Pour éviter des menaces de sécurité potentielles, les clients exécutant DIVAnet doivent faire attention à l'authentification et l'autorisation du système.
Ces menaces de sécurité peuvent être réduites grâce à une configuration adéquate et en suivant la liste de contrôle post-installation de l'Annexe A, Liste de contrôle du déploiement sécurisé.
Les fonctionnalités de sécurité critiques suivantes protègent contre les menaces de sécurité :
Authentification : garantit que seules les personnes autorisées peuvent accéder au système et aux données.
Autorisation : fournit un contrôle d'accès aux privilèges et aux données du système. Cette fonctionnalité repose sur l'authentification afin de garantir que les personnes disposent uniquement de l'accès dont elles ont besoin.
Les services DIVAnet peuvent utiliser plusieurs méthodes pour effectuer l'authentification :
Certificats SSL/TLS : DIVAnet consulte un truststore de certificats lorsqu'il crée une connexion sortante à un service DIVAnet distant. Cela permet de garantir que DIVAnet est connecté à des services DIVAnet authentiques. Pour créer une connexion sécurisée à partir du service ClientAdapter de DIVAnet vers une instance DIVArchive, vous devez vous connecter via le service ManagerAdapter en utilisant un type de connexion <ConnectionType> identifié comme WebServices.
Règles d'accès : bien qu'elles soient techniquement une forme de contrôle d'accès, les règles d'accès peuvent filtrer les connexions entrantes en fonction de l'adresse IP entrante. Cette fonctionnalité est nécessaire pour aider à garantir que seuls les systèmes approuvés ont un accès approprié aux services DIVAnet.
AVERTISSEMENT :
Les services DIVAnet utilisent les mots de passe de la base de données pour leur configuration. Les mots de passe doivent être changés immédiatement après l'installation et tous les 180 jours (au minimum) par la suite. Une fois que vous avez changé les mots de passe, vous devez les stocker dans un emplacement sécurisé, hors ligne, où ils peuvent être mis à la disposition du support technique Oracle si nécessaire.
Vous pouvez créer des règles d'accès pour limiter les opérations que certains utilisateurs ou systèmes peuvent effectuer dans le système d'archivage distribué. Les règles d'accès peuvent être exécutées comme suit :
ClientAdapter/Mode MultiDiva : limite les types de demandes DIVAnet pouvant être exécutés.
ManagerAdapter : limite les types de demandes DIVArchive pouvant être exécutés pour satisfaire une demande DIVAnet (potentiellement demandée par un système distant).
Les règles d'accès peuvent affecter les demandes lancées à partir de l'interface utilisateur DIVAnetUI ou d'une connexion de socket d'API (potentiellement lancée par une solution MAM ou un système d'automatisation).
Les règles d'accès peuvent être exécutées sur une demande DIVAnet au niveau de DIVAnet ou de DIVArchive. Au niveau de DIVAnet, le service ClientAdapter traite la demande où elle est reçue. Au niveau de DIVArchive, un service ManagerAdapter distant traite les demandes DIVArchive émises pour satisfaire la demande DIVAnet.
Oracle vous recommande de créer l'ensemble de règles le plus restrictif possible répondant aux exigences de l'application. Par exemple, si seuls les administrateurs ont besoin d'effectuer des suppressions globales, assurez-vous que les autres utilisateurs ne peuvent pas accéder à cette fonctionnalité. Si un groupe d'utilisateurs système a seulement besoin d'accéder à une liste déterminée de sources et destinations, assurez-vous que ces utilisateurs peuvent émettre des demandes uniquement pour ces sources et destinations spécifiques.
Tenez compte également des sites utilisés pour satisfaire aux demandes. Par exemple, si les utilisateurs sur le site local n'ont aucune raison d'effectuer des copies alors que ni le site source ni le site cible n'est le site local (cela est possible en utilisant DIVAnet), configurez ces règles dans la configuration du service ClientAdapter.
Enfin, tenez compte des constructions spécifiques dans les demandes que vous voulez exclure systématiquement. Par exemple, si vous n'avez pas besoin d'adresser les objets avec seulement le nom d'objet (sans la catégorie), excluez toutes les demandes dont les catégories sont vides.
De plus, chaque ClientAdapter WorkflowProfile contient la liste des messages valides pouvant être traités par les demande affectées au WorkflowProfile. En mode MultiDiva, cela permet d'exclure des messages spécifiques du traitement (notamment les messages d'information).
Oracle recommande de commencer par les règles par défaut définies dans le fichier AccessRules.xml.ini, même si vous ne définissez pas votre propres règles d'accès. Pour plus d'informations sur les fonctionnalités de contrôle d'accès DIVAnet, reportez-vous au manuel Guide d'Oracle DIVAnet à l'adresse :
SSL/TLSDIVAnet stocke les données des certificats dans deux endroits : un fichier de clés privées, utilisé pour les services Web hébergés sur le système local ; et un fichier de clés publiques, utilisé pour vérifier les services Web qui sont appelés à distance. Vous pouvez utiliser l'utilitaire Java Keytool pour changer le mot de passe du fichier de clés et ajouter ou supprimer des certificats.
Reportez-vous au site suivant pour plus d'informations sur la création des fichiers de clés :
http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#CreateKeystore
Seules les connexions aux services Web DIVAnet utilisent des certificats SSL/TLS. Dans cette version, la connexion à DIVArchive ou DIVAnet au moyen d'une connexion de socket d'API DIVArchive n'utilisera pas SSL/TLS.
Les données des certificats de clés privées DIVAnet sont stockées dans :
$DIVANET_HOME\Program\divanet\lib\diva129.jks
Un seul certificat exactement doit apparaître dans ce fichier de clés. Ce certificat est utilisé pour les services Web hébergés par les services exécutés à partir du répertoire $DIVANET_HOME. Il est recommandé de remplacer le certificat fourni par un nouveau certificat et d'utiliser un certificat différent pour chaque site DIVAnet du réseau.
Vous devez changer le mot de passe de ce fichier de clés. Stockez les informations relatives au mot de passe dans un nouveau fichier intitulé $DIVANET_HOME\Program\divanet\lib\diva129.properties et rendez ce fichier lisible par les services DIVAnet, mais non lisible par les utilisateurs occasionnels du système. Utilisez le format suivant pour le fichier :
keystorePassword=[newpassword]
Parfois appelé truststore, ces données sont situées dans :
$DIVANET_HOME\Java\lib\security\cacerts2
Ces données de certificat sont utilisées dans les appels de service Web sortants (notamment DIVAnetUI). Vous pouvez charger plusieurs clés publiques dans ce fichier de clés.
Si vous avez ajouté un nouveau certificat autosigné dans le fichier de clés privées DIVAnet, exportez le certificat au moyen de l'utilitaire keytool. Toutes les applications (services DIVAnet, interface DIVAnetUI, etc.) qui appellent WebServices sur ce site doivent ensuite ajouter le certificat exporté à leur propre fichier de clés publiques.