El nuevo modelo de seguridad WebFOCUS utiliza una implementación del control de acceso basado en roles (RBAC, en sus siglas en inglés). La flexibilidad del nuevo modelo permite que el administrador implemente la seguridad a nivel individualizado para todos los recursos del Repositorio WebFOCUS (si es necesario). Puede permitir las acciones con combinaciones individuales de usuarios y recursos. Puede permitir o denegar específicamente el acceso a nivel individual y grupal; también puede heredarse de carpetas superiores.

Características principales del modelo:

• Almacenamiento de base de datos relacional de todo el contenido.
• Mayor integración con ReportCaster.
• Inicio de sesión único en todos los componentes de nivel intermedio.
• Capacidad multirol.
• Mayor integración con fabricantes de software como servicio (SaaS, en sus siglas en inglés)
• Delegación individual de tareas administrativas.
• Mejoras de seguridad:
  • Auditoría de seguridad.
  • Directivas de cuentas.
  • Múltiples proveedores de autenticación.
  • Filtro CSRF (Falsificación de solicitud entre sitios), para protección frente a ataques CSRF
  • Filtro de inyección de nulos hex, para protección frente a ataques de inyección de nulos.
  • Defensas XSS (ataques de scripts de sitios), para protección frente a ataques XSS.
  • Defensas de fijación de sesión, para protección frente a ataques de fijación de sesiones.

Como administrador, puede crear un modelo de seguridad completo para su implementación WebFOCUS. Tenga en cuenta las siguientes cuestiones fundamentales a la hora de diseñar una directiva de seguridad que se ajuste a las necesidades de su organización:

• Autenticación. Una de las decisiones principales que debe tomar sobre cualquier aplicación es la de si debe saber y controlar quién puede ejecutarla. El proceso de autenticación consiste en confirmar la identidad del usuario.
• Autorización. Después de autenticar al usuario, el siguiente paso es determinar y aplicar un nivel de acceso adecuado. El proceso de autorización consiste en aplicar los privilegios de usuario para controlar el acceso a los recursos y herramientas dentro de una aplicación.
• Confidencialidad. Garantiza la privacidad, normalmente mediante el cifrado de la información transmitida o almacenada entre los componentes de un entorno. El cifrado puede ser débil o fuerte, y estar basado en esquemas de cifrado públicos o privados. Cada organización debe definir los datos que considera confidenciales.
• Integridad de los datos. Garantiza que la información no pueda alterarse sin la autorización correspondiente.
• Auditoría. La auditoría sigue el acceso del usuario a herramientas y recursos y registra las acciones administrativas más importantes; por ejemplo, cuando se añade un usuario a un grupo.

Cuestiones en las que debe basar su directiva de seguridad:

• ¿Qué información se va a almacenar en el Repositorio WebFOCUS?
• ¿Quién requiere acceso a esta información?
• ¿Qué tipo de acceso requiere cada usuario?
• ¿Qué herramientas hay disponibles para cada usuario?