security.manager - Enterprise Edition
Dieser Abschnitt bezieht sich ausschließlich auf die Verbindung von smart.finder SDI mit security.manager Enterprise Edition. |
Durch eine Verbindung mit security.manager entstehen folgende Möglichkeiten:
-
Vergabe von Rollen für die Nutzung des Job Managers
-
Vergabe von Rollen für die Nutzung des Solr Admin Client.
-
Vergabe von Rollen für die Nutzer-sensitive Einschränkung des Suchindexes.
Verbindung zwischen smart.finder SDI und security.manager herstellen
Betrieb von smart.finder SDI und security.manager unter gleichem Host
Die folgenden Parameter müssen in der globalen Konfiguration ergänzt oder geändert werden.
Die meisten Werte können direkt aus den Properties der verwendeten Installation des security.manager Enterprise Edition übernommen werden, die mit smart.finder SDI verwendet werden soll. Detailliertere Informationen zu den einzelnen Properties finden Sie in der security.manager EE Dokumentation. |
security.administration.base.url
-
URL zur Web Applikation des security.managers
https://<yourserver>
. security.administration.url
-
URL zur Administrationsoberfläche der security.manager Web-Applikation
https://<yourserver>/administration
. Wird benötigt, um über die Oberfläche des smart.finder SDI zur Benutzerverwaltung zu gelangen. security.keystore.location
-
Pfad zur Keystore-Datei, die das Schlüsselpaar zur Validierung und Erzeugung von digitalen Signaturen enthält
security.keystore.passwd
-
Passwort für den Zugriff auf den Keystore
security.keystore.key.alias
-
Alias des Zertifikates oder privaten Schlüssels
security.keystore.key.passwd
-
Passwort für den Zugriff auf den privaten Schlüssel
security.sso.cookie.name
-
Name des Cookies, das für das domänenweite Single-Sign-On verwendet wird
security.sso.cookie.domain
-
Name der Domäne, in der das Single Sign-on Cookie gültig ist. Es darf nicht mit einem Punkt beginnen und muss den Regeln in RFC 6265 entsprechen.
Beispiele:example.com subdomain.example.net
secman.db.jdbc.driver
-
Treiber für den Zugriff auf die security.manager Datenbank
secman.db.jdbc.url
-
JDBC-URL für den Zugriff auf die security.manager Datenbank
secman.db.jdbc.username
-
Der JDBC Nutzername
secman.db.jdbc.password
-
JDBC Passwort
secman.db.hibernate.dialect
-
Technischer Dialekt Ihrer Datenbank
secman.db.use
-
Modus der Datenbankanbindung
Erlaubte Werte:
jdbc
,jndi
secman.db.jndi.name
-
JNDI Name, über den die Datenbank vom Container erfragt werden kann
Standardwert:
java:comp/env/jdbc/secman
usermgr.type
-
Art des user-management-adapter
Erlaubte Werte:
db
,ldap
,hybrid
security.responseHeaders.common
-
Liste von HTTP-Antwortheadern.
Um eine Liste von Antwortheadern zu definieren, verwenden Sie folgende Syntax:
<header-name>:<header-value>,<header-name>:<header-value>
. Dabei gilt:-
<header-name>
ist der Name eines HTTP-Headers. Dieser muss mit einem Großbuchstaben beginnen -
<header-value>
ist der Wert eines HTTP-Headers
Die Header werden an jede Antwort des smart.finder Backend-Services geschrieben. Die Konfiguration sollte nur bei besonderen Sicherheitsanforderungen verändert werden.
Standardmäßig werden folgende Header ergänzt:
X-Content-Type-Options:nosniff
-
Definiert, dass der Browser Serverantworten nur auf Basis des
Content-Type
-Headers interpretieren darf.
Genauere Informationen finden Sie unter X-Content-Type-Options . Strict-Transport-Security:max-age=604800
-
Definiert, dass der Browser sich merken soll, dass der Host für 7 Tage (604800 Sekunden) nicht mehr per HTTP angefragt werden darf.
Wird nur angewandt, wenn map.apps via HTTPS aufgerufen wird. Genauere Informationen finden Sie unter Strict-Transport-Security .Standardwert:
X-Content-Type-Options:nosniff,Strict-Transport-Security:max-age=604800
=== Betrieb von smart.finder SDI und security.manager auf unterschiedlichen Hosts
-
Wenn security.manager auf einem anderen Server installiert ist als smart.finder SDI, muss die keystore-Datei auf den smart.finder SDI Server kopiert werden.
Zusätzlich zu den im vorherigen Abschnitt beschriebenen Einstellungen muss zudem der folgende Parameter in der security.manager Konfiguration ergänzt oder geändert werden (wobei example.com
der Name des Hosts ist, auf dem map.apps installiert ist).
security.allowed.hostnames=example.com
Für smart.finder SDI ist es zudem notwendig die Option cors.request.trustedServers
zu konfigurieren.
# Kommaseparierte Liste von Servern:
cors.request.trustedServers=https://securitymanager.example.com:8443
Benutzung des Job Managers
Um in einem SSO-Szenario mit security.manager den Job Manager nutzen zu können, ist es erforderlich, eine smart.finder SDI Administrationsrolle zu vergeben.
Dazu müssen die Rollen solrAdmin
und maAdmin
im security.manager angelegt werden und dem Zugang zugewiesen werden, mit welchem der smart.finder SDI Job Manager benutzt werden soll.