IBM Connections 提供了对每个用户私密数据的强制保护,使得用户数据的安全性能够得到可靠的第三方安全机制的保护。而对于整个企业内部的公开信息,(如公共社区,应用统计,公共数据搜索等),Connections 为客户决策人员和系统管理人员提供了应用级别的强制保护策略和非强制保护策略。
强制保护策略使得用户能够配置某个 Connections 应用的公开信息完全不能被未登录用户访问,从而达到更高的安全级别。 非强制保护策略则相反,它允许某个 Connections 应用的公开信息能够被未登录用户访问,从而实现更开阔的社区性和更方便的使用性。 公开信息的定义则由各个 Connections 应用的自身架构提供。
IBM Connections 的强制保护策略和非强制保护策略还可以实现与各种第三方安全保护机制兼容, 针对不同的第三方安全产品有不同的访问策略控制, 能实现最大程度的客户可定制性。
本文详细描述了 IBM Connections 公开信息和私有信息在不同应用中的定义, 提供了配置强制保护策略和非强制保护策略的实施方案和优缺点对比,能">帮助客户决策人员更有效的定制自己的应用系统, 并指导客户如何在兼容第三方安全机制的情况下配置强制保护策略和非强制保护策略。本文还提供了一套辅助的保护策略配置脚本,以方便系统管理员更简单方便的定制专属于自己的 Connections 安全策略。
IBM Connections 中的公开信息和私有信息
Connections 中的用户信息安全级别是由各个 Connections 应用定义的,分为公开信息和私有信息。本文介绍的强制保护策略和非强制保护策略,都是针对应用级别的公共信息来进行配置的。
对于各个 Connections 应用来说,用户不需要登录就能够以匿名身份访问的一些公共信息包括:
公开的博客及其中的文章;
公共的社区以及包含在其中的公开内容;
公开的书签;
企业内部公开的人员信息, 如人名,邮箱, 照片,专长等;
公开的 wiki 页面;
公共论坛和讨论;
公开的文件及其下载信息;
基于公共信息的搜索。
这些公共信息是我们执行强制保护策略的主要对象,由于是应用级别的保护策略,因此以上每一条均已是最小的保护单元,不可再分。
还有一些特殊的公共信息是专门为与 Connections 集成的第三方应用预留的,还有一些公共信息则可用于对 Connections 的二次开发,例如:
本应用能够使用的 IBM Connections 提供的其他服务的信息列表,如微博,公共页面元素,搜索等;
Connections 提供的收藏夹工具;
Connections 文件应用提供的可匿名访问的 API;
Connections wiki 应用提供的可匿名访问的 API。
这些特殊的公共信息一般来说不可定制,以免影响第三方应用的正常使用。如果集成了其他的安全产品,如 TAM 和 Siteminder,甚至还需要通过配置放开 TAM 和 Siteminder 对它们的认证。
IBM Connections 中的私有信息,顾名思义,就是未经认证不能访问的数据信息,是不能对其进行访问策略的定制的。例如 Connections 中的活动,个人主页和审核等应用,其数据信息都是完全的私有信息,不能对其进行公开信息的访问定制。
如果客户想针对 Connections 的不同服务进行二次开发,那么就必须了解其相应的服务接口提供的是私有信息还是公开信息。具体的判断此接口的属性的依据来自于不同的应用包里定义的 web.xml 文件,这个文件的位置一般位于:/IBM/WebSphere/AppServer/profiles/AppSrv01/installedApps/<Your cell name>/<component>.ear/<feature>.war/WEB-INF/web.xml
Web.xml 中定义的是多个对于不同 URL 类型的过滤器,每个过滤器中包含一些相关的 URL,并在这个过滤器中定义这些 URL 是私有信息还是公开信息。不同的 component 的定义方法各不相同,且与应用的后台代码关系紧密,不可随意修改。一般来说,通过使用 WAS 对各个应用提供的强制保护策略和非强制保护策略来满足用户的定制需求已经足够。