Como: |
Em algumas implantações do WebFOCUS, pode ser útil suportar diversos métodos de autenticação simultaneamente. Por exemplo, você pode querer pré-autenticar usuários finais com um sistema de Gerenciamento de Acesso à Web, mas permitir que administradores se conectem ao WebFOCUS com um ID de usuário e senha. Em outro exemplo, você pode precisar pré-autenticar funcionários com a autenticação do Windows, mas fornecer a clientes uma página de conexão onde eles podem digitar seus IDs e senhas de usuário de LDAP.
As opções do portal do WebFOCUS e do WebFOCUS móvel também podem possuir requerimentos especiais de autenticação. Para suportar diferentes métodos de autenticação com base em critérios configuráveis, o WebFOCUS utilizar zonas de segurança. Cada zona de segurança é definida por um arquivo de configuração localizado em drive:/ibi/WebFOCUS81/config.
|
Zona |
Arquivo de Configuração |
Descrição |
|---|---|---|
|
Zona padrão |
securitysettings.xml |
Por padrão, suporta a autenticação com base em formulários para qualquer solicitação não processada por outras zonas. Dica: Configure esta zona para o tipo primário de autenticação utilizado pela sua base de usuários. |
|
Zona alternativa |
securitysettings-zone.xml |
Por padrão, suporta a autenticação com base em formulários para administradores que acessam o WebFOCUS com o navegador da web instalado na máquina do cliente do WebFOCUS. |
|
Zona remota |
securitysettings-mobile.xml |
Define o método de autenticação para produtos para dispositivos móveis do WebFOCUS, incluindo o Mobile Favorites. |
|
Zona de portlet |
securitysettings-portlet.xml |
Define o método de autenticação para produtos do WebFOCUS Open Portal Services, incluindo o SharePoint. |
A zona padrão sempre se encontra habilitada. Configure o primeiro método de autenticação aqui.
A zona alternativa permite que você configure métodos secundários de autenticação a serem utilizados com base no local de rede de usuário. Por padrão, a zona alternativa não se encontra habilitada. Se habilitado, é pré-configurado para processar solicitação vindas do localhost do endereço da rede ou 127.0.0.1 e ::1 (TCP/IPv4 e TCP/IPv6, respectivamente). É possível alterar estas definições. Você pode adicionar ou remover endereços, como endereços de área de trabalho de administradores, um proxy reverso ou uma outra máquina mais conveniente para conexões de Área de Trabalho Remota.
O WebFOCUS oferece suporte para curingas nos endereços configurados, permitindo que você especifique um intervalo de endereços de IP, além de IPs individuais. O asterisco (*) combina qualquer número de caracteres, e o ponto de interrogação (?) combina um único caractere, como ilustrado no trecho a seguir, retirado de um arquivo de exemplo securitysettings-zone.xml.
<property name="filterChainEnabled" value="true"/>
<property name="filterChainPatternEnabled" value="true"/>
<property name="filterChainPatterns">
<list>
<value>/**</value>
</list>
</property>
<property name="filterChainIPAddresseEnabled" value="true"/>
<property name="filterChainIPAddresses">
<list>
<value>127.0.0.1</value>
<value>172.30.240.1</value>
<value>172.30.???.??1</value>
<value>172.30.239.*</value>
</list>
</property>Dica: O arquivo de log de auditoria do WebFOCUS registra o endereço TCP/IP associado com cada sessão de usuário. Estas informações podem ser úteis para a resolução de problemas de configuração em uma zona de segurança.
Quando o WebFOCUS apresenta a página de conexão na zona alternativa, o usuário é redirecionado para a página de conexão do WebFOCUS. O indicador de zona é anexado à URL de conexão. Por exemplo:
http://localhost/ibi_apps/zone/signin
As zonas móveis e de portlet do WebFOCUS são pré-configuradas para oferecer suporte a estes produtos opcionais do WebFOCUS e normalmente não precisam ser alteradas.
Recomendamos que você faça um backup do arquivo securitysettings-zone.xml antes de alterá-lo.
Pode-se especificar endereços individuais ou um intervalo de endereços utilizando o asterisco (*) para combinar qualquer número de caracteres e o ponto de interrogação (?) para combinar um único caractere.
É possível especificar uma URL de desconexão diferente paracada zona. Se você não especificar a URL de desconexão para uma zona, a URL usará o valor da definição IBI_Signout_Redirect_URL.
Para obter mais informações sobre a definição IBI_Signout_Redirect_URL, consulte Configurações de Segurança.
Observação: Em um ambiente SSO (Conexão Única, na sigla em inglês), desconectar-se do WebFOCUS não significa necessariamente desconectar o usuário, já que as credenciais de autenticação continuam com o provedor de autenticação de terceiros. Neste caso, você pode desejar especificar a URL de redirecionamento de desconexão utilizando uma URL que interrompa a sessão de produto SSO, caso exista uma. Por exemplo, a URL de desconexão para o WebSEAL pode ser
http://webseal.domain.com/pkmslogouthttp://siteminder.domain.com/logout.html
Os arquivos de zona estão localizados no diretório drive:/ibi/WebFOCUS81/config.
| WebFOCUS |