Handbuch für Sicherheit > Einführung in die Informatica-Sicherheit > Infrastruktur-Sicherheit
  

Infrastruktur-Sicherheit

Zur Infrastruktursicherheit gehören Benutzer- und Dienstauthentifizierung, sichere Kommunikation innerhalb der Domäne und sichere Datenspeicherung.

Authentifizierung

Der Dienstmanager authentifiziert die Dienste, die in der Domäne ausgeführt werden, und die Benutzer, die sich bei den Informatica-Client-Tools anmelden.
Sie können die Informatica-Domäne konfigurieren, um die folgenden Authentifizierungstypen zu verwenden:
Native Authentifizierung
Die native Authentifizierung ist ein Authentifizierungsmodus, der nur für Benutzerkonten in der Informatica-Domäne verfügbar ist. Wenn die Informatica-Domäne die native Authentifizierung verwendet, speichert der Dienstmanager die Benutzeranmeldedaten und Berechtigungen im Domänenkonfigurations-Repository und führt alle Benutzerauthentifizierungen innerhalb der Informatica-Domäne durch.
Wenn die Informatica-Domäne die native Authentifizierung verwendet, enthält die Domäne eine native Sicherheitsdomäne und alle Benutzerkonten gehören zur nativen Sicherheitsdomäne.
Informatica verwendet den Benutzernamen und Passwörter, um Benutzer und Dienste in der Informatica-Domäne zu authentifizieren.
LDAP-Authentifizierung (Lightweight Directory Access Protocol)
LDAP ist ein Software-Protokoll für den Zugriff auf Benutzer und Ressourcen in einem Netzwerk. Wenn die Informatica-Domäne die LDAP-Authentifizierung verwendet, werden die Benutzerkonten und Benutzeranmeldedaten im LDAP-Verzeichnisdienst gespeichert. Die Benutzerberechtigungen werden im Domänenkonfigurations-Repository gespeichert. Sie müssen die Benutzerkonten regelmäßig im Domänenkonfigurations-Repository mit den Benutzerkonten im LDAP-Verzeichnisdienst synchronisieren.
Informatica verwendet den Benutzernamen und Passwörter, um Informatica-Benutzer und -Dienste in der Informatica-Domäne zu authentifizieren.
Kerberos-Authentifizierung
Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Tickets zum Authentifizieren von Benutzern und Diensten in einem Netzwerk verwendet. Wenn die Informatica-Domäne die Kerberos-Authentifizierung verwendet, werden die Benutzerkonten und Benutzeranmeldedaten in der Kerberos-Prinzipaldatenbank gespeichert, bei der es sich um ein LDAP-Verzeichnisdienst handeln kann. Die Benutzerberechtigungen werden im Domänenkonfigurations-Repository gespeichert. Sie müssen die Benutzerkonten regelmäßig im Domänenkonfigurations-Repository mit den Benutzerkonten in der Kerberos-Prinzipaldatenbank synchronisieren.
Informatica verwendet die Kerberos-Tickets, um Informatica-Benutzer und -Dienste in der Informatica-Domäne zu authentifizieren.
SAML-basiertes Single Sign-On
Bei SAML (Security Assertion Markup Language) handelt es sich um ein XML-basiertes Datenformat für den Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen einem Dienstanbieter und einem Identitäts-Provider. Sie können SAML-basiertes Single Sign-On für folgende Webanwendungen konfigurieren: Administrator Tool, Analyst Tool und Monitoring Tool.
In einer Informatica-Domäne fungiert die Informatica-Webanwendung als Dienstanbieter und Microsoft Active Directory Federation Services (AD FS) als Identitäts-Provider. Die Konten und Anmeldeinformationen für Benutzer der Informatica-Webanwendung werden in Microsoft Active Directory gespeichert. Sie importieren Konten aus Active Directory in eine Sicherheitsdomäne innerhalb der Informatica-Domäne. Sie müssen die Benutzerkonten in der Sicherheitsdomäne in regelmäßigen Abständen mit den Benutzerkonten im Active Directory-Verzeichnisdienst synchronisieren.
Beachten Sie, dass SAML-basiertes Single Sign-On in einer für die Verwendung von Kerberos-Authentifizierung konfigurierten Informatica-Domäne nicht aktiviert werden kann.

Sichere Domänenkommunikation

Die Informatica-Domäne enthält verschiedene Optionen zum Sichern der Daten und Metadaten, die zwischen dem Dienstmanager und Diensten in der Domäne und den Client-Anwendungen übertragen werden. Informatica verwendet die TCP/IP- und HTTP-Protokolle, um zwischen Komponenten in der Domäne zu kommunizieren, und verwendet SSL-Zertifikate, um die Kommunikation zwischen Diensten und dem Dienstmanager in der Domäne zu sichern.
Das SSL/TLS-Protokoll verwendet die Verschlüsselung öffentlicher Schlüssel, um Netzwerkverkehr zu ver- und entschlüsseln. Der zum Ver- und Entschlüsseln des Verkehrs verwendete öffentliche Schlüssel ist in einem SSL-Zertifikat gespeichert, das selbstsigniert oder signiert sein kann. Ein selbstsigniertes Zertifikat wird vom Ersteller des Zertifikats signiert. Da die Identität des Unterzeichners nicht überprüft wird, ist ein selbstsigniertes Zertifikat weniger sicher als ein signiertes Zertifikat. Ein signiertes Zertifikat ist ein SSL-Zertifikat, bei dem die Identität der Person, die das Zertifikat angefordert hat, von einer Zertifizierungsstelle (CA) überprüft wird. Informatica empfiehlt von einer Zertifizierungsstelle signierte Zertifikate, um die Sicherheit zu erhöhen.
Ein Schlüsselspeicher enthält private Schlüssel und Zertifikate. Er wird verwendet, um Zugangsdaten bereitzustellen. Ein Truststore enthält das Zertifikat vertrauenswürdiger SSL/TLS-Server. Es wird verwendet, um Zugangsdaten zu überprüfen.
Informatica benötigt Schlüsselspeicher und Truststores im PEM- und JKS-Format, um Verbindungen in der Domäne zu sichern. Sie können die folgenden Programme zum Erstellen der erforderlichen Dateien verwenden:
keytool
Sie können das Java-Keytool-Dienstprogramm zur Schlüssel- und Zertifikatsverwaltung zum Erstellen eines SSL-Zertifikats oder eines CSR (Certificate Signing Request) sowie von Schlüsselspeicherdateien und Truststore-Dateien im JKS-Format verwenden.
Das Keytool-Dienstprogramm ist im folgenden Verzeichnis auf Domänenknoten verfügbar:
<Informatica installation directory>\java\bin
Wenn die Domänenknoten auf AIX ausgeführt werden, können Sie das bereitgestellte Keytool mit dem IBM JDK zum Erstellen eines SSL-Zertifikats oder eines CSR (Certificate Signing Request) sowie von Schlüsselspeicherdateien und Truststore-Dateien verwenden.
OpenSSL
Sie können OpenSSL verwenden, um ein SSL-Zertifikat oder eine Zertifikatssignieranfrage zu erstellen und einen Schlüsselspeicher im JKS-Format in das PEM-Format zu konvertieren.
Weitere Informationen zu OpenSSL finden Sie in der Dokumentation auf der folgenden Website:
https://www.openssl.org/docs/
Der Typ der gesicherten Verbindung bestimmt die benötigten Dateien.

Sicherer Datenspeicher

Informatica verschlüsselt vertrauliche Daten wie Passwörter und sichere Verbindungsparameter, bevor die Daten im Domänenkonfigurations-Repository gespeichert werden. Informatica speichert auch vertrauliche Dateien wie Konfigurationsdateien in einem sicheren Verzeichnis.