Release Notes 4.15

Mit dieser Version werden zwei neue Konfigurationseigenschaften eingeführt, die es erlauben, das security.manager Single Sign-On-Cookie (SSO Cookie) besser gegen Sicherheitsangriffe zu schützen: security.sso.cookie.secure und security.sso.cookie.samesite. Beide Eigenschaften sind Teil der application.properties Datei von neuen Installationen und standardmäßig deaktiviert. Wenn Sie hingegen ein Update des security.manager durchführen und die bestehenden application.properties übernehmen, empfehlen wir, die beiden Konfigurationseigenschaften hinzuzufügen und zu prüfen, ob sie in Ihrer Umgebung aktiviert werden können.

Eine detailliertere Beschreibung dieser Konfiguarationseigenschaften finden Sie in den Sicherheitseinstellungen.

Die Prüfung der Vertrauenswürdigkeit von Server-Zertifikaten bei ausgehenden HTTPS-Verbindungen ist im security.manager standardmäßig nicht aktiviert. Ab dieser Version steht die Konfigurationsoption security.ssl.trustAny in den application.properties zur Verfügung. Mit dieser Option kann die Prüfung von Server-Zertifikaten aktiviert werden.

In der Dokumentation zur Installation finden Sie eine detailliertere Beschreibung dieser Konfigurationsoption.

Beachten Sie den neuen Abschnitt Wichtige Sicherheitsaspekte im Installationshandbuch. Dieses Kapitel beinhaltet detaillierte Informationen zur Prüfung der Vertrauenswürdigkeit von Server-Zertifikaten in diesem Produkt.

Es besteht die Möglichkeit, den security.manager über einen technischen Nutzer mit ArcGIS Server und Portal kommunizieren zu lassen. Dies ist z.B. dann notwendig, wenn über den security.manager Dienste abgesichert werden sollen, die im ArcGIS Server nicht öffentlich verfügbar sind.

Die Anmeldeinformationen für den technischen Nutzer können bei der Konfiguration Geschützter Dienste in der Administration Web App angeben werden.

Der security.manager akzeptiert nicht länger CORS-Anfragen von beliebiegen Origins.

Wenn z.B. eine map.apps Anwendung unter /http://mapapps.example.com:8080 versucht, einen durch den security.manager unter /http://secman.example.com:8080 abgesicherten Dienst einzubinden, werden Requests von map.apps an den security.manager durch den Browser geblockt. Um solche Anfragen durch den Browser wieder zu erlauben, müssen Sie /http://mapapps.example.com:8080 zur neuen Konfigurationsoption cors.allowed.origins hinzufügen.