security.manager - Enterprise Edition

Dieser Abschnitt bezieht sich ausschließlich auf die Verbindung von smart.finder SDI mit security.manager Enterprise Edition.

Durch eine Verbindung mit security.manager entstehen folgende Möglichkeiten:

  • Vergabe von Rollen für die Nutzung des Job Managers

  • Vergabe von Rollen für die Nutzung des Solr Admin Client.

  • Vergabe von Rollen für die Nutzer-sensitive Einschränkung des Suchindexes.

Verbindung zwischen smart.finder SDI und security.manager herstellen

Betrieb von smart.finder SDI und security.manager unter gleichem Host

Die folgenden Parameter müssen in der globalen Konfiguration ergänzt oder geändert werden.

Die meisten Werte können direkt aus den Properties der verwendeten Installation des security.manager Enterprise Edition übernommen werden, die mit smart.finder SDI verwendet werden soll. Detailliertere Informationen zu den einzelnen Properties finden Sie in der security.manager EE Dokumentation.
security.administration.base.url

URL zur Web Applikation des security.managers https://<yourserver>;.

security.administration.url

URL zur Administrationsoberfläche der security.manager Web-Applikation https://<yourserver>/administration. Wird benötigt, um über die Oberfläche des smart.finder SDI zur Benutzerverwaltung zu gelangen.

security.keystore.location

Pfad zur Keystore-Datei, die das Schlüsselpaar zur Validierung und Erzeugung von digitalen Signaturen enthält

security.keystore.passwd

Passwort für den Zugriff auf den Keystore

security.keystore.key.alias

Alias des Zertifikates oder privaten Schlüssels

security.keystore.key.passwd

Passwort für den Zugriff auf den privaten Schlüssel

security.sso.cookie.name

Name des Cookies, das für das domänenweite Single-Sign-On verwendet wird

security.sso.cookie.domain

Name der Domäne, in der das Single Sign-on Cookie gültig ist. Es darf nicht mit einem Punkt beginnen und muss den Regeln in RFC 6265 entsprechen.
Beispiele:

 example.com
 subdomain.example.net
secman.db.jdbc.driver

Treiber für den Zugriff auf die security.manager Datenbank

secman.db.jdbc.url

JDBC-URL für den Zugriff auf die security.manager Datenbank

secman.db.jdbc.username

Der JDBC Nutzername

secman.db.jdbc.password

JDBC Passwort

secman.db.hibernate.dialect

Technischer Dialekt Ihrer Datenbank

secman.db.use

Modus der Datenbankanbindung

Erlaubte Werte: jdbc, jndi

secman.db.jndi.name

JNDI Name, über den die Datenbank vom Container erfragt werden kann

Standardwert: java:comp/env/jdbc/secman

usermgr.type

Art des user-management-adapter

Erlaubte Werte: db, ldap, hybrid

security.responseHeaders.common

Liste von HTTP-Antwortheadern.

Um eine Liste von Antwortheadern zu definieren, verwenden Sie folgende Syntax: <header-name>:<header-value>,<header-name>:<header-value>. Dabei gilt:

  • <header-name> ist der Name eines HTTP-Headers. Dieser muss mit einem Großbuchstaben beginnen

  • <header-value> ist der Wert eines HTTP-Headers

Die Header werden an jede Antwort des smart.finder Backend-Services geschrieben. Die Konfiguration sollte nur bei besonderen Sicherheitsanforderungen verändert werden.

Standardmäßig werden folgende Header ergänzt:

X-Content-Type-Options:nosniff

Definiert, dass der Browser Serverantworten nur auf Basis des Content-Type-Headers interpretieren darf.
Genauere Informationen finden Sie unter X-Content-Type-Options .

Strict-Transport-Security:max-age=604800

Definiert, dass der Browser sich merken soll, dass der Host für 7 Tage (604800 Sekunden) nicht mehr per HTTP angefragt werden darf.
Wird nur angewandt, wenn map.apps via HTTPS aufgerufen wird. Genauere Informationen finden Sie unter Strict-Transport-Security .

Standardwert: X-Content-Type-Options:nosniff,Strict-Transport-Security:max-age=604800

=== Betrieb von smart.finder SDI und security.manager auf unterschiedlichen Hosts

Wenn security.manager auf einem anderen Server installiert ist als smart.finder SDI, muss die keystore-Datei auf den smart.finder SDI Server kopiert werden.

Zusätzlich zu den im vorherigen Abschnitt beschriebenen Einstellungen muss zudem der folgende Parameter in der security.manager Konfiguration ergänzt oder geändert werden (wobei example.com der Name des Hosts ist, auf dem map.apps installiert ist).

security.allowed.hostnames=example.com

Für smart.finder SDI ist es zudem notwendig die Option cors.request.trustedServers zu konfigurieren.

# Kommaseparierte Liste von Servern:
cors.request.trustedServers=https://securitymanager.example.com:8443

Benutzung des Job Managers

Um in einem SSO-Szenario mit security.manager den Job Manager nutzen zu können, ist es erforderlich, eine smart.finder SDI Administrationsrolle zu vergeben. Dazu müssen die Rollen solrAdmin und maAdmin im security.manager angelegt werden und dem Zugang zugewiesen werden, mit welchem der smart.finder SDI Job Manager benutzt werden soll.

Benutzung des smart.finder SDI Server Admin Client

Um die seitens Apache Solr bereitgestelltes Administrations-Oberfläche nutzen zu können, muss im security.manager die Rolle solrAdmin angelegt werden und dem Zugang zugewiesen werden, mit welchem der Apache Solr Admin benutzt werden soll.