Come: |
In alcune distribuzioni di WebFOCUS, potrebbe risultare utile supportare allo stesso momento vari metodi di autenticazione. Per esempio, di potrebbe pre-autenticare utenti finali con un sistema di gestione accessi web, ma consentire agli amministratori di accedere a WebFOCUS con un ID e password utente. In un altro esempio, di potrebbe pre-autenticare i dipendenti con l'autenticazione Windows, ma presentare ai clienti una pagina di accesso dove poter immettere i propri ID e password LDAP.
Le opzioni portale e mobili di WebFOCUS presentano inoltre requisiti di autenticazione. Per supportare diversi metodi di autenticazione, basati su criteri configurabili, WebFOCUS usa zone di sicurezza. Ogni zona viene definita da un file di configurazione, posizionato nel drive:/ibi/WebFOCUS81/config.
|
Zona |
File di configurazione |
Descrizione |
|---|---|---|
|
Zona Predefinita |
securitysettings.xml |
Per impostazione predefinita, si supporta l'autenticazione basata su moduli per qualsiasi richiesta non elaborata da una di queste zone. Suggerimento: Configurare questa zona come tipo principale di autenticazione usato dalla propria base utente. |
|
Zona Alternata |
securitysettings-zone.xml |
Per impostazione, si supporta l'autenticazione basata su moduli per amministratori che accedono a WebFOCUS con il browser web installato sul computer di WebFOCUS Client. |
|
Zona Mobile |
securitysettings-mobile.xml |
Definisce il metodo di autenticazione per i prodotti unità mobile di WebFOCUS, inclusivi di Preferiti Unità Mobile. |
|
Zona Portlet |
securitysettings-portlet.xml |
Definisce il metodo di autenticazione per i prodotti di WebFOCUS Open Portal Services, inclusivo di SharePoint. |
La zona predefinita risulta sempre abilitata. Configurare qui il metodo di autenticazione principale.
La zona alternata consente di impostare metodi di autenticazione secondari da usare a seconda della posizione di rete dell'utente. Per impostazione predefinita, la zona alternata non risulta abilitata. Se abilitata, risulta preconfigurata per elaborare richieste in arrivo dal localhost di indirizzo di rete, o da 127.0.0.1 e ::1 ( rispettivamente TCP/IPv4 and TCP/IPv6), in grado di modificare. È possibile aggiungere o rimuovere indirizzi, come l'indirizzo della postazione di lavoro dell'amministratore, un proxy di inversione, o un altro computer che risulta più conveniente per le connessioni di desktop remoto.
WebFOCUS supporta i jolly negli indirizzi configurati, consentendo di specificare un intervallo di indirizzi IP, oltre a indirizzi individuali. L'asterisco (*) corrisponde a qualsiasi numero di caratteri e il punto interrogativo (?) corrisponde ad un solo carattere, come illustrato nella seguente immagine, tranne da un file campione securitysettings-zone.xml.
<property name="filterChainEnabled" value="true"/>
<property name="filterChainPatternEnabled" value="true"/>
<property name="filterChainPatterns">
<list>
<value>/**</value>
</list>
</property>
<property name="filterChainIPAddresseEnabled" value="true"/>
<property name="filterChainIPAddresses">
<list>
<value>127.0.0.1</value>
<value>172.30.240.1</value>
<value>172.30.???.??1</value>
<value>172.30.239.*</value>
</list>
</property>Suggerimento: Il file di registrazione controllo registra l'indirizzo TCP/IP associato con ogni sessione utente. Queste informazioni possono risultare utili nel risolvere problemi di configurazione con una zona di sicurezza.
Quando WebFOCUS presenta la pagina di accesso agli utenti nella zona alternata, l'utente viene reindirizzato alla pagina di accesso WebFOCUS. L'indicatore di zona viene accodato all'URL di accesso. Per esempio:
http://localhost/ibi_apps/zone/signin
Le zone portlet e mobili di WebFOCUS sono preconfigurate per supportare questi prodotti WebFOCUS opzionali e di solito non necessitano modifiche.
Si consiglia inoltre di eseguire il backup del file securitysettings-zone.xml prima di modificarlo.
È possibile specificare indirizzi o un intervallo di indirizzi, usando il jolly (*) asterisco per corrispondere a qualsiasi numero di caratteri e il jolly (?) punto interrogativo per corrispondere a un solo carattere.
È possibile specificare un URL di disconnessione diverso per ogni zona. Se non si specifica l'URL di disconnessione per una zona, l'URL fa riferimento al valore dell'impostazione IBI_Signout_Redirect_URL.
Per ulteriori informazioni sull'impostazione IBI_Signout_Redirect_URL, consultare Impostazioni protezione.
Nota: In un ambiente di accesso singolo (SSO), la disconnessione da WebFOCUS non disconnette necessariamente l'utente, poiché le credenziali di autenticazione rimangono con il fornitore di autenticazione di terzi. In questo caso, si potrebbe voler specificare l'URL reindirizzamento disconnessione a un URL che termina la sessione prodotto SSO, se esistente. Per esempio, l'URL disconnessione per WebSEAL potrebbe essere
http://webseal.domain.com/pkmslogouthttp://siteminder.domain.com/logout.html
I file di zona sono posizionati nella directory drive:/ibi/WebFOCUS81/config.
| WebFOCUS |