Globale Sicherheitseinstellungen - Infor OS Portal

Im Dashboard Globale Sicherheitseinstellungen können Sie eine Liste von sicheren Websites erstellen und verwalten, in die Dashboards eingebettet werden kann. Dies dient dem Schutz vor Benutzeroberfläche-Umadressierungen (Clickjacking).

Bei einem Clickjacking-Angriff werden Links, die das Senden von Informationen an den Server eines Angreifers ermöglichen, als gültige Links verkleidet. Ein Benutzer kann daher unbewusst sensible Informationen an einen Angreifer übermitteln.

Um Clickjacking zu verhindern, werden die HTTP-Response-Header (Content-Security-Policy: frame-ancestors ) so konfiguriert, dass das Einbetten von Dashboards nur auf den von Ihnen angegebenen sicheren Sites erlaubt ist. Die Header werden automatisch basierend auf Ihrer Auswahl angewendet.

Die URLS für Infor OS Portal sind als sichere Websites vorkonfiguriert.

Die Berechtigung zum Verwalten der Liste kann auf System-Mandanten beschränkt werden. Die Berechtigung wird aktiviert, indem Sie in den Sicherheitseinstellungen des Systemmandanten die Checkbox Kunden dürfen sichere Sites hinzufügen aktivieren. Wenn die Berechtigung aktiviert ist, können Standardmandanten die Liste der sicheren Sites anzeigen, aber nicht bearbeiten.

Im Bereich Sites, in die Infor EPM Dashboards eingebettet werden kann auf der Seite Globale Sicherheitseinstellungen können Sie die folgenden Optionen auswählen:

  • Jede Site: Bei Auswahl dieser Option kann Dashboards ohne Einschränkungen in jede externe Site eingebettet und von dort aus geöffnet werden. In diesem Fall werden keine Content-Security-Policy-Header gesendet.
  • Nur sichere Sites: Bei Auswahl dieser Option kann Dashboards nur in die Sites eingebettet werden, die in der Tabelle Sichere Sites aufgeführt sind. Die Sites werden automatisch in den HTTP-Response-Header eingeschlossen (Content-Security-Policy: frame-ancestors). Um diese Option zu aktivieren, muss mindestens eine Site in der Liste aufgeführt sein.
  • Infor EPM Dashboards nur von sicheren Sites öffnen: Nur verfügbar, wenn Sie die Option Nur sichere Sites ausgewählt haben. Bei Auswahl dieser Option kann ein Dashboard nur geöffnet werden, wenn die Anforderung von einer sicheren Site kommt und das Dashboard in die sichere Site eingebettet ist. Der direkte Zugriff auf dieses Dashboard durch Angabe einer URL in einem Browser oder durch Verwendung eines Lesezeichens ist blockiert.