Show Menu
TEMAS×

Configuración de la administración segura para AEM Forms en JEE

Obtenga información sobre cómo administrar cuentas de usuario y servicios que, aunque son necesarios en un entorno de desarrollo privado, no son necesarios en un entorno de producción de AEM Forms en JEE.
Generalmente, los desarrolladores no utilizan el entorno de producción para crear y probar sus aplicaciones. Por lo tanto, debe administrar cuentas de usuario y servicios que, aunque sean necesarios en un entorno de desarrollo privado, no sean necesarios en un entorno de producción.
En este artículo se describen métodos para reducir la superficie de ataque global mediante las opciones de administración que proporciona AEM Forms en JEE.

Desactivación del acceso remoto no esencial a los servicios

Después de instalar y configurar AEM Forms en JEE, hay muchos servicios disponibles para la invocación remota a través de SOAP y Enterprise JavaBeans™ (EJB). En este caso, el término remoto hace referencia a cualquier llamante que tenga acceso de red a los puertos SOAP, EJB o Action Message Format (AMF) para el servidor de aplicaciones.
Aunque los AEM Forms en los servicios JEE requieren que se pasen credenciales válidas para un llamante autorizado, solo debe permitir el acceso remoto a los servicios que necesita para ser accesible de forma remota. Para lograr una accesibilidad limitada, debe reducir el conjunto de servicios de acceso remoto al mínimo posible para un sistema que funcione y, a continuación, habilitar la invocación remota para los servicios adicionales que necesite.
Los formularios AEM en los servicios JEE siempre necesitan al menos acceso SOAP. Estos servicios suelen ser necesarios para su uso en Workbench, pero también incluyen servicios a los que llama la aplicación web de Workspace.
Complete este procedimiento mediante la página web Aplicaciones y servicios de la Consola de administración:
  1. Inicie sesión en la Consola de administración escribiendo la siguiente URL en un explorador Web:
             https://[host name]:'port'/adminui
    
    
  2. Haga clic en Servicios > Aplicaciones y servicios > Preferencias .
  3. Configure las preferencias para que la vista alcance un máximo de 200 servicios y extremos en la misma página.
  4. Haga clic en Servicios > Aplicaciones y servicios > Administración de extremos .
  5. Seleccione EJB en la lista Proveedor y, a continuación, haga clic en Filtro .
  6. Para desactivar todos los extremos de EJB, active la casilla de verificación situada junto a cada uno de los extremos de la lista y haga clic en Deshabilitar .
  7. Haga clic en Siguiente y repita el paso anterior para todos los extremos de EJB. Asegúrese de que EJB aparece en la columna Proveedor antes de deshabilitar los extremos.
  8. Seleccione SOAP en la lista de proveedor y, a continuación, haga clic en Filtro .
  9. Para eliminar los puntos finales de SOAP, active la casilla de verificación situada junto a cada uno de los puntos de la lista y haga clic en Eliminar . No elimine los puntos finales siguientes:
    • AuthenticationManagerService
    • DirectoryManagerService
    • JobManager
    • evento_management_service
    • evento_configuration_service
    • ProcessManager
    • TemplateManager
    • RepositoryService
    • TaskManagerService
    • TaskQueueManager
    • TaskManagerQueryService
    • WorkspaceSingleSignOn
    • ApplicationManager
  10. Haga clic en Siguiente y repita el paso anterior para los extremos de SOAP que no se encuentran en la lista anterior. Asegúrese de que SOAP aparece en la columna Proveedor antes de eliminar los extremos.

Desactivación del acceso anónimo no esencial a los servicios

Algunos servicios de servidor de formularios permiten la invocación no autenticada (anónima) en algunas operaciones. Esto significa que una o más operaciones expuestas por el servicio pueden invocarse como un usuario autenticado o como un usuario no autenticado.
  1. Inicie sesión en la consola de administración escribiendo la siguiente URL en un explorador Web:
             https://[host name]:'port'/adminui
    
    
  2. Haga clic en Servicios > Aplicaciones y servicios > Administración de servicios.
  3. Haga clic en el nombre del servicio que desea deshabilitar (por ejemplo, AuthenticationManagerService).
  4. Haga clic en la ficha ​Seguridad, anule la selección de Acceso anónimo permitido y haga clic en Guardar .
  5. Complete los pasos 3 y 4 para los siguientes servicios:
    • AuthenticationManagerService
    • EJB
    • Correo electrónico
    • JobManager
    • WatchedFolder
    • UsermanagerUtilService
    • Remoto
    • RepositoryProviderService
    • EMCDocumentumRepositoryProvider
    • IBMFilenetRepositoryProvider
    • FormAugmenter
    • TaskManagerService
    • TaskManagerConnector
    • TaskManagerQueryService
    • TaskQueueManager
    • TaskEndpointManager
    • UserService
    • WorkspaceSearchTemplateService
    • WorkspacePropertyService
    • OutputService
    • FormsService
    Si desea exponer cualquiera de estos servicios para la invocación remota, también debe considerar la posibilidad de desactivar el acceso anónimo a estos servicios. De lo contrario, cualquier llamante con acceso de red a este servicio puede invocar el servicio sin pasar credenciales válidas.
    El acceso anónimo debe deshabilitarse para cualquier servicio que no sea necesario. Muchos servicios internos requieren que se habilite la autenticación anónima, ya que es necesario que cualquier usuario potencial del sistema los invoque sin tener autorización previa.

Cambio del tiempo de espera global predeterminado

Los usuarios finales pueden autenticarse en AEM Forms a través de Workbench, aplicaciones web de AEM Forms o aplicaciones personalizadas que invocan servicios de servidor de AEM Forms. Se utiliza una configuración de tiempo de espera global para especificar cuánto tiempo pueden interactuar estos usuarios con AEM Forms (mediante una aserción basada en SAML) antes de que se vean obligados a volver a autenticarse. La configuración predeterminada es de dos horas. En un entorno de producción, la cantidad de tiempo debe reducirse al número mínimo de minutos aceptable.

Minimizar el límite de tiempo de reautenticación

  1. Inicie sesión en la consola de administración escribiendo la siguiente URL en un explorador Web:
             https://[host name]:'port'/adminui
    
    
  2. Haga clic en Configuración > Administración de usuarios > Configuración > Importar y exportar archivos de configuración.
  3. Haga clic en Exportar para crear un archivo config.xml con la configuración de AEM Forms existente.
  4. Abra el archivo XML en un editor y busque la siguiente entrada:
    <entry key=”assertionValidityInMinutes” value=”120”/>
  5. Cambie el valor a cualquier número bueno de 5 (en minutos) y guarde el archivo.
  6. En la consola de administración, vaya a la página Importar y exportar archivos de configuración.
  7. Introduzca la ruta al archivo config.xml modificado o haga clic en Examinar para ir a él.
  8. Haga clic en Importar para cargar el archivo config.xml modificado y, a continuación, haga clic en Aceptar .