グローバルセキュリティ設定 - Infor OS Portal

クリックジャック攻撃では、攻撃者のサーバーに情報を送信するリンクが、正当なリンクであるかのように偽装されます。このため、ユーザーは知らず知らずに秘密の情報を攻撃者に渡してしまうことがあります。

クリックジャッキング防止のため、HTTP レスポンスヘッダー (Content-Security-Policy: frame-ancestors) が構成され、指定したセキュアサイトでのみ Dashboards を組み込み可能にします。ヘッダーは選択に基づいて自動的に適用されます。

Infor OS Portal の URL は、あらかじめセキュアサイトとして設定されています。

リストを保守する権限をシステムテナントに制限することができます。システムテナントのセキュリティ設定で [顧客がセキュアサイトを追加できる] チェックボックスを有効にすると、この権限が使用可能になります。権限が有効な場合、標準テナントはセキュアサイトのリストを閲覧できますが、編集はできません。

[グローバルセキュリティ設定] ページの [Infor EPM Dashboards を組み込むことができるサイト] セクションで、以下のオプションを選択できます:

• [任意のサイト]: これを選択すると、Dashboards は外部サイトから制限なく組み込み、表示できます。この場合、Content-Security-Policy ヘッダーは送信されません。
• [セキュアサイトのみ]: 選択すると、Dashboards は、「セキュアサイト」テーブルに登録されたサイトからのみ組み込むことができます。サイトは、自動的に HTTP レスポンスヘッダー (Content-Security-Policy: frame-ancestors) に反映されます。このオプションを有効にするには、最低 1 つのサイトを登録する必要があります。
• [セキュアサイトからのみ Infor EPM Dashboards を開く]: この設定は [セキュアサイトのみ] オプションを選択した場合のみ利用可能です。選択すると、リクエストがセキュアサイトから送られ、そのサイトにダッシュボードが組み込まれている場合にのみ、ダッシュボードを開けます。URL を直接入力したりブックマークから開いたりすると、ダッシュボードへのアクセスはブロックされます。