Le nouveau modèle de sécurité WebFOCUS utilise une implémentation de contrôle d'accès basé sur rôle (Role-Based Access Control, ou RBAC). La flexibilité du nouveau modèle permet à l'administrateur d'implémenter la sécurité à un niveau granulaire pour chaque ressource du référentiel WebFOCUS, si nécessaire. Les actions utilisateurs peuvent être autorisées pour des combinaisons individuelles de ressources. L'accès peut être autorisé ou refusé pour un groupe ou niveau individuel en particulier, et peut être hérité de dossiers supérieurs.

Les points forts du modèle comprennent :

• Stockage base de données relationnelle pour tout le contenu.
• Intégration améliorée avec ReportCaster.
• SSO pour tous les composant de la couche intermédiaire.
• Capacité rôle multiple.
• Intégration améliorée avec fournisseurs Logiciel sur demande (SaaS)
• Délégation granulaire des tâches administratives.
• Sécurité améliorée, y compris :
  • Audit sécurité.
  • Stratégies de compte.
  • Fournisseurs authentification multiple.
  • Falsification requête site à site (Cross Site Request Forgery, CSRF), pour se protéger des attaques CSRF.
  • Filtre d'injection Hex null, pour se protéger des attaques utilisant une injection vide.
  • Défense script site à site (Cross Site Scripting, XSS), pour se protéger des attaques XSS.
  • Défense fixation de session, pour se protéger des attaques utilisant la fixation de session.

En tant qu'administateur, vous pouvez créer un modèle de sécurité complet pour votre implémentation WebFOCUS. Pour concevoir une sécurité répondant aux besoins de votre organisation, vous devez considérer plusieurs problèmes fondamentaux :

• Authentification. L'une des premières décisions à prendre concernant toute application est de définir si vous devez savoir et contrôler les personnes autorisées à l'exécuter. L'authentification est le processus de confirmation de l'identité d'un utilisateur.
• Autorisation. Une fois que vous avez authentifié un utilisateur, l'étape suivante consiste à déterminer et renforcer un niveau d'accès approprié. L'autorisation est le processus de contrôle des privilèges utilisateur en ce qui concerne l'accès aux ressources et les outils au sein d'une application.
• Confidentialité. La confidentialité assure l'intimité, en général en cryptant les informations transmises entre ou stockés dans les composants d'un environnement. Le cryptage peut être faible ou fort, et il peut être basé sur des modèles de cryptage privé ou publique. La décision concernant la confidentialité d'une donnée diffère dans chaque entreprise.
• Intégrité de données. L'intégrité de données permet de s'assurer que les informations ne peuvent être altérées sans autorisation appropriée.
• Audit. Suivi des accès utilisateur aux outils et aux ressources, et journalisation des tâches administratives importantes, telles que l'ajout d'utilisateur à des groupes.

Les questions importantes relatives à votre stratégie de sécurité comprennent :

• Quelle information sera stockée dans le référentiel WebFOCUS ?
• Qui aura accès à cette information ?
• Quel type d'accès l'utilisateur aura-t-il besoin ?
• Quels outils devraient être disponibles pour chaque utilisateur ?