Globalne ustawienia zabezpieczeń — Infor OS Portal

W dashboardzie Globalne ustawienia zabezpieczeń można utworzyć i obsługiwać listę bezpiecznych witryn, gdzie można osadzić Dashboards. Celem tego jest ochrona przed atakami polegającymi na przejmowaniu interfejsu użytkownika (ataki typu clickjacking).

W ataku typu clickjacking, łącza powodujące przesłanie informacji na serwer atakującego przyjmują postać poprawnych łącz. Użytkownik może więc nieświadomie przesłać poufne dane do atakującego.

Aby zapobiec clickjackingowi, nagłówki odpowiedzi HTTP (Content-Security-Policy: frame-ancestors ) są konfigurowane tak, aby umożliwić osadzenie Dashboards tylko w bezpiecznych witrynach, które znajdują się na twojej liście. Nagłówki zostaną zastosowane automatycznie na podstawie zaznaczenia.

Adresy URL Infor OS Portal są wstępnie skonfigurowane jako bezpieczne witryny.

Uprawnienie do zarządzania listą tych stron może zostać ograniczone do dzierżawców systemu. Uprawnienie jest włączane poprzez zaznaczenie pola wyboru Klienci mogą dodawać bezpieczne witryny w ustawieniach zabezpieczeń dzierżawcy systemu. Gdy uprawnienie jest włączone, dzierżawcy standardowi mogą wyświetlić listę zabezpieczonych witryn, ale nie mogą jej edytować.

W sekcji Witryny, które mogą osadzić Infor EPM Dashboards na stronie Globalne ustawienia zabezpieczeń można wybrać następujące opcje:

  • Dowolna witryna: Zaznaczenie tej opcji powoduje, że Dashboards można osadzić i otworzyć z poziomu dowolnej witryny zewnętrznej bez żadnych ograniczeń. W takim przypadku nie zostaną wysłane nagłówki Content-Security-Policy.
  • Tylko bezpieczne witryny: Zaznaczenie tej opcji spowoduje, że Dashboards można osadzić tylko w witrynach, które znajdują się na liście w tabeli Bezpieczne witryny. Witryny są automatycznie uwzględnione w nagłówkach odpowiedzi HTTP (Content-Security-Policy: frame-ancestors). Aby włączyć tę opcję, na liście musi znajdować się co najmniej jedna witryna.
  • Otwieraj Infor EPM Dashboards tylko z bezpiecznych witryn. Ta pozycja jest dostępna wyłącznie w przypadku wybrania opcji Tylko bezpieczne witryny. Zaznaczenie tej opcji powoduje, że dashboard można otworzyć tylko wtedy, gdy wniosek pochodzi z jednej z bezpiecznych witryn, a dashboard jest osadzony w zabezpieczonej witrynie. Bezpośredni dostęp do tego dashboardu poprzez określenie adresu URL w przeglądarce lub użycie zakładki jest zablokowany.