2.2 Sicherheit

Der Übergang von der Vorproduktion zur Produktion ist in der Regel mit einer Verstärkung der Sicherheit des Systems verbunden. In der Sandkastenumgebung haben Sie möglicherweise ein reguläres HTTP für die Verbindung von Benutzeranwendungstreiber und JBoss verwendet oder (als vorübergehende Maßnahme) ein selbstsigniertes Zertifikat für die Kommunikation zwischen Treiber und Anwendungsserver. Bei der Produktion sollten Sie sichere Verbindungen mit Serverauthentifizierung verwenden, die auf dem Verisign-Zertifikat (oder dem Zertifikat eines anderen vertrauenswürdigen Anbieters) basiert.

Es ist typisch, dass X.509-Zertifikate an mehreren Stellen in der Identity Manager-Benutzeranwendungsumgebung verwendet werden (siehe nachfolgendes Schema).

Die Kommunikation zwischen der Benutzeranwendung und dem Identitätsdepot ist sicher und verwendet standardmäßig Transport Layer Security (Transportschichtsicherheit). Bei der Installation wird das Identitätsdepot-Zertifikat (eDirectory) automatisch im JBoss-Keystore installiert. Sofern nicht anders angegeben, platziert das Benutzeranwendungs-Installationsprogramm eine Kopie des eDirectory-Zertifikats im Standardspeicher cacerts der JRE.

Wie im Schema dargestellt, muss sich das Serverzertifikat an verschiedenen Stellen befinden, damit eine sichere Kommunikation gewährleistet wird. Abhängig davon, ob Sie ein selbstsigniertes Zertifikat an den verschiedenen Positionen des Diagramms, an denen das Kästchen JBoss cert angezeigt wird, verwenden oder ob Sie stattdessen ein von einer vertrauenswürdigen Zertifizierungsstelle (CA, certificate authority) wie Verisign ausgestelltes Zertifikat verwenden möchten, können bei der Einrichtung mehrere Schritte erforderlich sein.

Selbstsignierte Zertifikate

Bei der Verwendung eines Zertifikats von einem bekannten, vertrauenswürdigen Herausgeber (z. B. Verisign) sind in der Regel keine besonderen Konfigurationsschritte erforderlich. Wenn Sie allerdings beabsichtigen, ein selbstsigniertes Zertifikat zu erstellen und zu verwenden, müssen folgende Schritte ausgeführt werden:

Aktivierung von SSL in JBoss

Zur Aktivierung von SSL in JBoss, suchen Sie die Datei jbossweb-tomcat55.sar unter [IDM]/jboss/server/IDM/deploy/. Öffnen Sie dort die Datei server.xml in einem Texteditor. Aktivieren Sie SSL, indem Sie die Kommentarzeichen entfernen oder einen Abschnitt wie diesen hinzufügen:

<Connector port="8443" address="${jboss.bind.address}" maxThreads="100" strategy="ms" maxHttpHeaderSize="8192" emptySessionPath="true" scheme="https" secure="true" clientAuth="false" keystoreFile="${jboss.server.home.dir}/spitfire/conf/jboss.jks" keystorePass="changeit" sslProtocol = "TLS" />

Aktivierung der SOAP-Sicherheit

Öffnen Sie die Datei web.xml aus der Web-Archivdatei IDM.war in einem Texteditor. Entfernen Sie am Ende der Datei die Kommentarzeichen des folgenden Abschnitts:

<security-constraint> <web-resource-collection> <web-resource-name>IDMProv</web-resource-name> <url-pattern>/*</url-pattern> <http-method>POST</http-method> <http-method>GET</http-method> <description>IDM Provisioning Edition</description> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport guarantee> </user-data-constraint> </security-constraint>

Speichern Sie die Datei und das Archiv. Starten Sie JBoss neu.