- はじめに
- ユーザーの管理
- グループの管理
- コストセンター
- オーディオプロバイダー
- ユーザーインターフェイスのカスタマイズ
- 承諾と制御
- 管理ダッシュボード
セキュリティ関連の設定は、「セッション設定」および「詳細設定」で行います。
セッションタイムアウトの設定
タイムアウト設定を使用すると、Windows および Mac のデスクトップアプリで再ログイン不要の設定を維持しながら、セッションを開始および終了できるようになります。
- アカウント/セッション設定を選択します。
- アプリのタイムアウトまでの長さを入力します。
- ブラウザーアプリ:5~720 の値を入力します(単位は分)。 デフォルトの値は 30 分です。
- デスクトップアプリおよびモバイルアプリ:0~43,200 の値を入力します(単位は分)。 デフォルトは 4 日間です。
- デスクトップアプリにセッションをまたいでユーザー情報を記憶させるか、現在のセッションが終了した後に新たなログインを要求するかを指定します。
- 「保存」を選択します。
注意:オンプレミス版 Adobe Connect サーバーの管理者は、アカウントレベルでタイムアウトの設定を行うこともできます。
同一オリジンポリシーの設定
同一オリジンポリシーは、あるオリジンで読み込まれた Web コンテンツが、別のオリジンのリソースとどのように連携できるかについて制限を設定する標準的なセキュリティ機構 です。 このポリシーにより、現在のオリジンの外部に元のソースがあるコンテンツに関して、潜在的に悪意のあるコンテンツを分離し、攻撃経路を遮断することでセキュリティが強化されます。 コンテンツが同一オリジンとみなされるには、現在読み込まれているコンテンツとソースの間でプロトコルおよびホストが一致している必要があります。
- 管理/アカウント/詳細設定に移動します。
- 「X-frame を設定」にチェックを入れます。
- 「生成元 / 祖先」ドロップダウンリストから、オリジンのコンテンツのみを許可するか、オリジンの祖先のコンテンツも許可するかを指定します。
- 前のフィールドで同一オリジンのコンテンツのみを許可した場合、「許可する生成元 URI / 祖先のソース」ドロップダウンリストは設定できません。 カスタムオリジンのコンテンツや祖先のコンテンツを許可している場合は、許可するカスタムドメインを指定します。
- イベントモジュールに追加(代替)のオリジンを使用するかどうかを指定します。「次の(異なる)生成元設定を使用」にチェックが入っている場合は、カスタムドメインを入力します。 エントリはスペースで区切って入力してください。
- セキュリティページでその他のセキュリティ設定を行うか、「保存」を選択します。
SSL と拡張セキュリティの必須化
- 「SSL 接続が必要 (RTMPS)」を選択して SSL を必須化します。
- HTML コンテンツのサニタイズ:使用できません。 開発中です。
- 拡張セキュリティを有効にするかどうかを指定します。 このオプションを有効にすると、以下が適用されます。
- Web サービス API の HTTPS 強制使用
- ログイン成功後に新しいセッション識別子を生成
- セキュリティページでその他のセキュリティ設定を行うか、「保存」を選択します。
CSRF の設定
Adobe Connect では、エンドユーザーや管理者は、状態を変更する XML API 呼び出しに対して CSRF 保護を適用できます。 Adobe では、最も安全な設定として、XML API の CSRF 保護を有効にすることをお勧めしています。
CSRF 保護を有効にするには、以下の手順に従います。
- 管理/アカウント/詳細設定に移動します。
- クロスサイトリクエストフォージェリ(CSRF)保護の設定を行います。
- XML API に対する CSRF 保護を有効にするかどうかを指定します。
- 特定のパスに対する XML API 呼び出しを CSRF 保護の対象外とするかどうかを指定します。 このボックスにチェックを入れると、API 呼び出しで使用できる固有の URL が生成されます。
- このページでその他のセキュリティ設定を行うか、「保存」を選択します。
Web サービスでの CSRF 設定
Adobe Connect では、エンドユーザーや管理者は、状態を変更する XML API 呼び出しに対して CSRF 保護を適用できます。 最も安全な設定として、XML API の CSRF 保護を有効にすることをお勧めしています。
CSRF 保護を有効にするには、次の手順に従います。
- Adobe Connect Central ページで、管理/アカウント/詳細設定をクリックします。
- CSRF 設定のセクションで「XML API の CSRF 保護を有効にする」オプションをオンにします。
- CSRF 保護は、クライアントが、安全なセッション固有の CSRF Cookie および一致するリクエストパラメーターを送信することに依存しています。 次のような、状態を変更する API 呼び出しはすべて保護されています。
- acl-create
- acl-field-update
- acl-multi-field-update
- permissions-update
- sco-update
- sco-upload
- 認証後、次の Cookie が生成されます。
- メインの Connect セッション Cookie として BREEZESESSION
- Connect セッション Cookie に基づく CSRF Cookie として BreezeCCookie
- common-info API を呼び出して、CSRF Cookie(BreezeCCookie)に対応する CSRF トークンを取得します。 次の CSRF トークンが返されます。<OWASP_CSRFTOKEN><token>...........</token></OWASP_CSRFTOKEN>
- BreezeCCookie を Cookie および OWASP_CSRFTOKEN として状態を変更する、後続のすべての HTTP GET API 呼び出しを送信します。 例えば、https://\[SERVER_URL\]/api/xml?action=\[state changing action\]&........&OWASP_CSRFTOKEN=[token_extracted_above] のようになります。
- 単一の HTTP POST メソッドを介して単一または複数の XML API を呼び出す統合の場合、<actions mode='...' OWASP_CSRFTOKEN=[token_extracted_above]> のように OWASP_CSRFTOKEN(BreezeCCookie CSRF Cookie と共に)を送信します。
- 「次のパスへの XML API 呼び出しに対して CSRF 保護を免除」オプションを有効にします。 このオプションを有効にすると、サーバーで生成された安全な URL が表示されます。 この URL により、XML API を統合したアカウントは、サーバーで生成された安全で一意の URL パスに対して、引き続き XML API 呼び出しを行うことができます。
Universal Voice の設定
- 管理/アカウント/詳細設定に移動します。
- 選択したテレフォニープロバイダーに対する Universal Voice を有効化または無効化します。
- このページでその他のセキュリティ設定を行うか、「保存」を選択します。