Remarques relatives à la sécurité pour IBM Rational Publishing Engine

Vous pouvez prendre des mesures pour sécuriser votre installation, personnaliser vos paramètres de sécurité et définir des contrôles d'accès utilisateur. Vous pouvez également vous assurer que vous connaissez les limites de sécurité que vous pourriez rencontrer dans cette application.

Activation de la sécurité lors du processus d'installation

Si vous installez uniquement les applications Document Studio ou Launcher, aucune étape n'est requise pour l'activation de la sécurité lors de l'installation. Si vous installez les services distants sur un serveur d'applications, vous devez effectuez certaines étapes pour sécuriser le serveur.
  • Si vous utilisez WebSphere Application Server comme serveur d'applications, plusieurs paramètres de sécurité, tels que la sécurité administrative et la sécurité d'application, doivent être activés lors du déploiement des applications Web de Rational Publishing Engine. Pour plus d'informations, voir Déploiement manuel de l'application Services distants sur WebSphere Application Server.
    Avertissement : Si vous avez installé un correctif temporaire WebSphere Application Server pour PM44303 ou un groupe de correctifs contenant PM44303, il existe un risque potentiel avec certaines versions de WebSphere Application Server. Vous devez installer un correctif spécifique à votre version de WebSphere Application Server et à votre système d'exploitation. Pour plus d'informations, voir la note technique Potential security exposure from IBM WebSphere Application Server impacts Rational Publishing Engine.
  • Si vous utilisez Apache Tomcat comme serveur d'applications, aucun paramètre de sécurité ne doit être défini, mais vous pouvez toutefois choisir de définir la configuration SSL. Pour plus d'informations, voir les informations SSL Configuration How-To pour la version 6.0 ou la version 7.0 sur le site Web d'Apache Tomcat.
  • Pour en savoir plus sur le stockage des noms d'utilisateur et des mots de passe, consultez la documentation de votre serveur d'applications.

Pour éviter le détournement de clic, l'en-tête X-Frame-Options de l'application Services distants est défini sur DENY par défaut. Pour plus d'informations sur le dérournement de clic et sur ce paramètre, consultez la rubrique WebSphere Application Server ou Apache Tomcat.

Une fois que vous avez déployé l'application Services distants, vous pouvez choisir d'entrer une URL sécurisée ou non sécurisée pour le composant de génération de document à distance dans l'application client. L'URL sécurisée est incluse dans la documentation de ce centre de documentation. Pour plus d'informations, voir URL des Services distants. Si vous choisissez de définir une génération de document non sécurisée, tous les utilisateurs peuvent consulter les documents en sortie générés, même s'ils n'ont pas accès aux données de la source de données.

Activation d'une communication sécurisée entre plusieurs applications

Aucune configuration supplémentaire n'est requise lorsque vous exécutez plusieurs applications sur un serveur car il n'y a pas de communication directe entre Rational Publishing Engine et la source de données que vous utilisez. La source de données et les données utilisées sont issues de la source de données de Rational Publishing Engine, mais aucune altération des données de Rational Publishing Engine n'implique une communication en retour vers la source de données.

Ports, protocoles et services

Vous pouvez définir une connexion proxy

Port de transport HTTPS de la console d'administration pour le serveur d'applications :
  • Le port par défaut pour WebSphere Application Server est 9043.
  • Le port par défaut pour Apache Tomcat est 8080.
Port de transport HTTP du serveur d'applications :
  • Le port par défaut pour WebSphere Application Server est 9080.
  • Le port par défaut pour Apache Tomcat est 8080, sauf si vous utilisez un port sur lequel SSL est configuré, auquel cas le numéro de port est généralement 8443.

Personnalisation de vos paramètres de sécurité

Les noms d'utilisateur et les mots de passe des applications Web ne sont pas créés automatiquement. Rational Publishing Engine a besoin de noms d'utilisateur et de mots de passe pour la connexion aux services distants, ce qui n'est pas le cas pour l'utilisation des applications client Document Studio et Launcher sur votre ordinateur.

Les sources de données peuvent nécessiter une authentification distincte pour Rational Publishing Engine pour l'accès aux données qu'elles contiennent. Vérifiez la sécurité de la source de données et n'utilisez pas des données non fiables avec Rational Publishing Engine. Si votre source de données nécessite une authentification, il est possible de stocker des noms d'utilisateur et des mots de passe sur le serveur distant Rational Publishing Engine, dans des fichiers de spécification de document, ou dans des fichiers de canevas.

Les mots de passe sont chiffrés dans Rational Publishing Engine. Lorsque les mots de passe sont stockés dans des fichiers de canevas et sur le serveur distant, les caractères sont masqués par des puces. Lorsque les mots de passe sont stockés dans des fichiers de spécification de document, les caractères sont masqués par des puces lors de leur saisie et remplacés par des astérisques dès que vous éloignez le curseur de la valeur. Si vous ouvrez une spécification de document dans un navigateur ou un éditeur XML, le mot de passe est codé.

Il est possible de partager les spécifications de canevas ou de document en les stockant dans un composant Gestion centralisée ou en les envoyant au moyen d'une méthode hors de Rational Publishing Engine. Avant de partager une spécification de canevas ou de document, vous devez indiquer si le nom d'utilisateur et le mot de passe doivent être conservés ou retirés des fichiers. Dans la plupart des cas, il est recommandé de retirer le nom d'utilisateur et le mot de passe du fichier. Même si le mot de passe ne peut pas être identifié car il est chiffré, d'autres utilisateurs peuvent quand même générer des documents pouvant inclure des données qu'ils ne sont pas normalement autorisés à afficher.

Pour plus d'informations sur le retrait de données d'identification des spécifications de canevas et de document, voir Sauvegarde d'une spécification de document.

Définition des rôles et des accès utilisateur

Rational Publishing Engine comporte des rôles pour les administrateurs et les utilisateurs de composants de services distants, y compris le composant Génération de document à distance, le système de gestion centralisée, le composant Surveillance et contrôle et Planification des rapports. Les rôles utilisateur sont présentées dans Configuration de l'application Services distants.

Vous pouvez définir des rôles utilisateur et accorder l'accès à vos utilisateurs dans WebSphere Application Server ou sur votre serveur d'applications Apache Tomcat. Fournissez aux utilisateurs individuels leur propre nom d'utilisateur et mot de passe au lieu de partager les noms d'utilisateur avec un groupe de personnes. Les données d'identification de l'utilisateur individuelles garantissent que les utilisateurs peuvent accéder aux rapports contenant les données qu'ils sont autorisés à afficher.

Remarques relatives aux règles de confidentialité

Cette offre logicielle n'utilise pas des cookies ou d'autres technologies pour la collecte des informations identifiant la personne. Pour plus d'informations sur les cookies, voir Remarques sur la documentation d'IBM Rational Publishing Engine.

Limitations relatives à la sécurité

  • Génération de document non sécurisée : Si vous n'avez pas choisi la génération de document sécurisée, tout utilisateur peut voir la sortie générée.
  • Echec des tentatives de connexion : Apache Tomcat ne verrouille pas les utilisateurs après plusieurs tentatives de connexion qui n'aboutissent pas.
  • Partage des spécifications de canevas et de document : Si les données d'identification ne sont pas retirées des spécification de canevas ou de document partagées, les utilisateurs peuvent générer des documents concernant des données sur lesquelles ils ne disposent par ailleurs d'aucun droit d'accès.
  • Sécurité de la source de données : Les données sont sécurisées par l'application qui les stocke. Rational Publishing Engine ne sécurise pas les données.

Retour d'informations