上次更新日期:
2025年3月20日
- 入门
- 管理用户
- 管理用户组
- 费用中心
- 音频提供者
- 用户界面自定义
- 规范和控制
- 管理控制板
安全相关设置位于“会话设置”和“更多设置”下。
设置会话超时
利用超时设置,用户可以在 Windows 和 Mac 桌面应用程序中关闭并重新打开任意数量的会话,而无需重新登录。
- 选择“帐户”>“会话设置”。
- 输入应用程序的超时长度:
- 浏览器应用程序:输入一个介于 5 到 720 之间的值(以分钟为单位)。 默认设置为 30 分钟。
- 桌面和移动应用程序:输入一个介于 0 到 43,200 之间的值(以分钟为单位)。 默认设置为 4 天。
- 指定桌面应用程序是应记住各个会话中的用户,还是应在其当前会话过期后要求重新登录。
- 选择“保存”。
注意:管理本地 Adobe Connect 服务器的服务器管理员还可以在帐户级别配置超时设置。
配置相同的源策略
同源策略是一种标准的安全机制,它限制一个源加载的 Web 内容如何与另一个源加载的资源互动。 此类策略通过隔离潜在的恶意内容,并阻断源自当前源之外的内容的攻击途径,从而增强了安全性。 如果要考虑来自同一源的内容,其必须与当前加载的内容共享协议和主机。
- 导航到“管理员”>“帐户”>“更多设置”。
- 勾选“配置 X-Frame”。
- 在“允许来自/上级”下拉列表中,指定是仅允许来自源的内容,还是允许来自源的上级的内容。
- 如果上一个字段仅允许来自相同的源的内容,则无法配置“允许来自 URI/上级源”下拉列表。 如果您允许来自自定义源和上级的内容,请指定允许的自定义域。
- 指定是否对事件模块使用其他(替代)源:如果选中“使用下面(不同)的‘允许来自/上级’设置”,请输入自定义域。 用空格分隔条目。
- 在安全页面上配置其他安全设置或选择“保存”。
需要 SSL 和增强的安全性
- 选择“需要 SSL 连接 (RTMPS)”以需要 SSL。
- HTML 内容整理:不使用。 正在开发中。
- 指定是否启用增强的安全性。 启用此选项:
- 强制 Web 服务 API 使用 HTTPS
- 成功登录后生成新的会话标识符。
- 在安全页面上配置其他安全设置或选择“保存”。
配置 CSRF
最终用户或管理员可以利用 Adobe Connect 为可改变状态的 XML API 调用实施 CSRF 保护。 CSRF 保护是最安全的配置,Adobe 建议为 XML API 启用该配置。
要启用 CSRF 保护,请执行以下步骤:
- 导航到“管理员”>“帐户”>“更多设置”。
- 配置跨站点请求伪造 (CSRF) 保护:
- 指定是否为 XML API 启用 CSRF 保护。
- 指定特定路径上的 XML API 调用是否应免除 CSRF。 选中此框会生成一个可在 API 调用中使用的唯一 URL。
- 配置此页面上的其他安全设置或选择“保存”。
使用 Web 服务配置 CSRF
最终用户或管理员可以利用 Adobe Connect 为可改变状态的 XML API 调用实施 CSRF 保护。 CSRF 保护是最安全的配置,建议为 XML API 启用该配置。
要启用 CSRF 保护,请执行以下步骤:
- 在 Adobe Connect Central 页面中,单击“管理”>“帐户”>“更多设置”。
- 在“CSRF 设置”部分,选中“为 XML API 启用 CSRF 保护”选项。
- CSRF 保护依赖于客户端发送特定于安全会话的 CSRF Cookie 和匹配的请求参数。 所有可改变状态的 API 调用均受保护,例如:
- acl-create
- acl-field-update
- acl-multi-field-update
- permissions-update
- sco-update
- sco-upload
- 进行身份验证后,会生成以下 Cookie:
- 作为主 Connect 会话 Cookie 的 BREEZESESSION
- 基于 Connect 会话 Cookie 且作为 CSRF Cookie 的 BreezeCCookie
- 调用 common-info API,以获取与 CSRF Cookie (BreezeCCookie) 对应的 CSRF 令牌。 CSRF 令牌返回为 <OWASP_CSRFTOKEN><token>...........</token></OWASP_CSRFTOKEN>
- 使用 BreezeCCookie 作为 Cookie 以及 OWASP_CSRFTOKEN,发送所有可更改状态的后续 HTTP GET API 调用。 例如 https://\[SERVER_URL\]/api/xml?action=\[state changing action\]&........&OWASP_CSRFTOKEN=[token_extracted_above]
- 对于通过单一 HTTP POST 方法调用单个或多个 XML API 的集成,请发送 OWASP_CSRFTOKEN(以及 BreezeCCookie CSRF Cookie),如下所示:<actions mode='...' OWASP_CSRFTOKEN=[token_extracted_above]>
- 启用“为以下路径的 XML API 调用免除 CSRF 保护”选项。 选中此选项后,会显示服务器生成的安全 URL。 具有 XML API 集成的帐户可利用此 URL,继续针对服务器生成的安全且唯一的 URL 路径进行 XML API 调用。
配置通用语音
- 导航到“管理员”>“帐户”>“更多设置”。
- 启用和禁用选定电话提供商的通用语音。
- 配置此页面上的其他安全设置或选择“保存”。