Per evitare potenziali minacce alla sicurezza, gli utenti di DIVAnet devono preoccuparsi dell'autenticazione e dell'autorizzazione del sistema.
È possibile minimizzare questi rischi per la sicurezza eseguendo una corretta configurazione e consultando l'elenco di controllo postinstallazione in Appendice A, Elenco di controllo per la distribuzione sicura.
Di seguito sono elencate le funzioni di sicurezza fondamentali per la protezione dai rischi.
Autenticazione: assicura che solo agli utenti autorizzati sia concesso l'accesso al sistema e ai dati.
Autorizzazione: controllo dell'accesso a dati e privilegi di sistema. Questa funzione si basa sull'autenticazione per garantire che le persone ottengano solo il livello di accesso appropriato.
I servizi DIVAnet possono eseguire l'autenticazione mediante diversi metodi.
Certificati SSL/TLS: DIVAnet consulta un truststore di certificati quando crea una connessione in uscita a un servizio DIVAnet remoto. Ciò consente di assicurare che si sta effettuando la connessione a servizi DIVAnet autentici. Per creare una connessione sicura tra DIVAnet ClientAdapter e un'istanza DIVArchive, è necessario connettersi tramite ManagerAdapter utilizzando un <ConnectionType> identificato come WebService.
Regole di accesso: anche se dal punto di vista tecnico si tratta di una forma di controllo dell'accesso, le regole di accesso possono filtrare le connessioni in entrata sull'indirizzo IP in entrata. Questa funzione è necessaria per consentire di assicurare che solo i sistemi approvati dispongono dell'accesso appropriato ai servizi DIVAnet.
AVVERTENZA:
I servizi DIVAnet utilizzano password di database come parte della relativa configurazione. È necessario modificare le password immediatamente dopo l'installazione e in seguito ogni 180 giorni (minimo). Dopo aver effettuato la modifica, conservare le password in un luogo sicuro, non in linea, dove possono essere rese disponibili per il supporto Oracle, se necessario.
È possibile creare regole di accesso per limitare le operazioni che determinati utenti o sistemi possono eseguire nel sistema di archiviazione distribuito. Le regole di accesso possono essere eseguite nelle modalità seguenti:
ClientAdapter/modalità MultiDiva: limita i tipi di richieste DIVAnet che possono essere eseguite.
ManagerAdapter: limita i tipi di richieste DIVArchive che possono essere eseguite per soddisfare una richiesta DIVAnet (possibilmente richiesta da un sistema remoto).
Le regole di accesso possono riguardare le richieste avviate da DIVAnetUI o da una connessione socket API (possibilmente avviata da un sistema MAM o di automazione).
Una richiesta DIVAnet può avere accesso alle regole eseguite su di essa a livello DIVAnet o a livello DIVArchive. A livello DIVAnet, ClientAdapter elabora la richiesta nel punto in cui questa è stata ricevuta. A livello DIVArchive, un ManagerAdapter remoto elabora le richieste DIVArchive effettuate per soddisfare la richiesta DIVAnet.
Oracle consiglia di creare il set di regole più restrittivo possibile che soddisfi i requisiti dell'applicazione. Ad esempio, se solo gli amministratori devono eseguire eliminazioni globali, assicurarsi che ad altre categorie di utenti sia negato l'accesso a tale funzionalità. Se un gruppo di utenti del sistema richiede solo l'accesso a un elenco limitato di origini e destinazioni, assicurarsi che tali utenti possano effettuare richieste solo nei confronti di tali specifiche origini e destinazioni.
Inoltre, considerare i siti usati per soddisfare le richieste. Ad esempio, se gli utenti del sito locale non hanno motivo per eseguire copie dove i siti di origine e destinazione non corrispondono al sito locale (ciò è possibile utilizzando DIVAnet), configurare queste regole nella configurazione di ClientAdapter.
Infine, considerare i costrutti specifici nelle richieste che si desidera escludere nella scheda. Ad esempio, se non è necessario fare riferimento agli oggetti solo con il nome oggetto, senza la categoria, escludere tutte le richieste che presentano categorie vuote.
Inoltre, ogni ClientAdapter WorkflowProfile contiene l'elenco dei messaggi validi che possono essere elaborati dalle richieste assegnate a WorkflowProfile. In modalità MultiDiva, ciò consente di escludere messaggi specifici dall'elaborazione, inclusi i messaggi informativi.
Oracle consiglia di eseguire l'avvio con le regole predefinite stabilite nel file AccessRules.xml.ini anche se non si definiscono regole di accesso proprie. Per ulteriori informazioni sulle funzioni di controllo dell'accesso di DIVAnet, consultare il documento Oracle DIVAnet Guide all'indirizzo:
SSL/TLSIn DIVAnet, i dati del certificato sono contenuti in due posizioni: in un keystore privato, usato per i servizi Web ospitati nel sistema locale, e in un keystore pubblico, usato per verificare i servizi Web richiamati in remoto. È possibile usare la utility Keytool di Java per modificare la password del keystore, nonché aggiungere ed eliminare certificati.
Per ulteriori informazioni sulla creazione dei keystore, fare riferimento all'indirizzo:
http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#CreateKeystore
Solo le connessioni dei servizi Web DIVAnet utilizzano SSL/TLS. In questa release, la connessione a DIVArchive o DIVAnet tramite una connessione socket API DIVArchive non utilizzerà SSL/TLS.
I dati del certificato della chiave privata di DIVAnet sono memorizzati nella seguente directory:
$DIVANET_HOME\Program\divanet\lib\diva129.jks
In questo keystore deve essere presente un solo certificato. Tale certificato viene usato per i servizi Web ospitati dai servizi che vengono eseguiti in questa directory $DIVANET_HOME. Si consiglia di sostituire il certificato fornito con il prodotto con un nuovo certificato e di usare un certificato diverso per ogni sito DIVAnet presente nella rete.
È necessario modificare la password di questo keystore. Memorizzare le informazioni della password in un nuovo file denominato $DIVANET_HOME\Program\divanet\lib\diva129.properties e rendere il file leggibile per i servizi DIVAnet ma non per utenti occasionali del sistema. Per il file utilizzare il seguente formato:
keystorePassword=[newpassword]
Denominato anche truststore, i relativi dati si trovano nella seguente directory:
$DIVANET_HOME\Java\lib\security\cacerts2
Questi dati del certificato vengono utilizzati nelle chiamate in uscita ai servizi Web, incluso DIVAnetUI. In questo keystore è possibile caricare più chiavi pubbliche.
Se nel keystore privato di DIVAnet è stato aggiunto un nuovo certificato con firma automatica, esportare il certificato utilizzando la utility Keytool. Tutte le applicazioni (servizi DIVAnet, DIVAnetUI e così via) che richiamano WebService in questo sito devono aggiungere il certificato esportato nel proprio keystore pubblico.