Im Allgemeinen verwenden Entwickler nicht die -Produktionsumgebung zum Erstellen und Testen ihrer Anwendungen. Sie müssen daher Benutzerkonten und -dienste verwalten, die, obwohl sie in einer privaten Entwicklungsumgebung benötigt werden, in einer Produktionsumgebung nicht erforderlich sind.

In diesem Abschnitt werden Methoden beschrieben, mit denen Sie durch Verwaltungsoptionen in AEM Forms on JEE die Angriffsmöglichkeiten verringern.

Nicht erforderlichen Remote-Zugriff auf Dienste deaktivieren

Wenn AEM Forms on JEE installiert und konfiguriert ist, kann mithilfe von SOAP oder Enterprise JavaBeans™ (EJB) per Remote-Zugriff auf viele Dienste zugegriffen werden. Der Begriff Remote bezeichnet in diesem Fall alle Aufrufer mit Netzwerkzugriff auf die SOAP-, EJB- oder AMF-Anschlüsse (Action Message Format) für den Anwendungsserver.

AEM Forms on JEE-Dienste erfordern zwar, dass gültige Berechtigungen für einen autorisierten Aufrufer übergeben werden, dennoch sollten Sie den Remote-Zugriff nur für Dienste zulassen, für die der Remote-Zugriff erforderlich ist. Um die Verfügbarkeit einzuschränken, sollten Sie die Gruppe remote verfügbarer Dienste auf das Minimum für ein funktionierendes System begrenzen und dann den Remote-Aufruf für zusätzlich erforderliche Dienste aktivieren.

AEM Forms on JEE-Dienste benötigen zumindest SOAP-Zugriff. Diese Dienste sind meist für die Verwendung durch Workbench erforderlich; es sind jedoch auch Dienste darunter, die von der Workspace-Webanwendung aufgerufen werden.

Führen Sie dieses Verfahren mithilfe der Webseite „Anwendungen und Dienste“ in Administration Console durch:

  1. Melden Sie sich bei Administration Console an, indem Sie die folgende URL in einen Webbrowser eingeben:

             http://[host name]:[port]/adminui
  2. Klicken Sie auf Dienste > Anwendungen und Dienste > Voreinstellungen.

  3. Legen Sie unter „Voreinstellungen“ fest, dass bis zu 200 Dienste und Endpunkte auf einer Seite angezeigt werden sollen.

  4. Klicken Sie auf Dienste > Anwendungen und Dienste > Endpunktverwaltung.

  5. Wählen Sie in der Liste Anbieter den Eintrag EJB aus und klicken Sie auf Filter.

  6. Aktivieren Sie zum Deaktivieren aller EJB-Endpunkte das Kontrollkästchen neben allen Endpunkten in der Liste und klicken Sie auf Deaktivieren.

  7. Klicken Sie auf Weiter und wiederholen Sie den vorhergehenden Schritt für alle EJB-Endpunkte. Stellen Sie vor dem Deaktivieren von Endpunkten sicher, dass EJB in der Spalte „Anbieter“ aufgeführt wird.

  8. Wählen Sie in der Liste Anbieter den Eintrag SOAP aus und klicken Sie auf Filter.

  9. Aktivieren Sie zum Entfernen von SOAP-Endpunkten das Kontrollkästchen neben allen Endpunkten in der Liste und klicken Sie auf Entfernen. Entfernen Sie folgende Endpunkte nicht:

    • AuthenticationManagerService

    • DirectoryManagerService

    • JobManager

    • event_management_service

    • event_configuration_service

    • ProcessManager

    • TemplateManager

    • RepositoryService

    • TaskManagerService

    • TaskQueueManager

    • TaskManagerQueryService

    • WorkspaceSingleSignOn

    • EventGenerationandReceipt

    • ApplicationManager

  10. Klicken Sie auf Weiter und wiederholen Sie den vorhergehenden Schritt für SOAP-Endpunkte, die nicht in der obigen Liste aufgeführt sind. Stellen Sie vor dem Entfernen von Endpunkten sicher, dass SOAP in der Spalte „Anbieter“ aufgeführt wird.

Nicht erforderlichen anonymem Zugriff auf Dienste deaktivieren

Einige Formularserverdienste lassen den nicht authentifizierten (anonymen) Aufruf bestimmter Vorgänge zu. Das heißt, ein oder mehrere vom Dienst offengelegte Vorgänge können von beliebigen authentifizierten Benutzern oder anonymen Benutzern aufgerufen werden.

  1. Melden Sie sich bei Administration Console an, indem Sie die folgende URL in einen Webbrowser eingeben:

             http://[host name]:[port]/adminui
  2. Klicken Sie auf Dienste > Anwendungen und Dienste > Dienstverwaltung.

  3. Klicken Sie auf den Namen des zu deaktivierenden Dienstes (z. B. AuthenticationManagerService).

  4. Klicken Sie auf die Registerkarte Sicherheit, deaktivieren Sie Anonymer Zugriff zugelassen und klicken Sie dann auf Speichern.

  5. Wiederholen Sie die Schritte 3 und 4 für die folgenden Dienste:

    • AuthenticationManagerService

    • EJB

    • E-Mail

    • JobManager

    • WatchedFolder

    • UsermanagerUtilService

    • Remoting

    • RemoteEvents

    • RepositoryProviderService

    • EMCDocumentumRepositoryProvider

    • IBMFilenetRepositoryProvider

    • FormAugmenter

    • TaskManagerService

    • TaskManagerConnector

    • TaskManagerQueryService

    • TaskQueueManager

    • TaskEndpointManager

    • LCMTMInvoker

    • UserService

    • WorkspaceSearchTemplateService

    • WorkspaceSignleSignOn

    • WorkspacePropertyService

    • OutputService

    • FormsService

    Wenn Sie vorhaben, alle oder einiger dieser Dienste für den Remote-Aufruf verfügbar zu machen, sollten Sie auch überlegen, ob Sie nicht den anonymen Zugriff für diese Dienste deaktivieren. Ansonsten kann jeder Aufrufer mit Netzwerkzugriff auf diesen Dienst den Dienst ohne Übergabe gültiger Berechtigungen aufrufen.

    Der anonyme Zugriff sollte für alle nicht erforderlichen Dienste deaktiviert werden. Für viele interne Dienste muss die anonyme Authentifizierung aktiviert sein, da sie möglicherweise von jedem beliebigen Benutzer im System ohne vorherige Authentifizierung aufgerufen werden müssen.

Beispielbenutzer und Rollenzuweisungen entfernen

Eventuell haben Sie bei der Installation von AEM Forms auch Beispielbenutzer und -rollen (z. B. „Karl Müller“ und die Benutzerdomäne „Finanzunternehmen“) installiert. Sie sollten die Beispielbenutzerdomäne und die Beispielrollen mithilfe der User Management-Verwaltungsseiten entfernen.

Beispielbenutzer entfernen

  1. Melden Sie sich bei Administration Console an, indem Sie die folgende URL in einen Webbrowser eingeben:

             http://[host name]:[port]/adminui
  2. Klicken Sie auf Einstellungen > User Management > Benutzer und Gruppen.

  3. Wählen Sie in der Liste und Domäne die Beispielorganisation aus und klicken Sie auf Suchen.

  4. Aktivieren Sie zum Deaktivieren aller Beispielbenutzer das Kontrollkästchen neben allen Beispielbenutzern in der Liste und klicken Sie auf Löschen.

Beispieldomänen entfernen

  1. Melden Sie sich bei Administration Console an, indem Sie die folgende URL in einen Webbrowser eingeben:

             http://[host name]:[port]/adminui
  2. Klicken Sie auf Einstellungen > User Management > Domänenverwaltung.

  3. Aktivieren Sie zum Löschen aller Beispieldomänen das Kontrollkästchen neben allen Beispieldomänen in der Liste und klicken Sie auf Löschen.

  4. Klicken Sie auf Speichern.

Standardmäßiges globales Zeitlimit ändern

Endbenutzer können sich über Workbench oder AEM-Forms-Webanwendungen bei AEM Forms authentifizieren sowie über benutzerdefinierte Anwendungen, die AEM Forms-Serverdienstleistungen aufrufen. Mithilfe einer globalen Zeitlimiteinstellung wird festgelegt, wie lange solche Benutzer AEM Forms nutzen können (mittels einer auf SAML basierenden Bestätigung), bevor sie sich erneut authentifizieren müssen. Der Standardwert ist zwei Stunden. In einer Produktionsumgebung muss die Zeitdauer auf den zulässigen Mindestwert in Minuten verringert werden.

Zeitlimit für die erneute Authentifizierung auf das Minimum einstellen

  1. Melden Sie sich bei Administration Console an, indem Sie die folgende URL in einen Webbrowser eingeben:

             http://[host name]:[port]/adminui
  2. Klicken Sie auf Einstellungen > User Management > Konfiguration > Konfigurationsdateien importieren und exportieren.

  3. Klicken Sie auf Exportieren, um eine „config.xml“-Datei mit den vorhandenen AEM Forms-Einstellungen zu erstellen.

  4. Öffnen Sie die XML-Datei in einem Editor und suchen Sie folgenden Eintrag:

    <entry key=”assertionValidityInMinutes” value=”120”/>

  5. Ändern Sie den Wert in eine Zahl größer gleich 5 (Minuten) und speichern Sie die Datei.

  6. Wechseln Sie in Administration Console zur Seite „Konfigurationsdateien importieren und exportieren“.

  7. Geben Sie den Pfad der geänderten „config.xml“-Datei ein oder klicken Sie auf „Durchsuchen“, um zu dieser Datei zu wechseln.

  8. Klicken Sie auf Importieren, um die geänderte „config.xml“-Datei hochzuladen und klicken Sie dann auf OK.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie