DocumentatieAEM 6.4Gids voor formulieren

Beveiligde beheerinstellingen voor AEM Forms configureren op JEE configuring-secure-administration-settings-for-aem-forms-on-jee

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Gemaakt voor:

  • Admin
CAUTION
AEM 6.4 heeft het einde van de uitgebreide ondersteuning bereikt en deze documentatie wordt niet meer bijgewerkt. Raadpleeg voor meer informatie onze technische ondersteuningsperioden. Ondersteunde versies zoeken hier.

Leer hoe u gebruikersaccounts en services beheert die, hoewel vereist in een particuliere ontwikkelomgeving, niet vereist zijn in een productieomgeving van AEM Forms op JEE.

Over het algemeen gebruiken ontwikkelaars de productieomgeving niet om hun toepassingen te bouwen en te testen. Daarom moet u gebruikersrekeningen en de diensten beheren die, hoewel vereist in een privé ontwikkelomgeving, niet in een productiemilieu worden vereist.

Dit artikel beschrijft methodes om de algemene aanvalsoppervlakte door beleidsopties te verminderen die AEM Forms op JEE verstrekt.

Het onbruikbaar maken van niet essentiële verre toegang tot de diensten disabling-non-essential-remote-access-to-services

Nadat AEM Forms op JEE is geïnstalleerd en geconfigureerd, zijn veel services beschikbaar voor externe aanroeping via SOAP en Enterprise JavaBeans™ (EJB). De term extern verwijst in dit geval naar elke aanroeper die netwerktoegang heeft tot de SOAP-, EJB- of AMF-poorten (Action Message Format) voor de toepassingsserver.

Hoewel AEM Forms op de diensten JEE geldige geloofsbrieven vereisen om voor een erkende bezoeker worden overgegaan, zou u slechts verre toegang tot de diensten moeten toestaan die u ver toegankelijk moet zijn. Om beperkte toegankelijkheid te bereiken, zou u de reeks ver toegankelijke diensten tot het minimum mogelijk voor een werkend systeem moeten verminderen en dan verre aanroeping voor de extra diensten toelaten die u nodig hebt.

AEM Forms on JEE services hebben altijd minstens SOAP-toegang nodig. Deze services zijn gewoonlijk vereist voor gebruik door Workbench, maar omvatten ook services die door de Workspace-webtoepassing worden aangeroepen.

Voltooi deze procedure gebruikend de Webpagina van Toepassingen en van de Diensten in de Console van het Beleid:

  1. Meld u aan bij de beheerconsole door de volgende URL te typen in een webbrowser:

    code language-as3 
             https://[host name]:[port]/adminui

  2. Klikken Services > Toepassingen en services > Voorkeuren.

  3. Stel de voorkeuren in om maximaal 200 services en eindpunten op dezelfde pagina weer te geven.

  4. Klikken Services > Toepassingen en services > Endpoint Management.

  5. Selecteren EJB van de Provider en klik vervolgens op Filter.

  6. Als u alle EJB-eindpunten wilt uitschakelen, schakelt u het selectievakje naast elk punt in de lijst in en klikt u op Uitschakelen.

  7. Klikken Volgende en herhaal de vorige stap voor alle EJB-eindpunten. Zorg ervoor dat EJB in de kolom van de Leverancier wordt vermeld alvorens u eindpunten onbruikbaar maakt.

  8. Selecteren SOAP van de Provider en klik vervolgens op Filter.

  9. Als u de eindpunten van de SOAP wilt verwijderen, schakelt u het selectievakje naast elk punt in de lijst in en klikt u op Verwijderen. Verwijder de volgende eindpunten niet:

    • AuthenticationManagerService
    • DirectoryManagerService
    • JobManager
    • event_management_service
    • event_configuration_service
    • ProcessManager
    • TemplateManager
    • RepositoryService
    • TaskManagerService
    • TaskQueueManager
    • TaskManagerQueryService
    • WorkspaceSingleSignOn
    • ApplicationManager

  10. Klikken Volgende en herhaal de vorige stap voor SOAP-eindpunten die zich niet in de bovenstaande lijst bevinden. Zorg ervoor dat de ZEEP in de kolom van de Leverancier wordt vermeld alvorens u eindpunten verwijdert.

Niet-essentiële anonieme toegang tot services uitschakelen disabling-non-essential-anonymous-access-to-services

Sommige services van formulierservers staan niet-geverifieerde (anonieme) aanroeping toe voor bepaalde bewerkingen. Dit betekent dat één of meerdere verrichtingen die door de dienst worden blootgesteld als om het even welke voor authentiek verklaarde gebruiker of als geen voor authentiek verklaarde gebruiker kunnen worden aangehaald.

  1. Meld u aan bij de beheerconsole door de volgende URL te typen in een webbrowser:

    code language-as3 
             https://[host name]:[port]/adminui

  2. Klikken Services > Toepassingen en services > Servicebeheer.

  3. Klik de naam van de dienst die u (bijvoorbeeld, AuthenticationManagerService) wilt onbruikbaar maken.

  4. Klik op de knop Het tabblad Beveiliging, deselecteren Anonieme toegang toegestaan en klik op Opslaan.

  5. Voltooi de stappen 3 en 4 voor de volgende services:

    • AuthenticationManagerService
    • EJB
    • E-mail
    • JobManager
    • Controlemap
    • UsermanagerUtilService
    • Verwijderen
    • RepositoryProviderService
    • EMCDocumentumRepositoryProvider
    • IBMFilenetRepositoryProvider
    • FormAugmenter
    • TaskManagerService
    • TaskManagerConnector
    • TaskManagerQueryService
    • TaskQueueManager
    • TaskEndpointManager
    • UserService
    • WorkspaceSearchTemplateService
    • WorkspacePropertyService
    • OutputService
    • FormsService

    Als u om het even welk van deze diensten voor verre aanroeping wilt blootstellen, zou u ook moeten overwegen onbruikbaar makend anonieme toegang voor deze diensten. Anders, kan om het even welke bezoeker met netwerktoegang tot deze dienst de dienst aanhalen zonder geldige geloofsbrieven over te gaan.

    De anonieme toegang zou voor om het even welke diensten moeten worden onbruikbaar gemaakt die niet nodig zijn. Vele interne diensten vereisen anonieme authentificatie om worden toegelaten omdat zij door potentieel om het even welke gebruiker in het systeem moeten worden aangehaald zonder vooraf geautoriseerd.

De standaard algemene time-out wijzigen changing-the-default-global-time-out

Eindgebruikers kunnen zich bij AEM Forms verifiëren via Workbench, AEM Forms-webtoepassingen of aangepaste toepassingen die de AEM Forms-serverservices aanroepen. Één globale onderbreking wordt geplaatst gebruikt om te specificeren hoe lang dergelijke gebruikers met AEM Forms (gebruikend een op SAML-Gebaseerde Bevestiging) kunnen interactie aangaan alvorens zij worden gedwongen om opnieuw voor authentiek te verklaren. De standaardinstelling is twee uur. In een productieomgeving moet de hoeveelheid tijd tot het minimaal aanvaardbare aantal minuten worden beperkt.

Limiet voor opnieuw verifiëren minimaliseren minimize-reauthentication-time-limit

  1. Meld u aan bij de beheerconsole door de volgende URL te typen in een webbrowser:

    code language-as3 
             https://[host name]:[port]/adminui

  2. Klikken Instellingen > Gebruikersbeheer > Configuratie > Configuratiebestanden importeren en exporteren.

  3. Klikken Exporteren om een config.xml- dossier met de bestaande montages van AEM Forms te produceren.

  4. Open het XML-bestand in een editor en zoek de volgende gegevens:

    <entry key=”assertionValidityInMinutes” value=”120”/>

  5. Wijzig de waarde in een waarde groter dan 5 (in minuten) en sla het bestand op.

  6. Navigeer in de beheerconsole naar de pagina Configuration Files importeren en exporteren.

  7. Ga de weg aan het gewijzigde config.xml- dossier in of de klik doorbladert om aan het te navigeren.

  8. Klikken Importeren om het gewijzigde bestand config.xml te uploaden en klik vervolgens op OK.

recommendation-more-help
a6ebf046-2b8b-4543-bd46-42a0d77792da