- Présentation de Query Service
- Package Query Service
- Mécanismes de sécurisation de Query Service
- Prise en main
- Data Distiller
- Cas d’utilisation
- Navigation abandonnée
- Analyse des activités avec Adobe Target
- Analyse de l’attribution
- Filtrage des robots
- Créer un rapport de tendance d’événements
- Attributs dérivés basés sur les déciles
- Répertorier les pages vues d’un utilisateur ou d’une utilisatrice
- Répertorier les visiteurs et visiteuses selon leurs vues de page
- Score de propension
- SQLAlchemy
- Renvoyer et utiliser des variables de marchandisage à partir de données d’analyse
- Afficher le rapport de cumul pour un visiteur ou une visiteuse
- Informations sur les analyses web et mobiles
- Connexion des clients à Query Service
- UI Query Service
- Points d’entrée de l’API Query Service
- Gouvernance des données
- Bonnes pratiques
- Concepts essentiels
- Référence SQL
- Questions fréquentes
- Référence d’API
- Notes de mise à jour de Platform
Query Service Options SSL
Pour une sécurité accrue, Adobe Experience Platform Query Service fournit une prise en charge native des connexions SSL pour chiffrer les communications client/serveur. Ce document couvre les options SSL disponibles pour les connexions de clients tiers à Query Service et comment se connecter à l’aide du verify-full Valeur du paramètre SSL.
Conditions préalables
Ce document suppose que vous avez déjà téléchargé une application cliente de bureau tierce à utiliser avec vos données Platform. Vous trouverez des instructions spécifiques sur la manière d’incorporer la sécurité SSL lors de la connexion à un client tiers dans la documentation de leur guide de connexion respectif. Pour obtenir une liste de tous les Query Service clients pris en charge, voir présentation des connexions client.
Options SSL disponibles
Platform prend en charge diverses options SSL pour répondre à vos besoins en matière de sécurité des données et équilibrer les frais de traitement liés au cryptage et à l’échange de clés.
Les différentes sslmode les valeurs de paramètre offrent différents niveaux de protection. En chiffrant vos données en mouvement à l’aide de certificats SSL, vous évitez les attaques par l’intermédiaire (MITM), les écoutes et les usurpations. Le tableau ci-dessous présente la répartition des différents modes SSL disponibles et le niveau de protection qu’ils assurent.
La valeur SSL disable n’est pas pris en charge par Adobe Experience Platform en raison de la conformité requise en matière de protection des données.
| sslmode | Protection des écouteurs | Protection MITM | Description |
|---|---|---|---|
allow |
Partiel | Non | La sécurité n’est pas une priorité, la vitesse et une faible surcharge de traitement sont plus importantes. Ce mode opte uniquement pour le cryptage si le serveur insiste dessus. |
prefer |
Partiel | Non | Le chiffrement n’est pas nécessaire, mais la communication sera chiffrée si le serveur le prend en charge. |
require |
Oui | Non | Le chiffrement est requis pour toutes les communications. Le réseau est approuvé pour la connexion au serveur approprié. La validation du certificat SSL du serveur n’est pas requise. |
verify-ca |
Oui | Dépend de la stratégie d’autorité de certification | Le chiffrement est requis pour toutes les communications. La validation du serveur est requise avant le partage des données. Pour ce faire, vous devez configurer un certificat racine dans votre PostgreSQL répertoire racine. Vous trouverez ci-dessous des informations détaillées |
verify-full |
Oui | Oui | Le chiffrement est requis pour toutes les communications. La validation du serveur est requise avant le partage des données. Pour ce faire, vous devez configurer un certificat racine dans votre PostgreSQL répertoire racine. Vous trouverez ci-dessous des informations détaillées. |
La différence entre verify-ca et verify-full dépend de la stratégie de l’autorité de certification racine (CA). Si vous avez créé votre propre autorité de certification locale pour émettre des certificats privés pour vos applications, utilisez verify-ca offre souvent une protection suffisante. Si vous utilisez une autorité de certification publique, verify-ca permet les connexions à un serveur que quelqu’un d’autre peut avoir enregistré auprès de l’autorité de certification. verify-full doit toujours être utilisé avec une autorité de certification racine publique.
Lors de l’établissement d’une connexion tierce à une base de données Platform, il est recommandé d’utiliser sslmode=require au minimum pour garantir une connexion sécurisée pour vos données en cours. Le verify-full Le mode SSL est recommandé pour une utilisation dans la plupart des environnements sensibles à la sécurité.
Configuration d’un certificat racine pour la vérification du serveur
Pour garantir une connexion sécurisée, l’utilisation du protocole SSL doit être configurée sur le client et sur le serveur avant que la connexion ne soit établie. Si le protocole SSL est uniquement configuré sur le serveur, le client peut envoyer des informations sensibles telles que des mots de passe avant qu’il ne soit établi que le serveur requiert une sécurité élevée.
Par défaut, PostgreSQL n’effectue aucune vérification du certificat du serveur. Vérification de l’identité du serveur et assurance d’une connexion sécurisée avant l’envoi de données sensibles (dans le cadre du protocole SSL) verify-full ), vous devez placer un certificat racine (auto-signé) sur votre ordinateur local (root.crt) et un certificat feuille signé par le certificat racine sur le serveur.
Si la variable sslmode est défini sur verify-full, libpq vérifie que le serveur est fiable en vérifiant la chaîne du certificat jusqu’au certificat racine stocké sur le client. Il vérifie ensuite que le nom d’hôte correspond au nom stocké dans le certificat du serveur.
Pour permettre la vérification des certificats du serveur, vous devez placer un ou plusieurs certificats racine (root.crt) dans la variable PostgreSQL dans votre répertoire racine. Le chemin d’accès au fichier serait similaire à ~/.postgresql/root.crt.
Activation du mode SSL vérification-full pour une utilisation avec un tiers Query Service connection
Si vous avez besoin d’un contrôle de sécurité plus strict que sslmode=require, vous pouvez suivre les étapes indiquées pour connecter un client tiers à Query Service using verify-full Mode SSL.
De nombreuses options sont disponibles pour obtenir un certificat SSL. En raison d’une tendance croissante des certificats frauduleux, DigiCert est utilisé dans ce guide, car il s’agit d’un fournisseur mondial de confiance de solutions TLS/SSL, PKI, IoT et de signature haute assurance.
- Accédez à la liste des certificats racine DigiCert disponibles ;
- Recherchez "DigiCert Global Root CA" dans la liste des certificats disponibles.
- Sélectionner Télécharger PEM pour télécharger le fichier sur votre ordinateur local.
- Renommez le fichier de certificat de sécurité en
root.crt. - Copiez le fichier dans le PostgreSQL dossier. Le chemin d’accès au fichier nécessaire varie en fonction de votre système d’exploitation. Si le dossier n’existe pas déjà, créez-le.
- Si vous utilisez macOS, le chemin est
/Users/<username>/.postgresql - Si vous utilisez Windows, le chemin est
%appdata%\postgresql
- Si vous utilisez macOS, le chemin est
Pour rechercher votre %appdata% emplacement du fichier sur un système d’exploitation Windows, appuyez sur ⊞ Win + R et entrée %appdata% dans le champ de recherche.
Après la DigiCert Global Root CA Le fichier CRT est disponible dans votre PostgreSQL dossier auquel vous pouvez vous connecter Query Service en utilisant la variable sslmode=verify-full ou sslmode=verify-ca .
Étapes suivantes
En lisant ce document, vous comprenez mieux les options SSL disponibles pour connecter un client tiers à Query Serviceet également comment activer la variable verify-full Option SSL pour chiffrer vos données en mouvement.
Si vous ne l’avez pas déjà fait, suivez les instructions de la rubrique connexion d’un client tiers à Query Service.
Ressources Business.Adobe.com
Ressources
Compte Adobe
