Experience League

Experience Cloud

Document Cloud

AEM 6.5Formsガイド
リリースノート
- リリースノート
- 新機能の概要
- 非推奨（廃止予定）の機能
はじめに
- AEM Forms の概要
- アダプティブフォームのオーサリングの概要
- 対話型通信の概要
- フォーム管理の概要
- 自動フォーム変換サービスの概要
- チュートリアル：最初のアダプティブフォームの作成
- チュートリアル：最初の対話型通信の作成
- AEM Formsリファレンス関連資料
AEM Forms のインストールと設定
- AEM Forms のアーキテクチャとデプロイメントトポロジー
- AEM Forms のインストールに永続性タイプを選択する
- OSGi での AEM Forms のインストール
- JEEにAEM Formsをインストール
- AEM Forms の設定
AEM Formsをアップグレード
- 有効なアップグレードパス
- OSGiのAEM Formsをアップグレード
- JEE上のAEM Formsをアップグレード
AEM Forms の管理
- OSGi 上の AEM Forms のグループと権限
- フォームを分類するための新しいフォルダーの作成
- フォームおよびアセットの検索
- フォームメタデータの管理
- XFA または PDF フォームテンプレートのダウンロード
- フォームと関連リソースの削除
- AEM Forms での XDP および PDF ドキュメントの取得
- AEM Forms におけるアセットの読み込みと書き出し
- アダプティブフォームのローカリゼーション用に新しいロケールをサポート
- ユーザーデータ
- 堅牢化AEM Forms環境
フォームデータモデル
- AEM Forms データ統合機能の概要
- データソースの設定
- Microsoft Dynamics Odataの構成
- フォームデータモデルを作成する
- フォームデータモデルの操作
- フォームデータモデルの使用
アダプティブフォーム - 基本オーサリング
- アダプティブフォームの操作のベストプラクティス
- アダプティブフォームの作成
- アダプティブフォームフラグメント
- 送信アクションの設定
- アダプティブフォームの CAPTCHA の使用
- アダプティブフォームのキーワード
- アダプティブフォームにおける表
- アダプティブフォームの自動保存
- リダイレクトページの設定
- アクセシブルなアダプティブフォームの作成
- 繰り返し可能なセクションを使用したフォームの作成
- AEM サイトページへのアダプティブフォームまたはインタラクティブ通信の埋め込み
- 外部 Web ページへのアダプティブフォームの埋め込み
- アダプティブフォームコンポーネントのインラインスタイリング
- 複数手順フォームシーケンスの概要
- アダプティブフォームのレイアウトの機能
- AEM Forms におけるプレースホルダーテキスト
- フォームのプレビュー
- アダプティブフォームの再利用
- アダプティブフォームにおけるセパレータコンポーネント
- 手書き署名を使用したフォームへの電子署名の適用
- AEM Forms のキーボードショートカット
- フォームへの送信レビュー担当者の関連付け
- フォームのフィールドのための文脈依存ヘルプの作成
- レイアウトモードを使用してコンポーネントのサイズを変更する
アダプティブフォーム - 高度なオーサリング
- JSON スキーマを使用したアダプティブフォームの作成
- XML スキーマを使ったアダプティブフォームの作成
- アダプティブフォームで Adobe Sign を使用する
- テーマを作成して使用する
- アダプティブフォームのルールエディタ－
- アダプティブフォームからフォームデータモデルサービスを呼び出すための API
- アダプティブフォームの非同期送信
- アダプティブフォームのセットを使用したアダプティブフォームの作成
- アダプティブフォームテンプレート
- アダプティブフォームの数式
- アダプティブフォームにおけるレコードのドキュメントの生成
- 遅延読み込みによる大きなフォームのパフォーマンスの向上
- アダプティブフォームのフィールドの事前入力
- アダプティブフォームでの SOM 式の使用
- ユーザーデータからフォーム送信メタデータへの情報の追加
- XDP ベースのアダプティブフォームにおける XFA のサポート
- Designer の Page Zero コンテンツの変更
- 選択したユーザーグループにルールエディターへのアクセスを許可する
- AEM 翻訳ワークフローを使用したアダプティブフォームとレコードのドキュメントのローカライズ
- アダプティブフォームのテスト自動化
- アダプティブフォームのスタイル構成
- アダプティブフォームと XFA フォームテンプレートとの同期
- Adobe Sign を AEM Forms に統合する
- フォームのアセットのレビューの作成と管理
- アダプティブフォームまたはインタラクティブコミュニケーションをAEM Sitesのシングルページアプリに埋め込む
- アダプティブFormsの標準検証エラーメッセージ
インタラクティブコミュニケーション
- インタラクティブ通信オーサリング UI の概要
- インタラクティブ通信の作成
- インタラクティブ通信内でグラフを使用する
- インタラクティブ通信内のテキスト
- インタラクティブ通信内の条件
- エージェント UI を使用してインタラクティブ通信の準備と送信を行う
- 印刷チャネルと Web チャネル
- インタラクティブ通信の設定プロパティ
- 複数の対話型通信の生成
- レイアウトモードを使用してコンポーネントのサイズを変更する
ワークフロー
- OSGi 上の Forms 中心のワークフロー
- OSGi 上の Forms 中心のワークフロー - ステップリファレンス
- AEM Forms 中心のワークフローステップ用にユーザーまたはグループを動的に選択する
- OSGi 上のフォームベース AEM ワークフローおよび AEM Forms JEE ワークフローのアクションと機能
- AEM ワークフローからの Document Services API の開始
- AEM Formsワークフローにログインする
- AEMワークフローの変数
- ユーザーのインボックスアイテムの共有とアクセスの要求
- 不在の設定
AEM Forms Workspace
- AEM Forms Workspace の概要
- AEM Forms Workspace の操作
- AEM Forms Workspace のアーキテクチャ
- Flex Workspace では利用できない AEM Forms Workspace の機能
- AEM Forms Workspace では利用できない Flex Workspace の機能
- Backbone インタラクション
- 再利用可能なコンポーネントの説明
- レンダラーのためのドキュメントの詳細
- Web アプリケーションでの AEM Forms Workspace コンポーネントの統合
- 新しいレンダリングと送信サービス
- フォルダー構造について
- AEM Forms Workspace でのサードパーティアプリケーションの統合
- AEM Forms Workspace JSON オブジェクトの詳細
- AEM Forms Workspace のカスタマイズの概要
- AEM Forms Workspace のカスタマイズの一般的な手順
- AEM Forms Workspace ユーザーインターフェイスのロケールの変更
- 新しいログイン画面の作成
- エラーダイアログのカスタマイズ
- タスクのタブのカスタマイズ
- タスクの詳細ページのカスタマイズ
- プロセスインスタンスのリストのカスタマイズ
- タスクアクションのカスタマイズ
- TODO リストでの追加のデータの表示
- サマリー URL でのタスク変数の取得
- ルートアクションで使用されるイメージのカスタマイズ
- JavaScript ファイルの縮小
- 追跡テーブルのカスタマイズ
- ドキュメントへのリンクの更新
- AEM Forms Workspace のフォームセットの使用
- AEM Forms ワークスペースで使用する各種 API
- AEM Forms Workspace における既存のプロセスデータを使用した新しいプロセスの開始
- 2 つの AEM Forms ワークプレースインスタンスを 1 つのサーバー上にホストする
- インターフェイスのカラースキーム変更
- インターフェイスのフォントの変更
- ブランディングのための組織ロゴの変更
- タスクの概要ペインでの情報の表示
- ユーザーアバターの表示
- AEM Forms Workspace の概要
- マネージャービューを使用した組織階層でのタスクの管理
- プロセスの開始
- プロセスの追跡
- シングルサインオンとタイムアウトハンドラー
- HTML Workspace でのアダプティブフォームの使用
- AEM Forms Workspace に Microsoft Office SharePoint Server を統合する
- TODO リストの操作
- AEM Forms Workspace のトラブルシューティングガイドライン
AEM Forms アプリケーション
- AEM Formsアプリの紹介
- AEM Forms アプリケーションの環境設定
- Xcode プロジェクトの設定と iOS アプリケーションの構築
- セキュアな AEM Forms アプリケーション（iOS 用）の構築
- Visual Studio プロジェクトの設定と Windows アプリケーションの構築
- Android Studio プロジェクトのセットアップと Android アプリの作成
- AEM Forms Android アプリケーションの構築
- AEM Forms アプリの配布
- ジェスチャーのカスタマイズ
- ブランディングのカスタマイズ
- テーマのカスタマイズ
- AEM Forms アプリケーションへのログイン
- ホーム画面
- アプリケーションの同期
- フォームの操作
- スタートポイントの使用
- タスクを開く
- タスクまたはフォームをドラフトとして保存する
- AEM Forms アプリケーションで自動保存を使用
- フォームをテンプレートとして保存
- 添付ファイルの追加
- オフラインモードの使用
- 一般設定の更新
- AEM Forms アプリケーションのトラブルシューティング
HTML5 のフォーム
- HTML5 フォームの概要
- HTML5 forms の概要
- HTML5 フォームのアーキテクチャ
- HTML5 フォームと PDF フォームの機能の違い
- HTML5 フォームに関するよくある質問（FAQ）
- HTML5 フォーム用のフォームテンプレートのデザイン
- HTML5 フォームのベストプラクティス
- アクセス可能な HTML5 フォームの設計
- XDP フォームの HTML5 プレビューの生成
- HTML5 forms 用のフォームテンプレートのレンダリング
- HTML5フォームの添付ファイルの有効化
- HTML5 forms サービスプロキシ
- HTML5 フォームの最適化
- HTML5 フォーム向けのスクリーンリーダー
- HTML5 フォームのカスタムプロファイルの作成
- HTML5 フォームでの右から左に書く言語
- Form Bridge と HTML5 フォームのカスタムポータルの統合
- HTML5 フォームのカスタム外観の作成
- HTML5 フォームのデフォルトスタイルの変更
- HTML5 フォームにおけるパターン形式文字列サポート
- アクセス可能な複雑なテーブルを HTML5 フォームで作成する
- HTML5 フォームのための CSS スタイルの作成
- HTML5 フォームのエラーメッセージのカスタマイズ
- HTML5 フォームのドラフトでの保存
- HTML5 フォーム内でのログの有効化
- HTML5 フォームのデバッグ
- HTML5 フォームのスクリプティングのサポート
- AEM Forms におけるフォームセット
レターおよび通信
- Correspondence Management の概要
- レイアウトデザイン
- データディクショナリ
- ドキュメントフラグメント
- レターの作成
- 通信を作成
- 式ビルダーのリモート関数
- エージェント署名画像の管理
- レターとインタラクティブ通信の後処理
- アセット一覧表示画面へのカスタムアクションの追加
- 「通信を作成」UI へのカスタムアクションまたはボタンの追加
- Correspondence Management アセットへのカスタムプロパティの追加
- 通信作成用 UI のカスタマイズ
- テキストエディターのカスタマイズ
- Correspondence Management：トラブルシューティング
- レターインスタンスにアクセスするための API
- カスタムポータルにおける通信を作成の UI の統合
- Correspondence Management でカスタム特殊文字を使用する
- レター PDF プレビューのカスタム透かし
- Correspondence Management Solution の設定
- インタラクティブ通信とレターのインライン条件と繰り返し構造
- ドキュメントフラグメント
- Correspondence Management設定プロパティ
AEM FormsとExperience Cloudソリューションを統合
- AEM Forms でターゲット設定されたエクスペリエンスを作成する
- フォームのコンバージョン率の測定と効率性の改善
- Analytics とレポートの設定
- AEM Forms の分析レポートの確認方法と詳細
- アダプティブフォームの A/B テストの作成と管理
AEM Formsの発行と処理
- ポータル上のフォーム発行の概要
- ドラフトと送信コンポーネントとデータベースの統合のサンプル
- ドラフトと送信に使用するストレージサービスの設定
- AEM インボックスでの Forms アプリケーションとタスクの管理
- AEM Forms の監視フォルダー
- ドラフトと送信コンポーネント
- ページでのリンクコンポーネントの埋め込み
- フォームとドキュメントの発行と非公開
- API を使用した Web ページ上のフォームの一覧表示
- 発行済みフォームへのアクセスと入力
- 電子メールによるフォーム送信確認の送信
- 監視フォルダーの作成または設定
- タスクの割り当て手順におけるカスタムの電子メールテンプレートの使用
- 電子メール通知におけるメタデータの使用
フォームポータル
- フォームポータルコンポーネントのテンプレートをカスタマイズする
- フォームポータルコンポーネントの有効化
- フォームポータルページの作成
- フォームポータルで送信済みフォームを操作するための API
- ドラフトと送信コンポーネントのカスタムストレージ
ドキュメントサービス
- AEM ドキュメントサービスの概要
- Forms サービス
- Output サービス
- ConvertPDF サービス
- Barcoded Forms サービス
- Assembler サービスの使用
- ドキュメントのデジタル署名や証明に HSM を使用する
- AEM Document Services をプログラムとして使用する
- sendToPrinter API の使用
Document Security
- Document Security の機能
- Document Security によって保護された PDF ドキュメントを AEM で検索可能にする
- ポータブル保護ライブラリを使用して、ポリシーで保護された PDF ドキュメントを Reader 用に拡張します。
- Document Security によって保護された PDF ドキュメントと Microsoft Office ドキュメントを AEM で検索可能にする
- 別のユーザーの代わりにドキュメントを保護する
Forms - Designer
- Designer の使用
- Designer クイックスタートチュートリアル
- Designer サンプル
- Designer スクリプティング基礎
- Designer スクリプティングリファレンス
- Designer FormCalc リファレンス
- HTML5 フォームでの手書き署名の使用
AEM Forms のカスタマイズ
- アダプティブフォームおよび HTML5 フォームの外観フレームワーク
- カスタムアダプティブフォームのテンプレートの作成
- アダプティブフォームのカスタムレイアウトコンポーネントの作成
- フォームリスター項目にカスタムアクションボタンを追加
- アダプティブフォームのエラーメッセージのレイアウトと位置のカスタマイズ
- カスタムツールバーアクションの作成
- フォームのイベント追跡のカスタマイズ
- アダプティブフォームフィールドのカスタム外観の作成
- ドラフトおよび送信データサービスのカスタマイズ
- ドロップダウンリストの動的な自動入力
- アダプティブフォーム向けのカスタム送信アクションの作成
- カスタムツールバーレイアウトの作成
- 使用するテンプレートに基づいたコンポーネントの表示
- カスタムアダプティブフォームテーマの作成
トランザクションレポート
- トランザクションレポートの概要
- 取引レポートの表示と理解
- トランザクションレポート請求可能API
- カスタム実装用のトランザクションの記録
JEE上のAEM Formsの管理ヘルプ
- はじめに
  - AEM Forms の一般設定
  - デプロイメントのライセンスの種類の更新
- ドメインの設定と管理
  - ドメインの追加
  - ドメインの削除
  - アカウントロックの設定
  - 既存のドメインの編集と変換
  - 認証プロバイダーの設定
  - ディレクトリの同期
  - ディレクトリの設定
- User Management の設定
  - 認証評価の順序の変更
  - LDAP バインドパスワードの設定
  - ドメイン情報をプリフェッチするための AEM forms の設定
  - 証明書ベースの認証の設定
  - SAML サービスプロバイダーの設定
  - AEM forms でのシングルサインオンの有効化
  - SSL 対応の LDAP サーバーを対象とした User Management の設定
  - 設定ファイルの読み込みと書き出し
  - 詳細なシステム属性の設定
  - CSRF 攻撃の防止
- ユーザーの設定および編成
  - ユーザーの追加および設定
  - ジャストインタイムのユーザープロビジョニング
  - グループの作成および設定
  - ユーザーまたはグループの検索
  - ロールの作成および設定
- コンテンツ管理システムへの接続
  - Connector for EMC Documentum の設定
  - Connector for IBM FileNet の設定
  - Connector for IBM Content Manager の設定
  - Connector for Microsoft SharePoint の設定
- 証明書と秘密鍵証明書の管理
  - ユーザー名とパスワードの秘密鍵証明書の追加と削除
  - 証明書失効リストの管理
  - 証明書と秘密鍵証明書の管理の基本事項
  - 証明書の管理
  - HSM 秘密鍵証明書の管理
  - ローカル秘密鍵証明書の管理
- アプリケーションおよびアーカイブの読み込みと管理
  - アプリケーションおよびサービスページに表示するアイテム数の変更
  - アーカイブの読み込みと管理
  - アプリケーションの読み込みと管理
- サービスの管理
  - サービス設定の指定
  - サービスの開始と停止
- エンドポイントの管理
  - エンドポイントの追加、有効化、変更または削除
  - 電子メールエンドポイントの設定
  - リモートエンドポイントの設定
  - 監視フォルダーエンドポイントの設定
  - タスクマネージャーエンドポイントの設定
  - エンドポイントの種類
- Acrobat Reader DC Extensions の設定
  - Acrobat Reader DC Extensions で使用される証明書の種類
  - PDF ドキュメントでの有効な証明書と期限切れ証明書の認識
  - データ取得のための Acrobat Reader DC Extensions の設定
  - 秘密鍵証明書の使用に関する情報の確認
  - 証明書を Acrobat Reader DC Extensions で使用するための設定
  - PDF ファイルの使用権限の確認
  - Adobe Reader Web ブラウザープラグインのオンライン注釈を有効にする
  - Acrobat Reader DC Extensions で使用するタイムアウト値の設定
- PDF Generator の操作
  - PDF Generator の操作の概要
  - マルチスレッドファイル変換の有効化
  - Adobe PDF 設定の指定
  - セキュリティ設定の指定
  - ファイルタイプ設定の指定
  - PDF Generator 設定ファイルの読み込みおよび書き出し
  - PDF/A サポートの有効化
  - PDFG ネットワークプリンターの設定（Windows のみ）
  - 代替フォントの設定
  - PDF の書き出しの変換設定の変更
  - PDF Generator を使用したファイルの変換
- SSL の設定
  - SSL 設定の概要
  - JBoss Application Server に対する SSL の設定
  - Windows Vista での SSL の設定
  - WebSphere Application Server に対する SSL の設定
- Document Security の使用
  - Document Security について
  - 大量の保護された情報の配布
  - クライアントおよびサーバーオプションの設定
  - 招待ユーザーおよびローカルユーザーのアカウントの管理
  - ポリシーで保護されたドキュメントへのアクセス制御
  - イベントの監視
  - ポリシーの作成と管理
  - Document Security Web ページの使用
  - ポリシーセットの作成および管理
  - ユーザーの登録
- Forms の設定
  - Forms 設定の基本事項
  - 国際化対応オプションの設定
  - Forms のキャッシュの構成
  - XCI 設定オプションの指定
  - フォーム出力の設定
  - 埋め込むフォントの指定
  - Forms の場所の設定
  - セキュリティ設定の指定
  - 検証メッセージの設定
- Output の設定
  - Output サービスの概要
  - XCI 設定オプションの指定
  - Output のキャッシュの構成
  - Output のファイルの場所の指定
  - フォントを使用可能にする
  - 埋め込むフォントの指定
  - セキュリティ設定の指定
  - 文字セットの変更
- Forms ワークフローの設定
  - 管理およびプロセスの用語について
  - プロセスの管理
  - 業務カレンダーの設定
  - Forms ワークフローの概要
  - 不在設定の指定
  - プロセスインスタンスの検索
  - サーバー設定の指定
  - 停止した操作および停止したブランチの使用
  - 共有キューの設定
  - タスクの使用
- Workspace の設定
  - Workspace の概要
  - グローバル設定の読み込みと書き出し
  - 今日のお知らせの設定
  - 検索テンプレートのカスタマイズ
  - Workspace に表示されるカテゴリの管理
- ヘルスモニター
  - ヘルスモニターの概要
  - ヘルスモニターのパフォーマンスに関する微調整
  - ワークマネージャーに関連する統計情報の表示
  - システム情報の表示
  - ジョブマネージャーのデータベースからの古いレコードの削除
- AEM Forms の保守
  - ログファイル
  - ユーザー管理
  - AEM Forms のデプロイメントの監視
  - ワークマネージャーとスロットリング
  - メンテナンスモードでの AEM Forms の実行
- AEM Forms データベースの保守
  - DB2 データベース：週単位のプロセス実行
  - Oracle データベースの最大オープンカーソル数のしきい値
  - IBM DB2 データベース：定期保守のコマンドの実行
  - プロセスデータの削除
  - Microsoft SQL Server データベース：設定の最適なチューニング
  - データベースの増大を最小にするためのヒント
- アプリケーションサーバーの管理
  - アプリケーションサーバーの Web サイト
  - グローバルドキュメントストレージディレクトリ
  - 管理コンソール実行時の考慮事項
  - アプリケーションサーバーのパフォーマンスの強化
  - WebSphere Application Server の起動と停止
- AEM Forms のバックアップと回復
  - EMC Documentum リポジトリのバックアップと回復
  - セーフバックアップモードの有効化と無効化
  - AEM Forms データのバックアップ
  - バックアップおよび回復するファイル
  - AEM forms のバックアップと回復方法
  - PDF Generator バックアップの制限事項
  - 監視フォルダーのバックアップ方法
  - AEM Forms データの回復
  - Connector for EMC Documentum ユーザー向けのバックアップ方法
  - クラスター環境でのバックアップと復元の方策
- システム情報サービス
  - システム情報サービスのセットアップ
  - システム情報サービス API
プロセスレポート
- プロセスレポートの概要
- プロセスレポートの概要
- プロセスレポートの仕組み
- プロセスレポートの事前定義済みレポート
- プロセスレポートのカスタムレポート
- プロセスレポートのアドホッククエリ
- プロセスレポートのトラブルシューティング
開発者向けリファレンス
- 開発者の基本事項
- HTML テンプレート言語
- アダプティブフォームをデバッグするための AEM プラグイン。
- AEM Forms Java API リファレンス
- JEE での AEM Forms の Java API リファレンス
- HTML5 フォームの Form Bridge API
- アダプティブフォームの JavaScript ライブラリ API リファレンス
- Assembler サービスおよび DDX リファレンス
- Workbench ヘルプ
- JEE上のAEM Formsとのプログラミング

JEE 上の AEM Forms 環境の堅牢化

企業のイントラネット内で実行されているJEE上のAEM Formsのセキュリティを強化するための、様々なセキュリティ堅牢化設定について説明します。

この記事では、JEE 上の AEM Forms を実行するサーバーを保護するための推奨事項とベストプラクティスについて説明します。ここでは、オペレーティングシステムとアプリケーションサーバーのホストの堅牢化について包括的な説明はしません。企業のイントラネット内で実行しているJEE上のAEM Formsのセキュリティを強化するために実装する必要がある、様々なセキュリティ堅牢化設定について説明します。なお、JEE 上の AEM Forms アプリケーションサーバーのセキュリティを確実に保つには、これだけでなく、セキュリティの監視、検出および応答の方策を実装することも必要です。

この記事では、インストールと設定の作業において、次の各段階で適用する堅牢化手法について説明します。

インストール前：この手法は、JEE 上の AEM Forms をインストールする前に実行します。
インストール：この手 法は、JEE上のAEM Formsのインストールプロセスで使用します。
インストール後：この手法は、インストール終了後と、それ以降の定期的な管理作業として実行します。

JEE 上の AEM Forms は詳細なカスタマイズが可能で、様々な環境で動作します。推奨事項には、一部の組織のニーズに合わないものも含まれている可能性があります。

インストール前

JEE 上の AEM Forms をインストールする前には、ネットワーク層とオペレーティングシステムに対してセキュリティソリューションを適用することができます。ここでは、いくつかの問題と、この領域におけるセキュリティの脆弱性を減らすための推奨事項について説明します。

UNIX および Linux へのインストールと設定

JEE 上の AEM Forms のインストール作業や設定作業を実行するときは、ルートシェルを使用しないでください。デフォルトでは、ファイルは /opt ディレクトリの下にインストールされるので、インストールを実行するユーザーには /opt 以下のすべてのファイルの権限が必要です。または、各ユーザーには /user ディレクトリに対するすべてのファイル権限があらかじめ付与されているので、/user ディレクトリにインストールを実行することもできます。

Windows へのインストールと設定

自動オプションインストールを使用して JBoss に JEE 上の AEM Forms をインストールする場合、または PDF Generator をインストールする場合、Windows へのインストールは管理者として実行する必要があります。また、PDF Generator をネイティブアプリケーションサポートと共に Windows にインストールする場合は、Microsoft Office をインストールしたのと同じ Windows ユーザーとしてインストールを実行する必要があります。インストールの権限について詳しくは、使用しているアプリケーションサーバー版の『JEE*上のAEM Formsのインストールおよびデプロイ』ドキュメントを参照してください。

ネットワーク層のセキュリティ

ネットワークセキュリティの脆弱性は、インターネットまたはイントラネットに接続しているすべてのアプリケーションサーバーにとって、最も重大な脅威の 1 つです。ここでは、このような脆弱性に対してネットワーク上のホストを堅牢化する手順について説明します。具体的には、ネットワークのセグメント化、TCP/IP（Transmission Control Protocol/Internet Protocol）スタックの堅牢化、ホスト保護のためのファイアウォールの使用などの手順を取り上げます。

次の表では、ネットワークセキュリティの脆弱性を減らすための一般的なプロセスについて説明します。

問題	説明
非武装地帯（DMZ）	forms サーバーを非武装地帯（DMZ）にデプロイします。ファイアウォールの内側に配置された、JEE 上の AEM Forms を実行するアプリケーションサーバーに対して、少なくとも 2 つのレベルでセグメント化が必要です。Web サーバーを含む DMZ から外部ネットワークを分離します。同様に、外部ネットワークは内部ネットワークからも分離している必要があります。ファイアウォールを使用して、この分離した層を実装します。必要最小限のデータのみが許可されるように、各ネットワーク層を通過するトラフィックを分類して制御します。
プライベート IP アドレス	RFC 1918プライベートIPアドレスを含むNetwork Address Translation(NAT)をAEM Formsアプリケーションサーバーで使用します。プライベートIPアドレス(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)を割り当てると、攻撃者がインターネットを介してNAT内部ホストとの間でトラフィックをルーティングするのを難しくします。
ファイアウォール	次の基準を使用して、ファイアウォールソリューションを選択します。単純なパケットフィルタリングソリューションではなく、プロキシサーバーまたは「ステートフルインスペクション」をサポートするファイアウォールを実装する。明示的に許可されたサービス以外のすべてのサービスを拒否するファイアウォールを使用してください。デュアルホームまたはマルチホームのファイアウォールソリューションを実装する。このアーキテクチャによって、最も高いセキュリティレベルが実現し、権限のないユーザーがファイアウォールセキュリティを迂回できないようにすることができます。
データベースポート	データベースのデフォルトのリスニングポート（MySQL - 3306、Oracle - 1521、MS SQL - 1433）は、使用しないでください。データベースポートの変更について詳しくは、データベースのドキュメントを参照してください。データベースポートを変更すると、JEE 上の AEM Forms の設定全体に影響します。デフォルトポートを変更した場合、JEE 上の AEM Forms のデータソースなど、設定の別の領域を変更内容に合わせて修正する必要があります。 JEE上のAEM Formsでのデータソースの設定について詳しくは、AEM Formsユーザーガイドで、使用しているアプリケーションサーバー版の「JEE上のAEM Formsのインストールとアップグレード」または「JEE上のAEM Formsへのアップグレード」を参照してください。

オペレーティングシステムのセキュリティ

次の表では、オペレーティングシステムに存在するセキュリティの脆弱性を最小にするために役立つ方法について説明します。

問題	説明
セキュリティパッチ	ベンダーのセキュリティパッチとアップデートが迅速に適用されない場合、権限のないユーザーがアプリケーションサーバーにアクセスするリスクが高まります。実稼働サーバーにセキュリティパッチを適用する場合は、適用する前にテストしてください。さらに、パッチを定期的にチェックしてインストールするためのポリシーとプロシージャを作成してください。
ウイルス対策ソフトウェア	ウイルススキャンプログラムは、署名をスキャンするか、異常な動作を監視することによって、感染ファイルを識別します。スキャンプログラムでは、ウイルスの署名をファイルに保管します。通常、このファイルはローカルハードドライブに格納されます。新しいウイルスは次から次へと出現するので、ウイルススキャンプログラムですべての最新のウイルスを識別できるように、このファイルを頻繁に更新する必要があります。
ネットワークタイムプロトコル（NTP）	フォレンジック分析のために、forms サーバーの時計は常に正確に設定されている必要があります。NTP を使用して、インターネットに直接接続しているすべてのシステムの時間を同期させてください。

問題

説明

セキュリティパッチ

ベンダーのセキュリティパッチとアップデートが迅速に適用されない場合、権限のないユーザーがアプリケーションサーバーにアクセスするリスクが高まります。実稼働サーバーにセキュリティパッチを適用する場合は、適用する前にテストしてください。

さらに、パッチを定期的にチェックしてインストールするためのポリシーとプロシージャを作成してください。

ウイルス対策ソフトウェア

ウイルススキャンプログラムは、署名をスキャンするか、異常な動作を監視することによって、感染ファイルを識別します。スキャンプログラムでは、ウイルスの署名をファイルに保管します。通常、このファイルはローカルハードドライブに格納されます。新しいウイルスは次から次へと出現するので、ウイルススキャンプログラムですべての最新のウイルスを識別できるように、このファイルを頻繁に更新する必要があります。

ネットワークタイムプロトコル（NTP）

フォレンジック分析のために、forms サーバーの時計は常に正確に設定されている必要があります。NTP を使用して、インターネットに直接接続しているすべてのシステムの時間を同期させてください。

オペレーティングシステムのセキュリティに関するその他の情報については、"オペレーティングシステムのセキュリティ情報"を参照してください。

インストール

ここでは、AEM Forms インストールプロセスで、セキュリティの脆弱性を減らすために使用できる方法について説明します。これらの方法では、状況によってはインストールプロセスのオプションを使用します。次の表では、各方法について解説します。

問題	説明
権限	ソフトウェアのインストールに必要な権限の数が最少限になるようにしてください。 Administrators グループに属していないアカウントでコンピューターにログインします。Windows では、runas コマンドを使用して、管理者ユーザーとして JEE 上の AEM Forms インストーラーを実行することができます。UNIX および Linux システムでは、`sudo` などのコマンドを使用してソフトウェアをインストールします。
ソフトウェアソース	信頼できないソースから JEE 上の AEM Forms をダウンロードまたは実行しないでください。悪意のあるプログラムには、データの盗難、改変、削除、サービス拒否などの様々な手段でセキュリティを侵害するコードが含まれています。必ず、Adobe DVD または信頼できるソースから入手した JEE 上の AEM Forms をインストールしてください。
ディスクのパーティション	JEE 上の AEM Forms は、専用のディスクパーティションに配置してください。ディスクのセグメント化とは、セキュリティを強化するために、サーバー上の特定のデータを個別の物理ディスクに保管するプロセスのことです。この方法でデータを整理すると、ディレクトリトラバーサル攻撃のリスクを軽減することができます。システムパーティションとは別に、JEE 上の AEM Forms コンテンツディレクトリをインストールするパーティションを作成することを検討してください。（Windows のシステムパーティションには system32 ディレクトリまたはブートパーティションが含まれています）。
コンポーネント	既存のサービスを評価し、不要なサービスを無効化またはアンインストールしてください。不要なコンポーネントやサービスをインストールしないでください。アプリケーションサーバーのデフォルトインストールには、サーバーの用途によっては必要のないサービスが含まれている可能性があります。攻撃のエントリポイントを最小限に抑えるために、デプロイメントに先立って、不要なサービスをすべて無効にする必要があります。例えば、JBoss では、META-INF/jboss-service.xml 記述子ファイル内の不要なサービスをコメントアウトします。
クロスドメインポリシーファイル	サーバー上に `crossdomain.xml` ファイルが存在すると、そのサーバーを直ちに弱化させる可能性があります。ドメインのリストに可能な限り制限をかけることをお勧めします。ガイド`crossdomain.xml`（非推奨）を使用する場合、開発環境から実稼働環境への移行中に使用されるファイルを配置しないでください。Web サービスで使用されるガイドの場合、ガイドを提供するサーバーと同じサーバー上にそのサービスがあれば、`crossdomain.xml` ファイルはまったく必要ありません。しかし、サービスが別のサーバー上にある場合や、クラスターが関係している場合は、`crossdomain.xml` ファイルが存在している必要があります。crossdomain.xmlファイルについて詳しくは、https://kb2.adobe.com/cps/142/tn_14213.htmlを参照してください。
オペレーティングシステムのセキュリティ設定	Solarisプラットフォームで192ビットまたは256ビットのXML暗号化を使用する必要がある場合は、`pkcs11_softtoken.so`ではなく`pkcs11_softtoken_extra.so`をインストールしてください。

インストール後の手順

JEE 上の AEM Forms のインストールが完了したら、セキュリティ上の観点から、定期的に環境の保守を行うことが重要です。

次の節では、デプロイ済みの Forms サーバーを保護するための、各種の推奨タスクについて詳細に説明します。

AEM Forms のセキュリティ

次の推奨設定は、管理 Web アプリケーションの外にある JEE 上の AEM Forms サーバーに適用されます。サーバーのセキュリティリスクを軽減するには、この設定を JEE 上の AEM Forms のインストール直後に適用してください。

セキュリティパッチ

ベンダーのセキュリティパッチとアップデートが迅速に適用されない場合、権限のないユーザーがアプリケーションサーバーにアクセスするリスクが高まります。実稼働サーバーにセキュリティパッチを適用する場合は、事前にテストを実施し、アプリケーションの互換性と可用性を確認した上で適用してください。また、パッチのチェックとインストールを定期的に行うためのポリシーと手続きを定めてください。JEE 上の AEM Forms のアップデートは Enterprise 製品のダウンロードサイトにあります。

サービスアカウント（Windows への JBoss 自動インストールのみ）

JEE 上の AEM Forms は、デフォルトでは、LocalSystem アカウントを使用してサービスをインストールします。組み込み LocalSystem ユーザーアカウントは、高いレベルのアクセス権限を付与されており、Administrators グループに属しています。ワーカープロセス ID を LocalSystem ユーザーアカウントで実行した場合、そのワーカープロセスはシステム全体に対してフルアクセス権限を持ちます。

JEE 上の AEM Forms のデプロイ先のアプリケーションサーバーを実行するには、次の手順に従って、管理者以外の固有のアカウントを使用してください。

Microsoft 管理コンソール（MMC）で、forms サーバーサービスへのログインに使用するローカルユーザーを作成します。
- 「ユーザーはパスワードを変更できない」オプションを選択します。
- 「所属するグループ」タブに、「ユーザー」グループが表示されていることを確認してください。
メモ

PDF Generator 用のこの設定は変更できません。
スタート／設定／管理ツール／サービスを選択します。
JEE 上の AEM Forms 向けの JBoss をダブルクリックして、サービスを停止します。
「ログオン」タブで、「アカウント」を選択し、作成したユーザーアカウントを参照して、アカウントのパスワードを入力します。
MMC で、「ローカルセキュリティ設定」を開き、ローカルポリシー／ユーザー権利の割り当てを選択します。
forms サーバーを実行しているユーザーアカウントに、次の権限を割り当てます。
- ターミナルサービスを使ったログオンを拒否する
- ローカルでログオンを拒否する
- サービスとしてログオン（通常は既に設定済み）
次のディレクトリの新しいユーザーアカウントに変更権限を与えます。
- グローバルドキュメントストレージ(GDS)ディレクトリ:GDSディレクトリの場所は、AEM Formsのインストールプロセス中に手動で設定します。インストール時に場所の設定が空のままの場合、[JBoss root]/server/[type]/svcnative/DocumentStorageにあるアプリケーションサーバーのインストール下のディレクトリがデフォルトの場所になります。
- CRX-Repositoryディレクトリ:デフォルトの場所は [AEM-Forms-installation-location]\crx-repository
- AEM Forms一時ディレクトリ:
  - （Windows）環境変数で設定されている TMP または TEMP パス
  - （AIX、Linux または Solaris）ログインユーザーのホームディレクトリUNIX 系のシステムでは、root 以外のユーザーは次のディレクトリを一時ディレクトリとして使用できます。
  - （Linux）/var/tmp or /usr/tmp
  - （AIX）/tmp or /usr/tmp
  - （Solaris）/var/tmp または /usr/tmp
次のディレクトリに対する新しいユーザーアカウントの書き込み権限を付与します。
- [JBoss-directory]\standalone\deployment
- [JBoss-directory]\standalone\
- [JBoss-directory]\bin\
メモ
JBoss Application Serverのデフォルトのインストール場所：
- Windows:C:\Adobe\Adobe_Experience_Manager_Forms\jboss
- Linux:/opt/jboss/
アプリケーションサーバーを起動します。

Configuration Manager ブートストラップサーブレットの無効化

Configuration Manager は、アプリケーションサーバーにデプロイ済みのサーブレットを利用して、JEE 上の AEM Forms データベースのブートストラップを実行します。Configuration Manager は、設定が完了する前にこのサーブレットにアクセスするので、承認済みユーザーのみにアクセスを限定するセキュリティは施されていません。Configuration Manager を使用して JEE 上の AEM Forms の設定を完了した後は、このサーブレットを無効にしてください。

adobe-livecycle-[appserver].earファイルを解凍します。
META-INF/application.xml ファイルを開きます。

adobe-bootstrapper.war セクションを検索します。

<!-- bootstrapper start --> 
<module id="WebApp_adobe_bootstrapper"> 
    <web> 
        <web-uri>adobe-bootstrapper.war</web-uri> 
        <context-root>/adobe-bootstrapper</context-root> 
    </web> 
</module> 
<module id="WebApp_adobe_lcm_bootstrapper_redirector"> 
    <web> 
        <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri> 
        <context-root>/adobe-lcm-bootstrapper</context-root> 
    </web> 
</module> 
<!-- bootstrapper end-->

AEM Forms Server を停止します。

adobe-bootstrapper.war および adobe-lcm-bootstrapper-redirectory. war モジュールを次のようにコメントアウトします。

<!-- bootstrapper start --> 
<!-- 
<module id="WebApp_adobe_bootstrapper"> 
    <web> 
        <web-uri>adobe-bootstrapper.war</web-uri> 
        <context-root>/adobe-bootstrapper</context-root> 
    </web> 
</module> 
<module id="WebApp_adobe_lcm_bootstrapper_redirector"> 
    <web> 
        <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri> 
        <context-root>/adobe-lcm-bootstrapper</context-root> 
    </web> 
</module> 
--> 
<!-- bootstrapper end-->

META-INF/application.xml ファイルを保存して閉じます。
EAR ファイルの zip ファイルを作成し、アプリケーションサーバーに再デプロイします。
AEM Forms サーバーを開始します。
次のURLをブラウザーに入力して、変更をテストし、機能しないことを確認します。

https://<localhost>:<port>/adobe-bootstrapper/bootstrap

Trust Store へのリモートアクセスのロックダウン

Configuration Manager を使用して、Acrobat Reader DC Extensions の資格情報を JEE 上の AEM Forms Trust Store にアップロードできます。つまり、リモートプロトコル（SOAP および EJB）経由の Trust Store 資格情報サービスへのアクセスは、デフォルトで有効になっています。このアクセスは、Configuration Managerを使用して使用権限秘密鍵証明書をアップロードした後、または管理コンソールを使用して秘密鍵証明書を後で管理する場合は、必要なくなります。

サービスへの不要なリモートアクセスの無効化の手順に従って、Trust Store の全サービスへのリモートアクセスを無効にすることができます。

すべての不要な匿名アクセスの無効化

一部の forms サーバーサービスには、匿名の呼び出しによって実行される操作があります。このようなサービスへの匿名アクセスが必要ない場合は、サービスへの不要な匿名アクセスの無効化の手順に従って、アクセスを無効にしてください。

デフォルトの管理者パスワードの変更

JEE 上の AEM Forms をインストールすると、上級管理者ユーザーまたはログイン ID 管理者ユーザーのために、デフォルトパスワードが「password」であるデフォルトユーザーアカウントが 1 つ設定されます。このパスワードは、Configuration Manager を使用して直ちに変更してください。

Web ブラウザーに次の URL を入力します。
```
https://[host name]:[port]/adminui
```
デフォルトのポート番号は次のいずれかです。

JBoss： 8080

WebLogic Server： 7001

WebSphere： 9080
「ユーザー名」フィールドに administrator と入力し、「パスワード」フィールドに password と入力します。
設定／User Management／ユーザーとグループをクリックします。
「administrator検索」フィールドに と入力し、「検索」をクリックします。
ユーザーの一覧で「上級管理者」をクリックします。
ユーザーを編集ページで「パスワードの変更」をクリックします。
新しいパスワードを指定し、「保存」をクリックします。

次の手順を実行することで CRX 管理者のデフォルトパスワードの変更もお勧めします。

デフォルトのユーザー名/パスワードを使用してhttps://[server]:[port]/lc/libs/granite/security/content/useradmin.htmlにログインします。
検索フィールドに「管理者」と入力し、「移動」をクリックします。
検索結果から「管理者」を選択し、ユーザーインターフェイスの右下にある「編集」アイコンをクリックします。
「新しいパスワード」フィールドに新しいパスワードを、「パスワード」フィールドに古いパスワードを指定します。
ユーザーインターフェイスの右下にある保存アイコンをクリックします。

WSDL の生成の無効化

Web Service Definition Language（WSDL）の生成は、開発者が WSDL の生成を使用してクライアントアプリケーションを構築する開発環境でのみ有効にしてください。実稼働環境では WSDL の生成を無効化して、サービスの内部詳細が公開されないようにすることができます。

Web ブラウザーに次の URL を入力します。
```
https://[host name]:[port]/adminui
```
設定／コアシステム設定／設定をクリックします。
「WSDLを有効にする」を選択解除し、「OK」をクリックします。

アプリケーションサーバーのセキュリティ

次の表では、JEE 上の AEM Forms アプリケーションのインストール後に、アプリケーションサーバーを保護するために使用するいくつかの方法について説明します。

問題	説明
アプリケーションサーバーの管理コンソール	アプリケーションサーバーで JEE 上の AEM Forms のインストール、設定およびデプロイを完了したら、アプリケーションサーバーの管理コンソールへのアクセスを無効にする必要があります。詳しくは、アプリケーションサーバーのドキュメントを参照してください。
アプリケーションサーバーの cookie の設定	アプリケーションの cookie は、アプリケーションサーバーが管理しています。アプリケーションをデプロイするときに、アプリケーションサーバーの管理者は cookie の環境設定をサーバー全体に対してまたは個別のアプリケーションに対して指定することができます。デフォルトでは、サーバーの設定が優先します。アプリケーションサーバーで生成されるすべてのセッション cookie に `HttpOnly` 属性が含まれている必要があります。例えば、JBoss Application Serverを使用する場合、`WEB-INF/web.xml`ファイルでSessionCookie要素を`httpOnly="true"`に変更できます。 cookie の送信には HTTPS のみを使用するように制限することもできます。このように設定すると、cookie が HTTP を経由して暗号化されずに送信されることはありません。アプリケーションサーバーの管理者は、サーバーの cookie 保護をグローバルに有効化する必要があります。例えば、JBoss アプリケーションサーバーを使用する場合、`secure=true` ファイルで、`server.xml` へのコネクタ要素を修正することができます。 cookie の設定について詳しくは、アプリケーションサーバーのドキュメントを参照してください。
ディレクトリの参照	存在しないページに対する要求、またはディレクトリ名に対する要求（最後がスラッシュ（/）で終わる要求文字列）が行われた場合、アプリケーションサーバーによってディレクトリの内容が返されないようにする必要があります。これが行われないようにするには、アプリケーションサーバーのディレクトリ参照を無効にします。管理コンソールアプリケーションおよびサーバーで実行している他のアプリケーションについても、ディレクトリ参照を無効にしてください。 JBoss の場合、web.xml ファイルの `DefaultServlet` プロパティの初期化パラメーターの listings 値を `false` に設定します。次に例を示します。 <servlet> <servlet-name>default</servlet-name> <servlet-class> org.apache.catalina.servlets.DefaultServlet </servlet-class> <init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> WebSphere の場合、ibm-web-ext.xmi ファイルの `directoryBrowsingEnabled` プロパティを `false` に設定します。 WebLogic の場合、weblogic.xml ファイルの index-directories プロパティを `false` に設定します。次に例を示します。 <container-descriptor> <index-directory-enabled>false </index-directory-enabled> </container-descriptor>

問題

説明

アプリケーションサーバーの管理コンソール

アプリケーションサーバーで JEE 上の AEM Forms のインストール、設定およびデプロイを完了したら、アプリケーションサーバーの管理コンソールへのアクセスを無効にする必要があります。詳しくは、アプリケーションサーバーのドキュメントを参照してください。

アプリケーションサーバーの cookie の設定

アプリケーションの cookie は、アプリケーションサーバーが管理しています。アプリケーションをデプロイするときに、アプリケーションサーバーの管理者は cookie の環境設定をサーバー全体に対してまたは個別のアプリケーションに対して指定することができます。デフォルトでは、サーバーの設定が優先します。

アプリケーションサーバーで生成されるすべてのセッション cookie に HttpOnly 属性が含まれている必要があります。例えば、JBoss Application Serverを使用する場合、WEB-INF/web.xmlファイルでSessionCookie要素をhttpOnly="true"に変更できます。

cookie の送信には HTTPS のみを使用するように制限することもできます。このように設定すると、cookie が HTTP を経由して暗号化されずに送信されることはありません。アプリケーションサーバーの管理者は、サーバーの cookie 保護をグローバルに有効化する必要があります。例えば、JBoss アプリケーションサーバーを使用する場合、secure=true ファイルで、server.xml へのコネクタ要素を修正することができます。

cookie の設定について詳しくは、アプリケーションサーバーのドキュメントを参照してください。

ディレクトリの参照

存在しないページに対する要求、またはディレクトリ名に対する要求（最後がスラッシュ（/）で終わる要求文字列）が行われた場合、アプリケーションサーバーによってディレクトリの内容が返されないようにする必要があります。これが行われないようにするには、アプリケーションサーバーのディレクトリ参照を無効にします。管理コンソールアプリケーションおよびサーバーで実行している他のアプリケーションについても、ディレクトリ参照を無効にしてください。

JBoss の場合、web.xml ファイルの DefaultServlet プロパティの初期化パラメーターの listings 値を false に設定します。次に例を示します。

<servlet-name>default</servlet-name>

<servlet-class>

org.apache.catalina.servlets.DefaultServlet

</servlet-class>

<init-param>

<param-name>listings</param-name>

<param-value>false</param-value>

</init-param>

<load-on-startup>1</load-on-startup>

</servlet>

WebSphere の場合、ibm-web-ext.xmi ファイルの directoryBrowsingEnabled プロパティを false に設定します。

WebLogic の場合、weblogic.xml ファイルの index-directories プロパティを false に設定します。次に例を示します。

<container-descriptor>

<index-directory-enabled>false

</index-directory-enabled>

</container-descriptor>

データベースのセキュリティ

データベースの保護を行う場合、データベースのベンダーが挙げている対策を実装することを慎重に検討してください。データベースのユーザーには、JEE 上の AEM Forms でデータベースを使用するために必要な最小限の権限を付与するようにします。例えば、データベースの管理権限を持つアカウントは使用しないでください。

Oracle では、データベースアカウントで使用する必要がある権限は、CONNECT、RESOURCE および CREATE VIEW だけです。他のデータベースについての同様の要件については、「JEE 上の AEM Forms のインストールの準備（シングルサーバー）」を参照してください。

Windows 上での統合セキュリティの設定（JBoss 版）

[JBOSS_HOME]\standalone\configuration\lc_{datasource.xml}を変更して、接続URLにintegratedSecurity=trueを追加します。次に例を示します。
```
 jdbc:sqlserver://<serverhost>:<port>;databaseName=<dbname>;integratedSecurity=true
```
アプリケーションサーバーを実行しているコンピューターの Windows システムパスに sqljdbc_auth.dll ファイルを追加します。sqljdbc_auth.dll ファイルは、Microsoft SQL JDBC 6.2.1.0 ドライバーのインストールフォルダー内にあります。
JBoss Windows サービス（JBoss for JEE 上の AEM Forms）のログオンプロパティを、ローカルシステムから、JEE 上の AEM Forms データベースと最低限の権限を持つログインアカウントに変更します。Windows サービスとしてではなく、コマンドラインから JBoss を実行している場合、この手順を行う必要はありません。
SQL Server のセキュリティを「混合」モードから「Windows 認証のみ」に変更します。

Windows 上での統合セキュリティの設定（WebLogic 版）

WebブラウザーのURL行に次のURLを入力して、WebLogic Server管理コンソールを開始します。
```
https://[host name]:7001/console
```
Change Center で、「Lock & Edit」をクリックします。
「Domain Structure」で、[base_domain]/Services/JDBC/Data Sourcesをクリックし、右側のウィンドウで「IDP_DS」をクリックします。
次の画面の「Configuration」タブで「Connection Pool」タブをクリックし、「Properties」ボックスに integratedSecurity=true と入力します。
「Domain Structure」で、[base_domain]/Services/JDBC/Data Sourcesをクリックし、右側のウィンドウで「RM_DS」をクリックします。
次の画面の「Configuration」タブで「Connection Pool」タブをクリックし、「Properties」ボックスに integratedSecurity=true と入力します。
アプリケーションサーバーを実行しているコンピューターの Windows システムパスに sqljdbc_auth.dll ファイルを追加します。sqljdbc_auth.dll ファイルは、Microsoft SQL JDBC 6.2.1.0 ドライバーのインストールフォルダー内にあります。
SQL Server のセキュリティを「混合」モードから「Windows 認証のみ」に変更します。

Windows 上での統合セキュリティの設定（WebSphere 版）

WebSphere では、統合セキュリティを設定できるのは外部の SQL Server JDBC ドライバーを使用している場合のみです。WebSphere の埋め込みの SQL Server JDBC ドライバーを使用している場合は設定できません。

WebSphere Administrative Console にログインします。
ナビゲーションツリーで、Resources／JDBC／Data Sources をクリックし、右側のウィンドウで「IDP_DS」をクリックします。
右側のウィンドウの「Additional Properties」で「Custom Properties」をクリックし、「New」をクリックします。
「名前」ボックスにintegratedSecurityと入力し、「値」ボックスにtrueと入力します。
ナビゲーションツリーで、Resources／JDBC／Data Sources をクリックし、右側のウィンドウで「RM_DS」をクリックします。
右側のウィンドウの「Additional Properties」で「Custom Properties」をクリックし、「New」をクリックします。
「名前」ボックスにintegratedSecurityと入力し、「値」ボックスにtrueと入力します。
WebSphere がインストールされているコンピューター上で、Windows システムパス（C:¥Windows）に sqljdbc_auth.dll ファイルを追加します。sqljdbc_auth.dllファイルは、Microsoft SQL JDBC 1.2ドライバーのインストール先ディレクトリ（デフォルトは[InstallDir]/sqljdbc_1.2/enu/auth/x86）と同じ場所にあります。
スタート／コントロールパネル／サービスを選択し、WebSphere の Windows サービス（IBM WebSphere Application Server <version> - <node>）を右クリックして、「プロパティ」を選択します。
プロパティダイアログボックスで、「ログオン」タブをクリックします。
「アカウント」を選択し、必要な情報を入力して、使用するログインアカウントを設定します。
SQL Server のセキュリティを「混合」モードから「Windows 認証のみ」に変更します。

データベース内の機密性の高い情報の保護

AEM Forms データベーススキーマには、システム設定やビジネスプロセスに関する機密性の高い情報が含まれているので、ファイアウォールの内側に隠しておく必要があります。データベースは、forms サーバーと同じ信頼境界内にあると見なされる必要があります。情報の意図しない開示やビジネスデータの盗難を防ぐために、データベース管理者（DBA）は、権限のある管理者のみにアクセスを制限するようにデータベースを設定する必要があります。

追加の予防策として、データベースベンダー固有のツールを使用して、次のデータを含むテーブルの列を暗号化することを考慮してください。

Rights Management ドキュメントキー
Trust Store HSM PIN 暗号化キー
ローカルユーザーパスワードハッシュ

ベンダー固有のツールについて詳しくは、"Database security information"を参照してください。

LDAP のセキュリティ

LDAP（Lightweight Directory Access Protocol）ディレクトリは、通常、エンタープライズユーザーおよびグループ情報のソースとして、またパスワード認証実行の手段として JEE 上の AEM Forms で使用されます。LDAP ディレクトリが SSL（Secure Socket Layer）を使用するように設定されていること、および JEE 上の AEM Forms が SSL ポートを使用して LDAP ディレクトリにアクセスするように設定されていることを確認してください。

LDAP のサービス拒否

LDAP を使用した最もよく行われる攻撃は、攻撃者が大量の認証エラーを故意に引き起こすというものです。この攻撃を受けると、LDAP ディレクトリサーバーは、すべての LDAP 依存のサービスからユーザーをロックアウトしなければならなくなります。

試行できる認証エラーの回数と、それに伴うロックアウト時間の値を設定すると、AEM Forms への認証でユーザーが繰り返しエラーになったときに、AEM Forms がロックアウトを実行します。管理コンソールで、小さい値を選択します。認証エラーの許容回数を選択するときは、許容回数に達した後に、LDAP ディレクトリサーバーより前に AEM Forms がユーザーをロックアウトすることを理解することが重要です。

自動アカウントロックの設定

管理コンソールにログインします。
設定／ユーザー管理／ドメイン管理をクリックします。
「自動アカウントロックの設定」で、「連続する認証エラーの最大回数」を 3 などの小さい値に設定します。
「保存」をクリックします。

監査とログ

アプリケーションの監査およびログ機能を適切に保護した状態で使用することで、セキュリティを確保し、他の異常なイベントを追跡して、それらのイベントを可能な限り迅速に検出することができます。アプリケーション内における監査とログの効果的な使用には、成功したログインと失敗したログインの追跡、キーレコードの作成と削除などのキーアプリケーションイベントの追跡などが挙げられます。

監査を使用して、各種の攻撃を検出することができます。具体的には、以下のものがあります。

ブルートフォースパスワードアタック
サービス拒否攻撃
敵意のある入力値と関連するクラスのスクリプト挿入攻撃

次の表では、サーバーの脆弱性を減らすために使用できる監査およびログの方法について説明します。

問題	説明
ログファイル ACL	JEE 上の AEM Forms ログファイルには、適切なアクセス制御リスト（ACL）を設定します。適切な資格情報を設定することで、攻撃者によってファイルが削除されないように防御します。ログファイルディレクトリのセキュリティ権限として、Administrators グループおよび SYSTEM グループのフルコントロール権限が必要です。AEM Forms ユーザーアカウントには、読み取りおよび書き込み権限のみが必要です。
ログファイルの冗長性	リソースに余裕があれば、攻撃者がアクセスできないように、Syslog、Tivoli、Microsoft Operations Manager（MOM）やその他のメカニズムを使用して、ログを別のサーバーにリアルタイムで送信してください。この方法でログを保護することで、改ざんを防ぐことができます。さらに、中央リポジトリにログを保管することで、対比と監視に役立ちます（例えば、複数の forms サーバーを使用している場合に、パスワードの照会先となる複数のコンピューターに対してパスワード推測攻撃が行われた場合など）。

問題

説明

ログファイル ACL

JEE 上の AEM Forms ログファイルには、適切なアクセス制御リスト（ACL）を設定します。

適切な資格情報を設定することで、攻撃者によってファイルが削除されないように防御します。

ログファイルディレクトリのセキュリティ権限として、Administrators グループおよび SYSTEM グループのフルコントロール権限が必要です。AEM Forms ユーザーアカウントには、読み取りおよび書き込み権限のみが必要です。

ログファイルの冗長性

リソースに余裕があれば、攻撃者がアクセスできないように、Syslog、Tivoli、Microsoft Operations Manager（MOM）やその他のメカニズムを使用して、ログを別のサーバーにリアルタイムで送信してください。

この方法でログを保護することで、改ざんを防ぐことができます。さらに、中央リポジトリにログを保管することで、対比と監視に役立ちます（例えば、複数の forms サーバーを使用している場合に、パスワードの照会先となる複数のコンピューターに対してパスワード推測攻撃が行われた場合など）。

管理者以外のユーザに対して、PDF Generatorの実行を許可する

管理者以外のユーザに対して、PDF Generatorの使用を許可することができます。通常は、管理者権限を持つユーザーのみがPDF Generatoを実行できます。管理者以外のユーザに対してPDF Generatorの実行を許可するには、次の手順を実行します。

「PDFG_NON_ADMIN_ENABLED」という名前の環境変数を作成します。
変数の値を TRUE に設定します。
AEM Forms のインスタンスを再起動します。

社外からのアクセスを可能にするための JEE 上の AEM Forms の設定

JEE 上の AEM Forms のインストールが完了したら、定期的に環境のセキュリティの保守を行うことが重要です。ここでは、JEE 上の AEM Forms 実稼働サーバーのセキュリティを維持するための推奨タスクについて説明します。

Web アクセスのリバースプロキシの設定

「リバースプロキシ」は、1 セットの JEE 上の AEM Forms Web アプリケーションの URL を、外部ユーザーと内部ユーザーの両方から利用できるように設定するものです。この設定は、JEE 上の AEM Forms を実行するアプリケーションサーバーへのユーザーの直接接続を許可する方法よりも、高いセキュリティで保護されます。リバースプロキシは、JEE 上の AEM Forms を実行しているアプリケーションサーバーに対するすべての HTTP 要求を実行します。ユーザーは、リバースプロキシに対するネットワークアクセスしか持たないので、リバースプロキシでサポートされている URL 接続のみを試みることができます。

リバースプロキシサーバーで使用する、JEE上のAEM FormsのルートURL

次のアプリケーションルート URL は、各 JEE 上の AEM Forms Web アプリケーションのものです。リバースプロキシは、エンドユーザーに提供する Web アプリケーション機能の URL だけを公開するように設定する必要があります。

一部の URL は、エンドユーザーが使用する Web アプリケーションを示しています。Configuration Manager のその他の URL は、リバースプロキシ経由の外部ユーザーのアクセスを許可しないので、公開しないでください。

ルート URL	用途および関連する Web アプリケーション	Web ベースのインターフェイス	エンドユーザーアクセス
/ReaderExtensions/*	PDF ドキュメントに使用権限を適用する Acrobat Reader DC Extensions エンドユーザー Web アプリケーション	可	可
/edc/*	Rights Management エンドユーザー Web アプリケーション	可	可
/edcws/*	Rights Management の Web サービス URL	不可	可
/pdfgui/*	PDF Generator 管理 Web アプリケーション	可	可
/CM タスク/*	Workspace エンドユーザー Web アプリケーション	可	可
/workspace-server/*	Workspace クライアントアプリケーションが必要とする Workspace サーブレットおよび Data Services	可	可
/adobe-bootstrapper/*	JEE 上の AEM Forms をブートストラップするサーブレット	不可	不可
/soap/*	forms サーバー Web サービスの情報ページ	不可	不可
/soap/services/*	すべての forms サーバーサービス用の Web サービス URL	不可	不可
/edc/admin/*	Rights Management 管理 Web アプリケーション	可	不可
/adminui/*	管理コンソールホームページ	可	不可
/TruststoreComponent/ secured/*	Trust Store Management 管理ページ	可	不可
/FormsIVS/*	フォームのレンダリングのテストとデバッグを行う Forms IVS アプリケーション	可	不可
/OutputIVS/*	Output サービスのテストとデバッグを行う Output IVS アプリケーション	可	不可
/rmws/*	Rights Management のための REST URL	不可	可
/OutputAdmin/*	Output 管理ページ	可	不可
/FormServer/*	Forms Web アプリケーションファイル	可	不可
/FormServer/GetImage Servlet	HTML 変換時に、JavaScript の取得に使用	不可	不可
/FormServerAdmin/*	Forms 管理ページ	可	不可
/repository/*	WebDAV（デバッグ）アクセス用の URL	可	不可
/AACComponent/*	アプリケーションおよびサービスユーザーインターフェイス	可	不可
/WorkspaceAdmin/*	Workspace 管理ページ	可	不可
/rest/*	残りのサポートページ	可	不可
/CoreSystemConfig/*	JEE 上の AEM Forms Core 設定ページ	可	不可
/um/	User Management 認証	不可	可
/um/*	User Management 管理インターフェイス	可	不可
/DoumentManager/*	HTTP ドキュメント対応の SOAP トランスポートまたは EJB トランスポート経由でリモートエンドポイント、SOAP WSDL エンドポイントおよび Java SDK にアクセスするときに、処理するドキュメントをアップロードおよびダウンロードする。	可	はい

クロスサイト要求偽造攻撃からの保護

クロスサイト要求偽造(CSRF)攻撃は、Webサイトがユーザーに対して持つ信頼を悪用し、ユーザーが許可していないコマンドを送信します。この攻撃は、Webページにリンクやスクリプトを含めるか、電子メールメッセージにURLを含めて、ユーザーが既に認証されている別のサイトにアクセスすることで行われます。

例えば、別のWebサイトを参照しながら管理コンソールにログインしている場合があります。 CSRF 攻撃者は、このような状況を狙って、閲覧されるサイトの Web ページに含まれている HTML img タグの src 属性などに、攻撃対象 Web サイト内のサーバー側スクリプトを参照する URL を記述しておきます。Web ブラウザーに備わっている Cookie ベースのセッション認証メカニズムにより、攻撃者の Web サイトは正当なユーザーを装って、攻撃対象のサーバー側スクリプトに悪意ある要求を送信することができます。その他の例については、https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)#Examples を参照してください。

CSRF に共通の特性を次に示します。

ユーザーの ID を信頼したサイトに関与する。
その ID に対するサイトの信頼を利用する。
ユーザーのブラウザーをだましてターゲットサイトに HTTP 要求を送信させる。
副次的な悪影響のある HTTP 要求に関与する。

JEE上のAEM Formsは、転送者フィルター機能を使用してCSRF攻撃を防ぎます。この節では、転送者のフィルタリングメカニズムについて次の用語を使用します。

許可されている転送者: 転送者は、リクエストをサーバーに送信するソースページのアドレスです。JSPページまたはフォームの場合、転送者は通常、閲覧履歴の前のページになります。画像の転送者は、通常、画像が表示されるページです。サーバーリソースへのアクセスが許可されている転送者は、許可されている転送者リストに追加することで識別できます。
許可されている転送者の例外：許可さ れている転送者リスト内の特定の転送者に対するアクセス範囲を制限することができます。この制限を適用するには、その転送者の個々のパスを「許可されている転送者の例外」リストに追加します。許可されている転送者の例外リストーのパスから要求を受け取った場合、formsサーバー上のリソースは呼び出されません。許可されている転送者の例外は、特定のアプリケーションに対して定義できます。また、すべてのアプリケーションに適用される例外のグローバルリストを使用することもできます。
許可されているURI: これは、転送者ヘッダーを確認せずに提供されるリソースのリストです。例えば、サーバーの状態に変更を加えることのない、リソースのヘルプページをこのリストに追加できます。許可されているURIリストー内のリソースは、転送者の種類に関係なく、転送者フィルターでブロックされることはありません。
Null転送者：親Webページに関連付けられていない、または親Webページから派生していない転送者リクエストは、Nullサーバーからのリクエストと見なされます。例えば、新しいブラウザーウィンドウを開き、アドレスを入力してEnterキーを押すと、サーバーに送信される転送者はNULLになります。 WebサーバーにHTTPリクエストを送信するデスクトップアプリケーション（.NETまたはSWING）も、Null転送者をサーバーに送信します。

転送者フィルタ

転送者のフィルタリング処理は、次のように説明できます。

forms サーバーが、呼び出しに使用される HTTP メソッドを確認します。
1. POSTの場合は、formsサーバーが転送者ヘッダーの確認を実行します。
2. GETの場合、formsサーバーは転送者チェックをバイパスします。ただし、CSRF_CHECK_GETSがtrueに設定されている場合は除きます。この場合、転送者ヘッダーの確認が実行されます。 CSRF_CHECK_GETS は、アプリケーションの web.xml ファイル内に設定されます。
formsサーバーは、要求されたURIが許可リストーに存在するかどうかを確認します。
1. URIが許可されている場合、サーバーは要求を受け入れます。
2. 要求されたURIが許可されていない場合、サーバーは要求の転送者を取得します。
要求に転送者が含まれている場合、サーバーはその転送者が許可されているかどうかを確認します。許可されている場合は、転送者例外を確認します。
1. 例外の場合、リクエストはブロックされます。
2. 例外でない場合、要求はパスします。
要求に転送者がない場合、サーバーはNull転送者が許可されているかどうかを確認します。
1. Null転送者が許可されている場合、要求は渡されます。
2. Null転送者が許可されていない場合は、要求されたURIがNull転送者の例外かどうかを確認し、それに応じて要求を処理します。

転送者フィルタリングの管理

JEE上のAEM Formsには、転送者リソースへのアクセスを許可する転送者を指定するサーバーフィルターが用意されています。デフォルトでは、転送者フィルターは、安全なHTTPメソッド(GETなど)を使用する要求（CSRF_CHECK_GETSがtrueに設定されていない場合）をフィルタリングしません。「許可されている転送者」エントリのポート番号が0に設定されている場合、JEE上のAEM Formsは、ポート番号に関係なく、そのホストからの転送者を持つすべての要求を許可します。ポート番号が指定されていない場合は、デフォルトのポート 80（HTTP）またはポート 443（HTTPS）からの要求のみが許可されます。「転送者のフィルタ」は、「許可されている転送者」リストのすべてのエントリが削除された場合は無効になります。

ドキュメントサービスを最初にインストールすると、許可されている転送者のリストは、ドキュメントサービスがインストールされているサーバーのアドレスで更新されます。サーバーのエントリには、サーバー名、IPv4 アドレス、IPv6 アドレス（IPv6 が有効の場合）、ループバックアドレス、localhost エントリなどがあります。「許可されている転送者」リストに追加された名前は、ホストのオペレーティングシステムによって返されます。例えば、IPアドレスが10.40.54.187のサーバーには、次のエントリが含まれます。https://server-name:0, https://10.40.54.187:0, https://127.0.0.1:0, http://localhost:0. ホストオペレーティングシステムによって返された修飾されていない名前（IPv4アドレス、IPv6アドレス、または修飾ドメイン名を持たない名前）の許可リストは更新されません。ビジネス環境に合わせて「許可されている転送者」リストを変更します。実稼働環境にformsサーバーをデプロイする際に、デフォルトの許可されている転送者リストを使用しないでください。許可されている転送者、転送者の例外、またはURIを変更した後は、必ずサーバーを再起動し、変更を有効にしてください。

許可されている転送者リストの管理

許可されている転送者リストは、管理コンソールのUser Managementインターフェイスから管理できます。 User Management インターフェイスを使用すると、リストを作成、編集または削除できます。許可される転送者リストの使用方法の詳細については、管理ヘルプの* CSRF攻撃の防止*の節を参照してください。

許可されている転送者例外と許可されているURIリストの管理

JEE上のAEM Formsは、許可されている転送者の例外リストと許可されているURIリストを管理するためのAPIを提供しています。この API を使用すると、リストを取得、作成、編集または削除できます。使用可能な API のリストを次に示します。

createAllowedURIsList
getAllowedURIsList
updateAllowedURIsList
deleteAllowedURIsList
addAllowedRefererExceptions
getAllowedRefererExceptions
updateAllowedRefererExceptions
deleteAllowedRefererExceptions

APIについて詳しくは、「* JEE上のAEM FormsAPIリファレンス*」を参照してください。

許可されている転送者の例外に対しては、グローバルレベルでLC_GLOBAL_ALLOWED_REFERER_EXCEPTIONリストを使用します。つまり、すべてのアプリケーションに適用される例外を定義します。このリストーには、絶対パス(/index.html)または相対パス(例：/sample/)。相対URIの末尾に正規式を付加することもできます。例えば、/sample/(.)*.

LC_GLOBAL_ALLOWED_REFERER_EXCEPTION リスト ID は、UMConstants 名前空間の com.adobe.idp.um.api クラスで定数として定義されており、adobe-usermanager-client.jar にあります。この AEM Forms API を使用すると、リストを取得、作成、編集または削除できます。例えば、グローバル許可転送者の例外リストを作成するには、次を使用します。

addAllowedRefererExceptions(UMConstants.LC_GLOBAL_ALLOWED_REFERER_EXCEPTION, Arrays.asList("/index.html", "/sample/(.)*"))

アプリケーション固有の例外については、CSRF_ALLOWED_REFERER_EXCEPTIONS リストを使用します。

転送者フィルタの無効化

「転送者フィルター」でformsサーバーへのアクセスが完全にブロックされ、「許可されている転送者」リストを編集できないイベントでは、サーバー起動スクリプトを更新し、転送者のフィルタリングを無効にできます。

-Dlc.um.csrffilter.disabled=true JAVA引数を起動スクリプトに含めて、サーバーを再起動します。「許可されている転送者」リストを適切に再設定したら、JAVA引数を削除してください。

カスタムWARファイルの転送者フィルタリング

管理者は、ビジネス要件に合わせて JEE 上の AEM Forms を操作するためのカスタム WAR ファイルを用意している場合があります。カスタムWARファイルで転送者フィルタリングを有効にするには、WARのクラスパスにadobe-usermanager-client.jarを含め、次のパラメーターを指定して* web.xml*ファイルにフィルターエントリを含めます。

CSRF_CHECK_ GETSは、GET要求に対する転送者チェックを制御します。このパラメーターが定義されていない場合、デフォルト値は false に設定されます。このパラメーターは、GET 要求をフィルタリングする場合にのみ指定します。

CSRF_ALLOWED_REFERER_ EXCEPTIONSは、許可されている転送者の例外リストのIDです。転送者フィルターを使用すると、リストIDで識別されるリスト内の転送者からの要求や、formsサーバー上のリソースを呼び出すことができません。

CSRF_ALLOWED_URIS_LIST_NAME は、許可されている URI リストの ID です。転送者フィルターは、要求の転送者ヘッダーの値に関係なく、リストIDで識別されるリスト内のリソースに対する要求をブロックしません。

CSRF_ALLOW_NULL_ REFERERは、転送者がnullの場合または存在しない場合の転送者フィルターの動作を制御します。このパラメーターが定義されていない場合、デフォルト値は false に設定されます。このパラメーターは、Null転送者を許可する場合にのみ指定します。 null転送者を許可すると、一部の種類のクロスサイト要求偽造攻撃が可能になる場合があります。

CSRF_NULL_REFERER_ EXCEPTIONSは、転送者がnullの場合に転送者チェックが実行されないURIのリストです。このパラメーターは、CSRF_ALLOW_NULL_REFERER が false に設定されている場合にのみ有効です。リスト内で複数の URI を指定するときはコンマで区切ります。

サンプル WAR ファイルに対する web.xml ファイルのフィルターエントリの例を次に示します。

<filter> 
       <filter-name> filter-name </filter-name> 
       <filter-class> com.adobe.idp.um.auth.filter.RemoteCSRFFilter </filter-class> 
     <!-- default is false --> 
     <init-param> 
      <param-name> CSRF_ALLOW_NULL_REFERER </param-name> 
      <param-value> false </param-value> 
     </init-param> 
     <!-- default is false --> 
     <init-param> 
      <param-name> CSRF_CHECK_GETS </param-name> 
      <param-value> true </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
       <param-name> CSRF_NULL_REFERER_EXCEPTIONS </param-name> 
       <param-value> /SAMPLE/login, /SAMPLE/logout  </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
      <param-name> CSRF_ALLOWED_REFERER_EXCEPTIONS </param-name> 
      <param-value> SAMPLE_ALLOWED_REF_EXP_ID </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
      <param-name> CSRF_ALLOWED_URIS_LIST_NAME </param-name> 
      <param-value> SAMPLE_ALLOWED_URI_LIST_ID     </param-value> 
     </init-param> 
</filter> 
    ........ 
    <filter-mapping> 
      <filter-name> filter-name </filter-name> 
      <url-pattern>/*</url-pattern> 
    </filter-mapping>

トラブルシューティング

適切なサーバー要求が CSRF フィルターによってブロックされる場合は、次のいずれかを試してみてください。

拒否された要求に転送者ヘッダーが含まれる場合は、許可された転送者リストに追加することを慎重に検討します。信頼で追加きる転送者のみ。
拒否された要求に転送者ヘッダーがない場合は、転送者ヘッダーを含めるようにクライアントアプリケーションを変更します。
クライアントがブラウザーで動作できる場合は、そのデプロイメントモデルを試してみます。
最後の手段として、許可されている URI リストにリソースを追加できます。ただし、これは推奨設定ではありません。

ネットワーク設定の保護

ここでは、JEE 上の AEM Forms が必要とするプロトコルとポートについて説明し、保護されたネットワーク設定で JEE 上の AEM Forms をデプロイするための推奨事項を示します。

JEE 上の AEM Forms で使用されるネットワークプロトコル

前の節で説明したように、保護されたネットワークアーキテクチャを設定する場合、エンタープライズネットワーク内の JEE 上の AEM Forms と他のシステムのやり取りのために次のネットワークプロトコルが必要です。

プロトコル	使用方法
HTTP	Configuration Manager およびエンドユーザー Web アプリケーションをブラウザーに表示するすべての SOAP 接続
SOAP[SOAP]	.NET アプリケーションなどの Web サービスクライアントアプリケーション Adobe Reader® は JEE 上の AEM Forms サーバー Web サービスとのやり取りに SOAP を使用する Adobe Flash® アプリケーションは Forms サーバー Web サービスとのやり取りに SOAP を使用する SOAP モードで使用された場合に JEE 上の AEM Forms SDK によって呼び出される Workbench 設計環境
RMI	Enterprise JavaBeans（EJB）モードで使用された場合に JEE 上の AEM Forms SDK によって呼び出される
IMAP/POP3	サービスに対する電子メールベースの入力（電子メールエンドポイント）電子メールを使用したユーザータスク通知
UNC ファイル IO	サービスに対する入力用の監視フォルダーを JEE 上の AEM Forms で監視する（監視フォルダーエンドポイント）
LDAP	ディレクトリ内の組織ユーザーとグループ情報を同期する対話的にやり取りするユーザーに LDAP 認証を行う
JDBC	JDBC サービスを使用したプロセスの実行時に、外部データベースに対するクエリーとプロシージャの呼び出しを行う JEE 上の AEM Forms リポジトリへの内部からのアクセス
WebDAV	任意の WebDAV クライアントによる JEE 上の AEM Forms デザイン時リポジトリ（フォーム、フラグメントなど）のリモート参照を有効にする
AMF	JEE 上の AEM Forms サーバーサービスがリモートエンドポイントとして設定されている Adobe Flash アプリケーション
JMX	JEE 上の AEM Forms は監視対象の MBeans を JMX を使用して公開する

アプリケーションサーバーのポート

ここでは、サポートしている各種のアプリケーションサーバーのデフォルトポート（および代替設定の範囲）について説明します。これらのポートについては、JEE 上の AEM Forms を実行しているアプリケーションサーバーに接続するクライアントに対して許可するネットワーク機能に応じて、内側のファイアウォール上で有効と無効を切り替える必要があります。

メモ

デフォルトでは、サーバーは、adobe.com 名前空間内に複数の JMX MBeans を公開します。サーバーの正常性監視に有用な情報だけが公開されます。ただし、情報開示を防ぐには、信頼できないネットワーク内の呼び出し元によって JMX MBeans の参照と正常性評価基準へのアクセスが行われないようにする必要があります。

JBoss ポート

目的	ポート
Web アプリケーションへのアクセス	[JBOSS_Root]/standalone/configuration/lc_[database].xml HTTP/1.1 コネクタポート 8080 AJP 1.3 コネクタポート 8009 SSL/TLS コネクタポート 8443
CORBA サポート	[JBossroot]/server/all/conf/jacorb.properties OAPort 3528 OASSLPort 3529

目的

ポート

Web アプリケーションへのアクセス

[JBOSS_Root]/standalone/configuration/lc_[database].xml

HTTP/1.1 コネクタポート 8080

AJP 1.3 コネクタポート 8009

SSL/TLS コネクタポート 8443

CORBA サポート

[JBossroot]/server/all/conf/jacorb.properties

OAPort 3528

OASSLPort 3529

WebLogic ポート

目的	ポート
Web アプリケーションへのアクセス	管理サーバーリスンポート：デフォルトは 7001 管理サーバー SSL リスンポート：デフォルトは 7002 管理対象サーバー用に設定されたポート：8001 など
JEE 上の AEM Forms へのアクセスに必要とされない WebLogic 管理ポート	管理対象サーバーリスンポート：1 ～ 65534 の範囲で設定可能管理対象サーバー SSL リスンポート：1 ～ 65534 の範囲で設定可能ノードマネージャーリスンポート：デフォルトは 5556

WebSphere ポート

JEE上のAEM Formsが必要とするWebSphereポートについて詳しくは、WebSphere Application Server UIのPort number settingを参照してください。

SSL の設定

JEE物理アーキテクチャ上のAEM Formsで説明されている物理アーキテクチャを参照する場合は、使用するすべての接続に対してSSLを設定する必要があります。特に SOAP 接続は、ネットワーク上にユーザー資格情報が公開されないように、すべて SSL 経由で行う必要があります。

JBoss、WebLogic および WebSphere 上で SSL を設定する手順については、管理ヘルプの「SSL の設定」を参照してください。

AEM Formsサーバー用に構成されたJVM (Java Virtual Machine)に証明書を読み込む方法については、AEM Formsワークベンチヘルプの「相互認証」の節を参照してください。

SSL リダイレクトの設定

SSL をサポートするようにアプリケーションサーバーを設定した後、アプリケーションおよびサービスに対するすべての HTTP トラフィックは、SSL ポートを使用するように強制されます。

WebSphere または WebLogic で SSL リダイレクトを設定するには、使用しているアプリケーションサーバーのドキュメントを参照してください。

コマンドプロンプトを開き、/JBOSS_HOME/standalone/configurationディレクトリに移動して、次のコマンドを実行します。

keytool -genkey -alias jboss7 -keyalg RSA -keystore server.keystore -validity 10950
JBOSS_HOME/standalone/configuration/standalone.xmlファイルを開いて編集します。

<subsystem xmlns="urn:jboss:domain:web:1.1" native="false" default-virtual-server="default-host">要素の後に、次の詳細を追加します。

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" enabled="true" secure="true" />

httpsコ追加ネクタ要素の次のコード：

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true" enabled="true"> 
 <ssl name="jboss7_ssl" key-alias="jboss71" password="Tibco321" certificate-key-file="../standalone/configuration/server.keystore" protocol="TLSv1"/> 
 </connector>

standalone.xmlファイルを保存して閉じます。

Windows 固有のセキュリティに関する推奨事項

ここでは、JEE 上の AEM Forms の実行に使用する場合の Windows 固有のセキュリティ推奨事項について説明します。

JBoss サービスアカウント

JEE 上の AEM Forms 自動インストールは、デフォルトで、ローカルシステムアカウントを使用してサービスアカウントを設定します。組み込みのローカルシステムユーザーアカウントは、高いレベルのアクセス権限を付与されており、Administrators グループに属しています。ワーカープロセス ID をローカルシステムユーザーアカウントで実行した場合、ワーカープロセスはシステム全体に対してフルアクセス権限を持ちます。

管理者以外のアカウントでのアプリケーションサーバーの実行

Microsoft 管理コンソール（MMC）で、forms サーバーサービスへのログインに使用するローカルユーザーを作成します。
- 「ユーザーはパスワードを変更できない」オプションを選択します。
- 「所属するグループ」タブに、「ユーザー」グループが表示されていることを確認してください。
設定／管理ツール／サービスを選択します。
アプリケーションサーバーサービスをダブルクリックし、サービスを停止します。
「ログオン」タブで、「アカウント」を選択し、作成したユーザーアカウントを参照して、アカウントのパスワードを入力します。
ローカルセキュリティ設定ウィンドウの「ユーザー権利の割り当て」で、forms サーバーを実行しているユーザーアカウントに次の権限を付与します。
- ターミナルサービスを使ったログオンを拒否する
- ローカルxxに対するログを拒否する
- サービスとしてログオン（通常は既に設定済み）
次のディレクトリの新しいユーザーアカウントに変更権限を与えます。
- グローバルドキュメントストレージ(GDS)ディレクトリ:GDSディレクトリの場所は、AEM Formsのインストールプロセス中に手動で設定します。インストール時に場所の設定が空のままの場合、[JBoss root]/server/[type]/svcnative/DocumentStorageにあるアプリケーションサーバーのインストール下のディレクトリがデフォルトの場所になります。
- CRX-Repositoryディレクトリ:デフォルトの場所は [AEM-Forms-installation-location]\crx-repository
- AEM Forms一時ディレクトリ:
  - （Windows）環境変数で設定されている TMP または TEMP パス
  - （AIX、Linux または Solaris）ログインユーザーのホームディレクトリUNIX 系のシステムでは、root 以外のユーザーは次のディレクトリを一時ディレクトリとして使用できます。
  - （Linux）/var/tmp or /usr/tmp
  - （AIX）/tmp or /usr/tmp
  - （Solaris）/var/tmp または /usr/tmp
次のディレクトリに対する新しいユーザーアカウントの書き込み権限を付与します。
- [JBoss-directory]\standalone\deployment
- [JBoss-directory]\standalone\
- [JBoss-directory]\bin\
メモ
JBoss Application Serverのデフォルトのインストール場所：
- Windows:C:\Adobe\Adobe_Experience_Manager_Forms\jboss
- Linux:/opt/jboss/.
アプリケーションサーバーサービスを起動します。

ファイルシステムのセキュリティ

JEE 上の AEM Forms は、次の方法でファイルシステムを利用します。

ドキュメントの入力と出力を処理する際に使用する一時ファイルを格納する
インストールしたソリューションコンポーネントのサポートに使用されるファイルをグローバルアーカイブストアに格納する
ファイルシステムフォルダーからサービスへの入力として使用されるドロップファイルを監視フォルダーに格納する

forms サーバーサービスのドキュメントを送受信する方法として監視フォルダーを使用する場合、ファイルシステムのセキュリティを確保するために一層の予防策を講じる必要があります。ユーザーが監視フォルダーにコンテンツをドロップした場合、コンテンツは監視フォルダーを通じて公開されます。この場合、サービスは実際のエンドユーザーを認証していません。代わりに、フォルダーレベルに設定されている ACL と共有レベルセキュリティに応じて、サービスを呼び出して実行することのできるユーザーを決定しています。

JBoss 固有のセキュリティに関する推奨事項

ここでは、JEE上のAEM Formsを実行する際に使用するJBoss 7.0.6に固有のアプリケーションサーバー設定の推奨事項について説明します。

JBoss 管理コンソールおよび JMX コンソールの無効化

JBoss 管理コンソールと JMX コンソールへのアクセスは、自動インストールオプションを使用して JBoss に JEE 上の AEM Forms をインストールしたときに設定されます。独自の JBoss Application Server を使用している場合は、JBoss 管理コンソールおよび JMX 監視コンソールへのアクセスが保護されていることを確認してください。JMX 監視コンソールへのアクセスは、jmx-invoker-service.xml という JBoss 設定ファイルで設定されています。

ディレクトリ参照の無効化

管理コンソールにログインした後、URLを変更して、コンソールのディレクトリ一覧を参照できます。例えば、URL を次のいずれかの URL に変更すると、ディレクトリ一覧が表示される場合があります。

https://<servername>:8080/adminui/secured/ 
https://<servername>:8080/um/

WebLogic 固有のセキュリティに関する推奨事項

ここでは、JEE 上の AEM Forms の実行時に WebLogic 9.1 を保護するためのアプリケーションサーバー設定の推奨事項について説明します。

ディレクトリ参照の無効化

weblogic.xml ファイルの index-directories プロパティを false に設定します。次に例を示します。

<container-descriptor> 
    <index-directory-enabled>false 
    </index-directory-enabled> 
</container-descriptor>

WebLogic SSL ポートの有効化

デフォルトでは、WebLogic はデフォルト SSL リスンポート 7002 を有効にしません。SSL を設定する前に、WebLogic Server 管理コンソールでこのポートを有効にしてください。

WebSphere 固有のセキュリティに関する推奨事項

ここでは、JEE 上の AEM Forms の実行時に WebSphere を保護するためのアプリケーションサーバー設定の推奨事項について説明します。

ディレクトリ参照の無効化

ibm-web-ext.xmlファイルのdirectoryBrowsingEnabledプロパティをfalseに設定します。

WebSphere 管理セキュリティの有効化

WebSphere Administrative Console にログインします。
ナビゲーションツリーで、セキュリティ > グローバルセキュリティに移動します。
「Enable administrative security」を選択します。
「Enable application security」および「Use Java 2 security」の選択を解除します。
「OK」または「Apply」をクリックします。
「Messages」ボックスで、「Save directly to the master configuration」をクリックします。

adobe.com 上のリソース

Style System Personalized Experiences Content Intelligence Theme Editor Dynamic Forms Digital Signage

このページ

次を表示：

プライバシー（更新済み）

利用規約