabezado de referente en la solicitud.

CSRF_ALLOW_NULL_ REFERER controla el comportamiento del filtro de referente cuando el referente es nulo o no está presente. Si no se define este parámetro, el valor predeterminado se establece en false. Incluya este parámetro solo si desea permitir Referentes nulos. Permitir referentes nulos puede permitir algunos tipos de ataques de falsificación de solicitudes entre sitios.

CSRF_NULL_REFERER_ EXCEPTIONS es una lista de los URI para los que no se realiza una comprobación de Remitente del reenvío cuando el referente es nulo. Este parámetro solo está habilitado cuando CSRF_ALLOW_NULL_REFERER está establecido en false. Separe varios URI de la lista con una coma.

A continuación se muestra un ejemplo de la entrada de filtro en el archivo web.xml para un archivo WAR SAMPLE:

<filter> 
       <filter-name> filter-name </filter-name> 
       <filter-class> com.adobe.idp.um.auth.filter.RemoteCSRFFilter </filter-class> 
     <!-- default is false --> 
     <init-param> 
      <param-name> CSRF_ALLOW_NULL_REFERER </param-name> 
      <param-value> false </param-value> 
     </init-param> 
     <!-- default is false --> 
     <init-param> 
      <param-name> CSRF_CHECK_GETS </param-name> 
      <param-value> true </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
       <param-name> CSRF_NULL_REFERER_EXCEPTIONS </param-name> 
       <param-value> /SAMPLE/login, /SAMPLE/logout  </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
      <param-name> CSRF_ALLOWED_REFERER_EXCEPTIONS </param-name> 
      <param-value> SAMPLE_ALLOWED_REF_EXP_ID </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
      <param-name> CSRF_ALLOWED_URIS_LIST_NAME </param-name> 
      <param-value> SAMPLE_ALLOWED_URI_LIST_ID     </param-value> 
     </init-param> 
</filter> 
    ........ 
    <filter-mapping> 
      <filter-name> filter-name </filter-name> 
      <url-pattern>/*</url-pattern> 
    </filter-mapping>

Solución de problemas

Si el filtro CSRF bloquea las solicitudes legítimas del servidor, pruebe uno de los siguientes métodos:

Si la solicitud rechazada tiene un encabezado Referente, considere detenidamente agregarla a la lista Referente permitido. Agregue solo Referente en el que confíe.
Si la solicitud rechazada no tiene un encabezado Referente, modifique la aplicación cliente para incluir un encabezado Referente.
Si el cliente puede trabajar en un explorador, pruebe ese modelo de implementación.
Como último recurso, puede agregar el recurso a la lista URI permitidos . Esta no es una configuración recomendada.

Configuración de red segura

En esta sección se describen los protocolos y puertos requeridos por AEM Forms en JEE y se ofrecen recomendaciones para implementar AEM Forms en JEE en una configuración de red segura.

Protocolos de red utilizados por AEM Forms en JEE

Al configurar una arquitectura de red segura como se describe en la sección anterior, se requieren los siguientes protocolos de red para la interacción entre AEM Forms en JEE y otros sistemas de la red empresarial.

Protocolo	Uso
HTTP	El explorador muestra las aplicaciones web de Configuration Manager y del usuario final Todas las conexiones SOAP
SOAP	Aplicaciones cliente de servicio Web, como aplicaciones .NET Adobe Reader® utiliza SOAP para AEM Forms en los servicios web del servidor JEE Las aplicaciones Flash® de Adobe utilizan SOAP para los servicios web del servidor de formularios AEM Forms en llamadas del SDK JEE cuando se utiliza en modo SOAP Entorno de diseño de Workbench
RMI	AEM Forms en llamadas JEE SDK cuando se utiliza en el modo Enterprise JavaBeans (EJB)
IMAP/POP3	Entrada basada en correo electrónico a un servicio (extremo de correo electrónico) Notificaciones de tareas del usuario por correo electrónico
IO de archivo UNC	Supervisión de AEM Forms en JEE de carpetas vigiladas para la entrada en un servicio (punto final de carpeta vigilada)
LDAP	Sincronizaciones de información de grupos y usuarios de la organización en un directorio Autenticación LDAP para usuarios interactivos
JDBC	Consultas y llamadas de procedimiento realizadas a una base de datos externa durante la ejecución de un proceso mediante el servicio JDBC Acceso interno a AEM Forms en el repositorio JEE
WebDAV	Permite la navegación remota de AEM Forms en el repositorio JEE en tiempo de diseño (formularios, fragmentos, etc.) por cualquier cliente WebDAV
AMF	Aplicaciones de Flash de Adobe, donde AEM Forms en los servicios de servidor JEE está configurado con un extremo Remoting
JMX	AEM Forms en JEE expone MBeans para monitorización usando JMX

Puertos para servidores de aplicaciones

En esta sección se describen los puertos predeterminados (y los intervalos de configuración alternativos) para cada tipo de servidor de aplicaciones admitido. Estos puertos deben habilitarse o deshabilitarse en el cortafuegos interno, según la funcionalidad de red que desee permitir para los clientes que se conecten al servidor de aplicaciones que ejecuta AEM Forms en JEE.

NOTA

De forma predeterminada, el servidor expone varios MBeans de JMX en el espacio de nombres de adobe.com. Solo se expone la información que resulta útil para la supervisión del estado del servidor. Sin embargo, para evitar que se revele información, debe evitar que los usuarios que realizan llamadas en una red de confianza busquen MBeans de JMX y accedan a métricas de estado.

Puertos JBoss

Función	Puerto
Acceso a aplicaciones web	[JBOSS_Root]/standalone/configuration/lc_[database].xml Puerto del conector HTTP/1.1 8080 Puerto 8009 del conector AJP 1.3 Puerto del conector SSL/TLS 8443
Compatibilidad con CORBA	[JBoss root]/server/all/conf/jacorb.properties OAPort 3528 OASSLPort 3529

Función

Puerto

Acceso a aplicaciones web

[JBOSS_Root]/standalone/configuration/lc_[database].xml

Puerto del conector HTTP/1.1 8080

Puerto 8009 del conector AJP 1.3

Puerto del conector SSL/TLS 8443

Compatibilidad con CORBA

[JBoss root]/server/all/conf/jacorb.properties

OAPort 3528

OASSLPort 3529

Puertos WebLogic

Función	Puerto
Acceso a aplicaciones web	Puerto de escucha del servidor de administración: el valor predeterminado es 7001 Puerto de escucha SSL del servidor de administración: el valor predeterminado es 7002 Puerto configurado para servidor administrado, por ejemplo, 8001
Los puertos de administración de WebLogic no son necesarios para acceder a AEM Forms en JEE	Puerto de escucha del servidor administrado: Configurable de 1 a 65534 Puerto de escucha SSL del servidor administrado: Configurable de 1 a 65534 Puerto de escucha del administrador de nodos: el valor predeterminado es 5556

Puertos WebSphere

Para obtener información sobre los puertos WebSphere que requiere AEM Forms en JEE, vaya a Configuración de número de puerto en la interfaz de usuario del servidor de aplicaciones WebSphere.

Configuración de SSL

En referencia a la arquitectura física que se describe en la sección AEM Forms sobre la arquitectura física JEE, debe configurar SSL para todas las conexiones que planee utilizar. Específicamente, todas las conexiones SOAP deben realizarse a través de SSL para evitar la exposición de las credenciales de usuario en una red.

Para obtener instrucciones sobre cómo configurar SSL en JBoss, WebLogic y WebSphere, consulte "Configuración de SSL" en la ayuda de administración.

Para obtener instrucciones sobre cómo importar certificados a JVM (máquina virtual Java) configurada para un servidor AEM Forms, consulte la sección Autenticación mutua en Ayuda de AEM Forms Workbench.

Configuración de la redirección SSL

Después de configurar el servidor de aplicaciones para que admita SSL, debe asegurarse de que todo el tráfico HTTP a aplicaciones y servicios se aplique para utilizar el puerto SSL.

Para configurar el redireccionamiento SSL para WebSphere o WebLogic, consulte la documentación del servidor de aplicaciones.

Abra el símbolo del sistema, vaya al directorio /JBOSS_HOME/standalone/configuration y ejecute el siguiente comando:

keytool -genkey -alias jboss7 -keyalg RSA -keystore server.keystore -validity 10950
Abra el archivo JBOSS_HOME/standalone/configuration/standalone.xml para editarlo.

Después del elemento <subsistema xmlns="urn:jboss:domain:web:1.1" native="false" default-virtual-server="default-host">, agregue los siguientes detalles:

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" enabled="true" secure="true" />

Agregue el siguiente código en el elemento https connector :

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true" enabled="true"> 
 <ssl name="jboss7_ssl" key-alias="jboss71" password="Tibco321" certificate-key-file="../standalone/configuration/server.keystore" protocol="TLSv1"/> 
 </connector>

Guarde y cierre el archivo standalone.xml.

Recomendaciones de seguridad específicas de Windows

Esta sección contiene recomendaciones de seguridad específicas de Windows cuando se usa para ejecutar AEM Forms en JEE.

Cuentas de JBoss Service

La instalación llave en mano de AEM Forms en JEE configura una cuenta de servicio de forma predeterminada mediante la cuenta de sistema local. La cuenta de usuario integrada del sistema local tiene un alto nivel de accesibilidad; forma parte del grupo Administradores . Si la identidad de un proceso de trabajo se ejecuta como la cuenta de usuario del sistema local, ese proceso de trabajo tiene acceso completo a todo el sistema.

Ejecute el servidor de aplicaciones con una cuenta no administrativa

En Microsoft Management Console (MMC), cree un usuario local para que el servicio de servidor de formularios inicie sesión como:
- Seleccione El usuario no puede cambiar la contraseña.
- En la ficha Miembro de, asegúrese de que se enumera el grupo Usuarios.
Seleccione Configuración > Herramientas administrativas > Servicios.
Haga doble clic en el servicio del servidor de aplicaciones y detenga el servicio.
En la pestaña Iniciar sesión, seleccione Esta cuenta, busque la cuenta de usuario que ha creado e introduzca la contraseña de la cuenta.
En la ventana Configuración de seguridad local, en Asignación de derechos de usuario, otorgue los siguientes derechos a la cuenta de usuario en la que se ejecuta el servidor de formularios:
- Denegar el inicio de sesión a través de Terminal Services
- Denegar inicio de sesión localmente
- Iniciar sesión como servicio (ya debería estar configurado)
Asigne a la nueva cuenta de usuario permisos de modificación en los siguientes directorios:
- Directorio Global Document Storage (GDS): La ubicación del directorio GDS se configura manualmente durante el proceso de instalación de AEM Forms. Si la configuración de ubicación permanece vacía durante la instalación, la ubicación predeterminada es un directorio en la instalación del servidor de aplicaciones en [JBoss root]/server/[type]/svcnative/DocumentStorage
- Directorio CRX-Repository: La ubicación predeterminada es [AEM-Forms-installation-location]\crx-repository
- Directorios temporales de AEM Forms:
  - (Windows) Ruta TMP o TEMP tal como se establece en las variables de entorno
  - (AIX, Linux o Solaris) Directorio de inicio del usuario con sesión iniciada
    En sistemas basados en UNIX, un usuario no raíz puede utilizar el siguiente directorio como directorio temporal:
  - (Linux) /var/tmp o /usr/tmp
  - (AIX) /tmp o /usr/tmp
  - (Solaris) /var/tmp o /usr/tmp
Asigne permisos de escritura a la nueva cuenta de usuario en los siguientes directorios:
- [JBoss-directory]\standalone\deployment
- [JBoss-directory]\standalone\
- [JBoss-directory]\bin\
NOTA
La ubicación de instalación predeterminada del servidor de aplicaciones JBoss:
- Windows: C:\Adobe\Adobe_Experience_Manager_Forms\jboss
- Linux: /opt/jboss/.
Inicie el servicio del servidor de aplicaciones.

Seguridad del sistema de archivos

AEM Forms en JEE utiliza el sistema de archivos de las siguientes maneras:

Almacena los archivos temporales que se utilizan al procesar la entrada y salida del documento
Almacena archivos en el almacén de archivos global que se utilizan para admitir los componentes de la solución instalados
Las carpetas vigiladas almacenan archivos perdidos que se utilizan como entrada en un servicio desde una ubicación de carpetas del sistema de archivos

Cuando utilice carpetas vigiladas como forma de enviar y recibir documentos con un servicio de servidor de formularios, tenga precauciones adicionales con la seguridad del sistema de archivos. Cuando un usuario coloca contenido en la carpeta vigilada, ese contenido se expone a través de la carpeta vigilada. En este caso, el servicio no autentica al usuario final real. En su lugar, se basa en la seguridad de nivel ACL y Share que se debe establecer en el nivel de carpeta para determinar quién puede invocar el servicio de forma eficaz.

Recomendaciones de seguridad específicas de JBoss

Esta sección contiene recomendaciones de configuración del servidor de aplicaciones específicas de JBoss 7.0.6 cuando se usan para ejecutar AEM Forms en JEE.

Desactivar la consola de administración de JBoss y la consola JMX

El acceso a la consola de administración de JBoss y la consola JMX ya está configurado (la monitorización JMX está deshabilitada) cuando instala AEM Forms en JEE en JBoss mediante el método de instalación llave en mano. Si está utilizando su propio servidor de aplicaciones JBoss, asegúrese de que el acceso a la consola de administración de JBoss y a la consola de monitorización JMX esté protegido. El acceso a la consola de monitorización JMX se establece en el archivo de configuración JBoss llamado jmx-invoker-service.xml.

Desactivación de la exploración de directorios

Después de iniciar sesión en la Consola de administración, es posible examinar la lista de directorios de la consola modificando la dirección URL. Por ejemplo, si cambia la dirección URL a una de las siguientes direcciones URL, puede aparecer un listado de directorios:

https://<servername>:8080/adminui/secured/ 
https://<servername>:8080/um/

Recomendaciones de seguridad específicas de WebLogic

Esta sección contiene recomendaciones de configuración del servidor de aplicaciones para proteger WebLogic 9.1 al ejecutar AEM Forms en JEE.

Desactivación de la exploración de directorios

Establezca las propiedades de los directorios de índice del archivo weblogic.xml en false, como se muestra en este ejemplo:

<container-descriptor> 
    <index-directory-enabled>false 
    </index-directory-enabled> 
</container-descriptor>

Habilitar el puerto SSL de WebLogic

De forma predeterminada, WebLogic no habilita el puerto de escucha SSL predeterminado, 7002. Habilite este puerto en la consola de administración del servidor de WebLogic antes de configurar SSL.

Recomendaciones de seguridad específicas de WebSphere

Esta sección contiene recomendaciones de configuración del servidor de aplicaciones para proteger WebSphere que ejecuta AEM Forms en JEE.

Desactivación de la exploración de directorios

Establezca la propiedad directoryBrowsingEnabled en el archivo ibm-web-ext.xml en false.

Habilitar la seguridad administrativa de WebSphere

Inicie sesión en la Consola Administrativa de WebSphere.
En el árbol de navegación, vaya a Security > Global Security
Seleccione Habilitar seguridad administrativa.
Desmarque Habilitar seguridad de aplicación y Usar seguridad de Java 2.
Haga clic en OK o Aplicar.
En el cuadro Mensajes, haga clic en Guardar directamente en la configuración maestra.

Recursos en adobe.com

Style System Personalized Experiences Content Intelligence Theme Editor Dynamic Forms Digital Signage

Endurecimiento de la AEM Forms en el entorno JEE

Preinstalación

Seguridad de capa de red

Seguridad del sistema operativo

Instalación

Pasos posteriores a la instalación

Seguridad de AEM Forms

Cambiar la contraseña de administrador predeterminada

Deshabilitar generación WSDL

Seguridad del servidor de aplicaciones

Seguridad de la base de datos

Configuración de la seguridad integrada para SQL Server en Windows para JBoss

Configuración de la seguridad integrada para SQL Server en Windows para WebLogic

Configuración de la seguridad integrada para SQL Server en Windows para WebSphere

Protección del acceso al contenido confidencial en la base de datos

Seguridad LDAP

Negación de servicio LDAP

Establecer el bloqueo automático de cuentas

Auditoría y registro

Habilitar a un usuario que no es administrador para ejecutar PDF Generator

Configuración de AEM Forms en JEE para acceder más allá de la empresa

Configuración de un proxy inverso para acceso web

Protección contra ataques de falsificación de solicitudes entre sitios

Filtrado de referentes

Administración del filtrado del referente

Configuración de red segura

Protocolos de red utilizados por AEM Forms en JEE

Puertos para servidores de aplicaciones

Configuración de SSL

Configuración de la redirección SSL

Recomendaciones de seguridad específicas de Windows

Cuentas de JBoss Service

Ejecute el servidor de aplicaciones con una cuenta no administrativa

Seguridad del sistema de archivos

Recomendaciones de seguridad específicas de JBoss

Desactivar la consola de administración de JBoss y la consola JMX

Desactivación de la exploración de directorios

Recomendaciones de seguridad específicas de WebLogic

Desactivación de la exploración de directorios

Habilitar el puerto SSL de WebLogic

Recomendaciones de seguridad específicas de WebSphere

Desactivación de la exploración de directorios

Habilitar la seguridad administrativa de WebSphere

Recursos en adobe.com

En esta página

Ver siguiente:

Aprender

Documentación

Comunidad

Soporte técnico

Recursos

Cuenta de Adobe

Adobe