Безопасность
Безопасность является жизненно важным компонентом при любом выборе архитектуры клиентами. Существует множество способов предоставить доступ к системе для внешних пользователей. Ниже представлены некоторые конфигурации, которые обычно используются клиентами.
Обратный прокси
Конфигурация с обратным прокси является популярным способом поместить защищенный веб-сервер или даже входной порт в балансировщик нагрузки, такой как Cisco ACE или F5 BigIP, в общедоступной демилитаризованной зоне (DMZ) в вашей сети. Любой входящий запрос пользователя направляется на обратный прокси-сервер. После получения запроса прокси веб-сервера на сервер приложений отправляется новый запрос, обычно через брандмауэр. Ответ в итоге отправляется пользователю через обратный прокси, и этот цикл продолжается.
У некоторых клиентов имеются более широкие инфраструктуры обратного прокси, поддерживающие их существующую инфраструктуру экстрасети. Когда прокси связывается с сервером приложений, запрос обычно использует соединение HTTP(S) - HTTP(S).
Аутентификация и единый вход
Servigistics InService по умолчанию использует обычную проверку подлинности в конфигурации с сервером приложений и LDAP. При необходимости могут быть настроены другие форматы аутентификации, однако некоторые функции приложений с Servigistics InService могут оказаться несовместимыми с такими форматами.
Для крупных реализаций, в которых узлы Servigistics InService Publisher и Viewer действуют в разделенной конфигурации, аутентификацией также управляют отдельно.
• База пользователей Servigistics InService Publisher ограничивается несколькими пользователями, которые управляют заданиями публикации, и им могут не требоваться жесткие ограничения аутентификации с единым входом (SSO).
• В то же время база пользователей Servigistics InService Viewer может быть довольно широкой и требовать жесткой безопасной аутентификации пользователей, обращающихся к этому приложению через Интернет. Системы аутентификаций SSO являются типичной функцией, применимой к большим приложениям Viewer.
На сервере приложений WildFly, который является частью решения Servigistics InService, аутентификация на одном или нескольких серверах LDAP поддерживается при условии, что ни один сервер LDAP не содержит ИД пользователя, дубль которого есть на другом сервере. Аутентификация с несколькими серверами LDAP предполагает, что удостоверения пользователя на каждом сервере LDAP являются уникальными и определяются на основе первого совпадения.
Для клиентских реализаций, в которых имеются более сложные требования аутентификации, PTC настоятельно рекомендует использовать более развитые решения управления реквизитами. Клиенты имеют опыт успешного развертывания продуктов управления реквизитами CA SiteMinder, Oracle Identity Manager и некоторых других решений. Однако если вы решаете выбрать какое-либо из этих более расширенных решений по управлению удостоверениями, необходимо настроить Servigistics InService на его поддержку.
В то время как решение Servigistics InService доступно в стандартных веб-браузерах через HTTP, не всем клиентам гарантируется через веб-браузер доступ к Servigistics InService. Если вы применяете решение аутентификации, такое как аутентификация на основании форм (которая поддерживается версией Servigistics InService 6.0), существуют дополнительные особенности конфигурации, которые должны быть реализованы, в том числе возможные изменения кодирования в Servigistics InService.