Paramètres généraux de sécurité - Infor OS Portal

Dans le tableau de bord Paramètres généraux de sécurité, il est possible de créer et de gérer une liste de sites sécurisés dans lesquels Dashboards peut être incorporé. Cela consiste à se protéger contre les attaques au sein de l'interface utilisateur (détournement de clic).

Dans une attaque de détournement de clic, les liens qui activent des informations à envoyer sur le serveur du pirate se font passer pour des liens valides. Un utilisateur peut alors involontairement envoyer des informations confidentielles à un pirate.

Pour éviter le détournement de clic, les en-têtes de réponse HTTP (Content-Security-Policy: frame-ancestors ) sont configurés pour permettre d'incorporer Dashboards uniquement dans les sites sécurisés que vous avez listés. Les en-têtes sont appliqués automatiquement en fonction de votre sélection.

Les URL de Infor OS Portal sont préconfigurées en tant que sites sécurisés.

L'autorisation permettant de mettre à jour la liste peut être limitée aux locataires du système. L'autorisation est activée en cochant la case Autoriser les clients à ajouter des sites sécurisés dans les paramètres de sécurité du locataire de système. Lorsque l'autorisation est activée, les locataires standard peuvent afficher la liste des sites sécurisés mais ne peuvent pas la modifier.

Dans la section Sites compatibles Infor EPM Dashboards de la page Paramètres généraux de sécurité, vous pouvez sélectionner les options suivantes :

  • Tous les sites : Si cette option est sélectionnée, le site Dashboards peut être incorporé et ouvert à partir de n'importe quel site externe sans aucune restriction. Dans ce cas, aucun en-tête Content-Security-Policy n'est envoyé.
  • Sites sécurisés uniquement : Si cette option est sélectionnée, Dashboards peut être incorporé uniquement dans les sites qui sont listés dans la table Sites sécurisés. Les sites sont automatiquement inclus dans les en-têtes de réponse HTTP (Content-Security-Policy: frame-ancestors). Au moins un site doit être listé pour activer cette option.
  • Ouvrir Infor EPM Dashboards à partir de sites sécurisés uniquement : Disponible uniquement si vous avez sélectionné l'option Sites sécurisés uniquement. Si cette option est sélectionnée, un tableau de bord ne peut être ouvert que si la requête provient d'un des sites sécurisés et que le tableau de bord est incorporé au site sécurisé. L'accès direct à ce tableau de bord par indication d'une URL dans un navigateur ou via un signet est bloqué.