Sicherheit
Sicherheit ist ein äußerst wichtiger Bestandteil jeder Wahl, die ein Kunde hinsichtlich der Architektur trifft. Es gibt eine Vielzahl von Methoden, mit denen externen Benutzern Zugriff auf das System gewährt werden kann. Nachstehend einige Konfigurationen, die Kunden häufig verwenden.
Reverse-Proxy
Die Reverse-Proxy-Konfiguration ist eine beliebte Methode, einen gesicherten Web-Server oder sogar den Eingangsport zu einem Lastenausgleich wie Cisco ACE oder des F5s BigIP in einem öffentlichen DMZ Ihres Netzwerks zu platzieren. Alle eingehenden Benutzeranfragen werden an den Reverse-Proxy-Server geleitet. Nach dem Erhalt einer Anfrage übermittelt der Web-Server mittels Proxying eine neue Anfrage (in der Regel über einer Firewall) an den Anwendungsserver. Die Antwort wird schließlich über den Reverse-Proxy an den Benutzer zurückgesendet und der Kreislauf setzt sich fort.
Einige Kunden verfügen über umfangreichere Reverse-Proxy-Infrastrukturen, um die vorhandene Extranet-Infrastruktur zu unterstützen. Wenn ein Proxy mit dem Anwendungsserver kommuniziert, ist die Anfrage in der Regel HTTP(S) zu HTTP(S).
Authentifizierung und Einmalanmeldung (Single Sign-On, SSO)
Servigistics InService verwendet Standardauthentifizierung als die Standardkonfiguration in Verbindung mit dem Anwendungsserver und dem LDAP. Andere Formate der Authentifizierung können nach Bedarf konfiguriert werden, wobei jedoch verschiedene Anwendungsfunktionen mit Servigistics InService gegebenenfalls nicht mit diesen Formaten kompatibel sind.
Bei umfangreichen Implementierungen, in denen der Servigistics InService Publisher und die Viewer in einer geteilten Konfiguration arbeiten, wird auch die Authentifizierung separat verwaltet.
• Die Servigistics InService Publisher Benutzerbasis wird auf wenige Benutzer beschränkt, die die Publizierungsaufgaben verwalten und für die gegebenenfalls die Anforderungen an das Authentifizierungssystem der Einmalanmeldung (Single Sign on, SSO) nicht streng sind.
• Demgegenüber kann die Servigistics InService Viewer-Benutzerbasis recht umfangreich sein und die Anforderungen an eine sichere Authentifizierung von Benutzern, die auf mit dem Internet verbundene Anwendungen zugreifen, können streng sein. SSO-Authentifizierungssysteme sind eine typische Funktion, die in großen Viewer-Anwendungen angewendet wird.
Innerhalb des WildFly-Anwendungsservers, der Teil der Servigistics InService Lösung ist, wird die Authentifizierung für einen oder mehrere LDAP-Servern unterstützt, sofern keiner der LDAP ein Duplikat einer Benutzer-ID eines anderen LDPA enthält. Die Authentifizierung für mehrere LDAP-Server setzt voraus, dass die Benutzeranmeldeinformationen für jeden LDAP eindeutig und nach dem Prinzip der ersten Übereinstimmung identifiziert sind.
Für Kundenimplementierungen, die komplexere Authentifizierungsanforderungen haben, empfiehlt PTC dringend, eine erweiterte Identitätsverwaltungslösung einzusetzen. Kunden haben die erfolgreiche Verwendung von Identitätsverwaltungsprodukten von CA SiteMinder, Oracle Identity Manager und zahlreiche andere Identitätsverwaltungslösungen hervorgehoben. Sollten Sie eine fortgeschrittenere Identitätsverwaltungslösung wählen, müssen Sie Servigistics InService anpassen, damit diese Lösung unterstützt wird.
Während es sich bei Servigistics InService um eine Anwendung handelt, die über Standard-Web-Browser über HTTP verfügbar ist, ist nicht bei allen Clients, die auf Servigistics InService zugreifen, der Zugriff über einen Web-Browser gewährleistet. Wenn Sie eine Authentifizierungslösung wie formularbasierte Authentifizierung implementieren (die mit Servigistics InService 6.0 unterstützt wird), müssen weitere Details konfiguriert werden, einschließlich gegebenenfalls Änderungen der Codierung in Servigistics InService.