FileMaker 17 Säkerhet: Bästa praxis för att konfigurera säkerhetstillval
Säkerhetsöversikt för FileMaker
Om denna guide
I den här guiden beskrivs de säkerhetsfunktioner som finns tillgängliga i FileMaker-plattformen. Här finns även beskrivningar av de steg du kan ta som lösningsutvecklare, serveradministratör eller IT-professionell för att tillämpa dessa säkerhetsfunktioner i dina FileMaker-lösningar.
Det kan finnas ytterligare steg du behöver ta beroende på dina krav på säkerhetsefterlevnad och certifiering. Det är ditt ansvar att förstå dessa krav fullt ut.
De senaste säkerhetsuppdateringarna för FileMaker finns i Säkerhetsuppdateringar för FileMaker i FileMaker Knowledge Base.
Obs!När Admin Console nämns i denna guide gäller det både FileMaker Server Admin Console och FileMaker Cloud Admin Console såvida det inte handlar om en särskild produkt.
Säkerhetsfunktioner i FileMaker
Med hjälp av funktionerna i FileMaker-plattformen kan du kontrollera dataåtkomst, användning och utveckling i en FileMaker-fil. Nyckelfunktionerna är bland annat:
- Autentisering med konton: FileMaker krypterar identifieringsuppgifter som lagras i lösningar så de är skyddade. Användare kan även autentisera via Active Directory, Open Directory eller OAuth-identitetsleverantörer.
- Åtkomstkontroll med behörighetsuppsättningar: Du definierar behörigheter som avgör åtkomstnivåerna för din lösning. Du kan definiera så många behörighetsuppsättningar som du behöver.
- Datakryptering på hårddisken och under överföring: Du kan kryptera data som är lagrade i en FileMaker-lösning. Du kan även kräva SSL-kryptering (Secure Socket Layer) av data mellan FileMaker Server eller FileMaker Cloud och FileMaker Pro Advanced, FileMaker Go, FileMaker WebDirect, FileMaker Data API samt ODBC- och JDBC-klientprogram.
- Serverövervakning och -administration:Med Admin Console kan du övervaka åtkomst till lösningen, koppla bort inaktiva användare och skapa säkerhetskopior av dina lösningar.
FileMaker-plattformen använder en enhetlig säkerhetsmodell där den säkerhet du etablerar för en lösning träder i kraft för alla klienter.
Säkerhetsinställningar som definieras i en lösning med FileMaker Pro Advanced tillämpas bara för den information och de scheman (layouter, tabeller, fält, relationer och scripts) som lagras i den lösningen.
Säkerhetsinställningar som konfigureras i FileMaker Server och FileMaker Cloud är driftsättningsspecifika och tillämpas för alla lösningar som den servern är värd för.
Systemkrav
Säkerhet för lösningsutvecklare
Översikt
Gör de lösningar du designar säkrare genom att använda FileMaker Pro Advanced-funktioner. Du kan till exempel autentisera användare, begränsa åtkomst till lösningen, kryptera data och förbättra funktionaliteten på säkra sätt.
Autentisera användare
Om autentisering
För FileMaker-lösningarna krävs det att användarna autentiseras med ett kontonamn och lösenord. Varje konto får åtkomstbehörighet utifrån tillhörande behörighetsuppsättningar. Mer information finns i Definiera behörighetsuppsättningar.
Skapa ett unikt konto för varje användare. Det gör det möjligt att spåra vem som skapar eller ändrar enskilda poster eller utför andra åtgärder i din lösning. Spåra den här informationen genom att använda inställningarna för automatisk inmatning i fält eller med funktionen Get (Kontonamn) i beräkningar och scripts. Mer information finns i Använd funktioner, scripts och scripttriggers för att öka säkerheten.
FileMaker-lösningar kan autentisera konton internt, externt eller med en OAuth-identitetsleverantör.
- Med intern autentisering (via FileMaker Pro Advanced) lagras kontonamnet och lösenordet i lösningen. All säkerhet för en lösning ställs in i FileMaker Pro Advanced utan serverprogramvara. Det innebär att det är det snabbaste och enklaste alternativet för att hantera konton.
- Med extern autentisering (via Open Directory eller Active Directory) eller med autentisering via OAuth-identitetsleverantör lagrar FileMaker Pro Advanced bara användar- och gruppnamn och interagerar med en extern server eller OAuth-identitetsleverantör för att autentisera en användares konto och lösenord. FileMaker Server eller FileMaker Cloud måste vara värd till lösningen och värden måste konfigureras så att den tillåter extern autentisering eller enskilda OAuth-identitetsleverantörer. Mer information finns i Ställa in extern autentisering och Ställa in autentisering via OAuth-identitetsleverantör.
Obs! Delade konton är en säkerhetsrisk så använd enskilda konton istället. Om du måste använda delade konton ska du begränsa åtkomsten för de behörighetsuppsättningar som delade konton använder. Ändra lösenord ofta, speciellt när specifika användare inte längre behöver åtkomst.
Om standardkonton
Varje lösning innehåller till en början två konton: Admin och Gäst.
-
Adminkontot ger åtkomst till allt i lösningen. Som standard har det här kontot fullständig behörighet. Det här kontot är helt redigerbart. Du kan byta namn på det, ange ett lösenord för det eller inaktivera det. Du kan radera administratörskontot, men filen kräver minst ett konto med fullständig behörighet såvida du inte tar bort den behörighetsuppsättningen helt.
Som standard har administratörskontot inget lösenord. Ange ett lösenord när du först börjar arbeta i FileMaker Pro Advanced. Mer information finns i Ange lösenord för administratörskontot.
-
Med gästkontot kan användarna öppna en fil utan att ange kontoinformation. Som standard har det här kontot endast läsbehörighet, men du kan tilldela de behörigheter du vill.
Till en början är gästkontot inaktivt. Du kan inte radera det, ändra dess namn eller ge det ett lösenord.
Ange lösenord för administratörskontot
När du skapar en ny lösning skapar FileMaker Pro Advanced ett administratörskonto med fullständig behörighet. Det här administratörskontot har inget lösenord.
Se till att ange ett lösenord för kontot för att förhindra obehörig åtkomst till dina data och databasscheman.
Mer information finns i Skapa och redigera konton i FileMaker Pro Advanced Hjälp och under Använd starka lösenord.
Inaktivera gästkontot
När du skapar en ny lösning skapar FileMaker Pro Advanced ett gästkonto som enbart har läsbehörighet. Det här gästkontot har inget lösenord.
Aktivera inte gästkontot såvida det inte är nödvändigt för lösningen. Om du aktiverar gästkontot kan du snabbt nå gränsen för antal anslutningar om många användare loggar in på gästkontot under en kort tidsperiod.
Mer information finns i Skapa och redigera konton i FileMaker Pro Advanced Hjälp.
Skapa konton
När du skapar ett konto ger du det ett kontonamn, ett lösenord och en behörighetsuppsättning.
Markera Kräv lösenordsbyte vid nästa inloggning i dialogrutan Redigera konto så att användaren uppmanas att skapa ett lösenord.
Lösenord lagras med en envägshash, vilket betyder att det kan krypteras men inte dekrypteras. Du kan återställa ett lösenord men du kan inte reparera det.
Mer information finns i Skapa och redigera konton i FileMaker Pro Advanced Hjälp och under Använd starka lösenord.
Be användarna om lösenord
I nya lösningar blir inte användarna tillfrågade om kontonamn eller lösenord. Om du vill uppmana användarna att ange namn och lösenord ska du avmarkera alternativet Logga in med i dialogrutan Filtillval i FileMaker Pro Advanced.
Tillåt inte att Autentiseringshanteraren (Windows) och Nyckelhanterare (macOS and iOS) sparar namn och lösenord för kontot. När du förhindrar Autentiseringshanteraren och Nyckelhanterare uppmanar FileMaker användarna att ange kontonamn och lösenord varje gång de öppnar lösningen.
Om du tillåter Nyckelhanterare kan du kräva att FileMaker Go-användare autentiserar med iOS innan FileMaker Go får åtkomst till dess nyckelring.
Mer information finns i Ange filtillval i FileMaker Pro Advanced Hjälp och under Använd starka lösenord.
Ställa in extern autentisering
Om FileMaker Server är värd till filer kan du skapa externa serverkonton som autentiseras av Active Directory eller Open Directory. Därefter kan du använda din befintliga autentiseringsserver för att styra åtkomst till databaser istället för att hantera en enskild kontolista i varje databasfil i
Alternativt kan du använda lokala säkerhetsgrupper och -konton på den server som är värd till FileMaker Server. Se hjälpen för ditt operativsystem.
Använd extern autentisering i följande fall:
- Om företaget redan använder Active Directory eller Open Directory.
- Om andra filer ska ha åtkomst till din FileMaker-fil i en lösning med flera filer.
- Om företaget har lägsta standard för lösenord. FileMaker Pro Advanced kan använda grundläggande standarder såsom lösenordslängd och hur ofta lösenord ändras. Extern autentisering ger starkare lösenordskontroll, till exempel krav på lösenordens komplexitet.
Om filer är baserade på FileMaker Server som är installerat på Windows Server och du använder Active Directory för extern autentisering kan Windows-användare använda Single Sign-On med FileMaker Pro Advanced.
En risk med extern autentisering är att någon får åtkomst till din fil genom att simulera den externa autentiseringsmiljön eller felhantera grupperna. Det är ditt ansvar att förhindra detta genom att upprätthålla säkerheten för din externa autentiseringsserver. Minska den här risken genom att aktivera databaskryptering för dina lösningsfiler. Med databaskryptering måste användarna ange krypteringslösenordet innan de kan dela filen på FileMaker Server. Mer information finns i Kryptera data.
Ställ in externa autentiseringskonton i filen med FileMaker Pro Advanced. Därefter använder du FileMaker Server som värd för filen och konfigurerar den för extern autentisering. Mer information finns i Skapa konton som verifieras via en extern server i FileMaker Pro Advanced Hjälp, Aktivera extern autentisering och Ställa in FileMaker Pro Advanced-klienter och FileMaker Server för att använda extern autentisering med LDAP-protokollet i FileMaker Knowledge Base.
Viktig information när du använder extern autentisering
- Du måste använda den externa autentiseringsservern för att återställa lösenord.
- Ställ in konton i den ordning som du vill att FileMaker ska använda för autentisering. När flera konton delar kontonamn och lösenord, eller när ett externt konto tillhör flera grupper öppnar FileMaker filen med hjälp av det första matchande kontot i autentiseringsordningen. Eventuella matchande konton efter det första ignoreras.
- Konton med extern autentisering ska inte ha fullständig behörighet. Ha ett lokalt FileMaker-konto för administration om filen behöver flyttas från FileMaker Server. Om det inte finns några lokala FileMaker-konton kan FileMaker bara öppna filen om den är värdbaserad och den externa autentiseringsservern är tillgänglig.
Ställa in autentisering via OAuth-identitetsleverantör
Om du använder FileMaker Server eller FileMaker Cloud som värd för filer kan du skapa konton som autentiserar användare via OAuth-identitetsleverantörer som stöds. Det gör att du kan styra åtkomsten till dina databaser via identitetsleverantörer som är tredje part. Det kan även ge åtkomst till ytterligare säkerhetsmetoder (till exempel autentisering med flera faktorer) som kräver mer än en metod för autentisering. Istället för att hantera en oberoende lista med konton i varje fil kan du använda dina OAuth-identitetsleverantörer för att styra åtkomsten till FileMaker-databaserna.
Om du vill autentisera med OAuth-identitetsleverantörer använder du FileMaker Pro Advanced för att ställa in konton i lösningen. Använd sedan FileMaker Server eller FileMaker Cloud som värd för lösningen och konfigurera FileMaker Server eller FileMaker Cloud för autentisering med OAuth-identitetsleverantörer. Mer information finns i Skapa konton som autentiseras via en OAuth-identitetsleverantör i FileMaker Pro Advanced Hjälp och under Aktivera autentisering via OAuth-identitetsleverantör.
Viktig information om att använda OAuth-identitetsleverantörer
- Du måste använda OAuth-identitetsleverantören när du återställer lösenord.
- Ställ in konton i den ordning som du vill att FileMaker ska använda för autentisering. När flera konton har samma kontonamn och lösenord öppnar FileMaker filen med det första matchande kontot i autentiseringsordningen. Eventuella matchande konton efter det första ignoreras.
- Skapa inte konton med OAuth-identitetsleverantörer med fullständig behörighet. Ha ett lokalt FileMaker-konto för administration om filen behöver flyttas från FileMaker Server eller FileMaker Cloud. Om det inte finns några lokala FileMaker-konton kan FileMaker bara öppna filen om den är värdbaserad och OAuth-identitetsleverantören är tillgänglig.
Autentisera i lösningar med flera filer
I en lösning med flera filer har FileMaker-filerna åtkomst till varandra. Det kan vara användbart att till exempel ha en centralt tillgänglig fil med medarbetarnas kontaktuppgifter som används av interna lösningar med flera filer.
När du öppnar en fil från en annan (till exempel för att visa externa data eller köra ett script i en extern fil) använder FileMaker de identifieringsuppgifter som användaren angav för inloggningen till den andra filen. Om det finns ett motsvarande konto och matchande lösenord loggar FileMaker in användaren i den andra filen. Om det inte finns ett motsvarande konto måste användaren logga in till den andra filen.
Du kan skapa konton manuellt i flera filer men det kan leda till fel vid datainmatning. Använd extern autentisering för att minska risken för sådana fel. Mer information finns i Ställa in extern autentisering.
Granska konton och behörighetsuppsättningar i varje fil i en lösning med flera filer. Om behörighetsuppsättningarna inte matchar mellan filerna eller om ett konto har ytterligare behörighet i en fil kan användare få åtkomst till data som de i vanliga fall inte skulle se. Mer information finns i Definiera behörighetsuppsättningar.
Se även till att användarna inte kan referera till filer i en lösning utan hjälp från lösningsutvecklaren. Annars kan de få åtkomst till begränsade data. Mer information finns i Begränsa referenser till en lösning.
Definiera behörighetsuppsättningar
Om behörighetsuppsättningar
Behörighetsuppsättningar ger åtkomst till de funktioner som en användare kan se och de uppgifter en användare kan göra. De gör att du kan styra åtkomst till data och scheman. Du kan använda en behörighetsuppsättning med flera konton.
Varje ny FileMakerPro-lösning innehåller tre fördefinierade behörighetsuppsättningar:
- Fullständig åtkomst: Ger fullständig åtkomst till filen, inklusive alla utvecklingsfunktioner.
- Endast datainmatning: Tillåter användaren att skapa, redigera och radera poster samt importera och exportera data. Ger inte åtkomst till utvecklingsfunktioner.
- Skrivskyddad åtkomst: Tillåter användaren att visa och exportera postdata. Tillåter inte att användaren gör ändringar i filen förutom värden i globala fält.
Du kan även skapa nya behörighetsuppsättningar som uppfyller dina specifika behov. Vanligtvis skapar du en behörighetsuppsättning för varje unik roll inom företaget. En behörighetsuppsättning består av följande åtkomstalternativ:
- Behörighet till data och design: Ge åtkomst till en lång rad olika säkerhetskontroller, inklusive poster, layouter, värdelistor och scripts.
- Utökad behörighet: Bestämmer hur användare öppnar en delad fil.
- Annan behörighet: Tillåt utskrift, export och några andra funktioner.
Alla klienter och verktyg som öppnar FileMaker-lösningar respekterar användarnas behörighetsuppsättningar. Om en användare till exempel har tilldelats en behörighetsuppsättning som inte tillåter åtkomst till ett fält kan den användaren inte komma åt fältet via FileMaker Pro Advanced, FileMaker Go, FileMaker WebDirect, Custom Web Publishing, FileMaker Data API, ODBC och JDBC, externa verktyg som AppleScript eller ActiveX, eller på något annat sätt.
Skapa behörighetsuppsättningar
När du skapar en behörighetsuppsättning ska du namnge och konfigurera de behörigheter du vill att användarna ska ha för lösningen.
Som standard är de flesta behörigheter avstängda. Det begränsar användarens behörighet till att bara innefatta sådana som är nödvändiga för den specifika rollen.
Mer information finns i Skapa och redigera behörighetsuppsättningar i FileMaker Pro Advanced Hjälp.
Definiera dataåtkomst och designbehörighet
Dataåtkomst och designbehörighet ger åtkomst till olika delar av en fil och tillämpas för alla tabeller, layouter, värdelistor och scripts.
Du kan även utforma anpassade behörigheter för att begränsa åtkomstbehörigheterna ytterligare.
- Utforma anpassade behörigheter för poster om du vill styra användaråtkomsten till enskilda tabeller eller poster. Du kan till exempel ha ett CRM-system där säljcheferna kan se alla poster men en enskild säljare bara kan se de poster som gäller hans eller hennes kunder och potentiella kunder.
- Utforma anpassade behörigheter för layouter för att styra om och hur användare kan visa eller ändra en layout samt om de kan visa eller ändra poster när de arbetar med den layouten. FileMaker-plattformen använder alltid den säkraste kombinationen av åtkomstregler. Till exempel kommer en användare som i vanliga fall kan redigera poster inte kunna göra det i en layout som inte tillåter dessa behörigheter.
- Utforma anpassade behörigheter för att styra om användare kan visa, ändra, radera eller skapa enskilda värdelistor och scripts.
Mer information finns i Ändra behörighet för poster, Ändra layoutbehörighet, Ändra behörighet för värdelistor och Ändra behörighet för scripts i FileMaker Pro Advanced Hjälp.
Definiera utökad behörighet
Utökad behörighet bestämmer hur användare öppnar en delad fil. När du aktiverar utökad behörighet för en behörighetsuppsättning kan den filen bara öppnas av konton som tillhör den behörighetsuppsättningen enligt vad utökad behörighet tillåter.
Följande tabell innehåller en lista över den utökade behörighet som är standard.
Nyckelord | Tillåt konton att göra följande |
---|---|
fmwebdirect | Öppna en databasfil i en webbläsare via FileMaker WebDirect. |
fmxdbc | Öppna en databasfil som en ODBC- eller JDBC-datakälla. |
fmapp | Öppna en delad fil (antingen en fil som delas från FileMaker Pro Advanced eller en fil som delas från FileMaker Server eller FileMaker Cloud). |
fmreauthenticate[x] | Öppna en fil i FileMaker Pro Advanced eller FileMaker Go utan att behöva logga in igen efter att filen varit i viloläge eller när du har använt en annan app. Standardtiden är tio minuter. |
fmxml | Ansluta till en databasfil från en webbläsare eller ett annat program via XML-webbpublicering (endast FileMakerServer). |
fmphp | Ansluta till en databasfil från en webbläsare eller ett annat program via PHP-webbpublicering (endast FileMakerServer). |
fmrest | Öppna en databasfil från en webbtjänst via FileMaker Data API (bara FileMaker Server). |
fmextscriptaccess | Öppna en databasfil från ett annat program via Apple Events och ActiveX. |
fmurlscript | Utföra ett script från en URL. |
Viktigt:Om användarna använder FileMaker Go ska du ange fmreauthenticate[x] som utökad behörighet.
När FileMaker Go flyttar till bakgrunden sparar det läget för alla öppna anpassade FileMaker-appar (lösningar).
Med den utökade behörigheten fmreauthenticate[x] måste användarna ange kontonamn och lösenord på nytt när FileMaker Go växlar till förgrunden efter den angivna tidsgränsen [x]. Den utökade behörigheten fmreauthenticate10 gör till exempel att användaren kan ha FileMaker Go i bakgrunden i upp till tio minuter innan användaren måste logga in igen. Du kan skapa så många utökade behörigheter som du behöver och ge dem olika tidsperioder och behörighetsuppsättningar. Användarna kan försöka ange kontonamn och lösenord fem gånger innan FileMaker Go stänger filen. Ställ in [x] till 0 för att tvinga användarna att logga in varje gång FileMaker Go kommer tillbaka i förgrunden.
Den utökade behörigheten fmreauthenticate[x] återansluter även en FileMaker Pro Advanced- eller FileMaker Go-klient till en FileMaker-värd efter ett nätverksavbrott. Om klienten har varit bortkopplad från värden i över x minuter måste klienten autentisera på nytt.
Du kan skapa anpassad utökad behörighet för att förenkla dina scripts eller hantera de företagsregler du behöver upprätthålla. Du kan till exempel skapa anpassad utökad behörighet som tillåter användarna att köra vissa rapporter.
Mer information finns i Ändra den utökade behörigheten för en behörighetsuppsättning i FileMaker Pro Advanced Hjälp.
Definiera andra behörigheter
Andra behörigheter anger om behörighetsuppsättningen tillåter att användaren gör följande:
- Skriva ut – både skriva ut och spara poster som PDF.
-
Exportera – exportera poster, spara poster som en Excel-fil, kopiera poster i hittade poster till Urklipp, spara en kopia av filen, komma åt data med Apple Events och använda filen som källa för en import.
Obs! Den här behörigheten påverkar inte dataåtkomst med ActiveX.
- Hantera utökad behörighet.
- Åsidosätta varningar om datakontroll.
- koppla bort användare från en värdbaserad lösning när en klient är inaktiv
- Ändra lösenord.
- Öppna menykommandon (allt, endast databearbetning, minimum).
Mer information finns i Ändra annan behörighet i FileMaker Pro Advanced Hjälp och under Koppla bort inaktiva användare.
Ta bort behörighetsuppsättningen Fullständig behörighet
Om du vill se till att användarna inte får åtkomst till delar av lösningen och schemat som vanligtvis skulle vara begränsade för dem ska du använda FileMaker Pro Advanced. Ta bort fullständig behörighet från lösningen permanent.
Viktigt:Om du tar bort behörighetsuppsättningen Fullständig behörighet permanent raderas alla konton med fullständig behörighet från lösningen. Det gör att åtkomsten till layoutläget, Scriptfönster och alla flikar i dialogrutan Hantera säkerhet förutom Utökad behörighet försvinner permanent. Detta omfattar alla databasfiler i lösningen, oavsett om de öppnas i ett runtime-program eller i FileMaker Pro Advanced. Schema- och designelement för filerna kan inte återställas. Det enda sättet att ändra tabellerna, fältdefinitioner, relationer, scripts eller åtkomstbehörigheter är genom att återgå till originalfilen som den var innan den anpassades med Developer-verktygen i FileMaker Pro Advanced.
Mer information finns i Ta bort admin-åtkomst till databaser i FileMaker Pro Advanced Hjälp.
Kryptera data
Kryptera en lösning
Använd FileMaker Pro Advanced för att kryptera all information som finns i en fil (kallas även Kryptering i vila). Databaskryptering skyddar din lösning om någon får fysisk tillgång till filen.
För databaskryptering krävs ett lokalt FileMaker-konto med fullständig behörighet till alla filer, ett krypteringslösenord och ett delat ID. Användarna måste ange krypteringslösenordet varje gång FileMaker Pro Advanced eller FileMaker Go öppnar en lokal fil eller när FileMaker Server eller FileMaker Cloud öppnar en fil innan den blir värdbaserad. Delat ID kopplar samman flera krypterade filer. När en krypterad fil försöker öppna en annan krypterad fil kommer användaren inte att bli tillfrågad att ange krypteringslösenordet igen om krypteringslösenordet och delade ID stämmer överens.
Mer information finns i Kryptera databasfiler i FileMaker Pro Advanced Hjälp och under Använd starka lösenord.
När du öppnar en krypterad fil i FileMaker Server eller FileMaker Cloud kan du spara lösenordet så att krypterade filer öppnas automatiskt när servern startas om. FileMaker tillämpar tvåvägskrypteringen AES-256 som använder en sammansatt nyckel utifrån information från maskinen för att kryptera lösenordet. Det lagrar även lösenordet säkert på servern.
Mer information finns i Öppna värdbaserade filer och Rensa databasens krypteringslösenord i FileMaker Server Hjälp och Encrypting and uploading database files (på engelska) i FileMaker Cloud Help.
Kryptera fältdata
Använd funktionerna CryptEncrypt, CryptEncryptBase64, CryptDecrypt och CryptDecryptBase64 för att kryptera och dekryptera fältdata i en FileMaker-lösning.
Kryptera containerdata
Om databaskryptering är aktiverat för en lösning eller om containerdata är konfigurerade att lagras externt krypteras alla containerdata som standard. Om du inte vill kryptera containerdata när du krypterar databasfiler eller lagra containerdata externt kan du ha dina containerdata i öppen lagring. Mer information finns i Kryptera databasfiler och Konfigurera containerfält för extern datalagring i FileMaker Pro Advanced Hjälp.
Begränsa åtkomsten till lösningen med layouter
Designa layouter som begränsar användarnas datavy och åtkomst till funktioner efter deras behov och behörighetsuppsättningar. Överväg även att dölja statuslisten och istället tillhandahålla knappar som utför tillåtna uppgifter.
Om lösningen ska användas med FileMaker WebDirect eller FileMaker Go ska du designa layouter för snabb användning med dessa klienter. Mer information finns i FileMaker WebDirect Guide och FileMaker Go Utvecklingsguide.
Obs! När du begränsar åtkomsten till lösningsdata och funktioner i en layout kan användarna fortfarande komma åt data med scriptsteg, funktioner, AppleScript eller på andra sätt. Definiera behörighetsuppsättningar för att begränsa användaråtkomst till data och funktioner i alla klienter. Mer information finns i Definiera behörighetsuppsättningar.
Använd funktioner, scripts och scripttriggers för att öka säkerheten
Använd FileMaker-funktioner, scripts och scripttriggers för att öka säkerheten för vanliga uppgifter som att radera, granska och upprätthålla poster. Du kan till exempel använda scripts för att göra följande:
- Lägga till eller radera konton, återställa kontolösenord, ändra lösenord, aktivera eller inaktivera konton samt logga in igen som en annan användare.
- Arkivera poster när du inte vill att en användare ska radera poster.
- Ge information om användarens nuvarande session och tillstånd för regelefterlevnad och granskning.
- Tillhandahålla anpassade meddelanden när säkerhetsbegränsningar påverkar användaren.
Viktigt:Använd inte funktioner, scripts och scripttriggers för att ersätta säkerhetsfunktioner i FileMaker.
Kommentarer
- Som standard körs scripts med behörighetsuppsättningen för det konto som är inloggat för tillfället. Det kan skapa problem om ett script försöker utföra en åtgärd som användaren inte har behörighet att göra. Testa alla scripts med alla behörighetsuppsättningar för att skydda dina data.
- När du använder scriptsteg för att kommunicera med system utanför FileMaker ska du välja tillval som interagerar via SSL-kryptering. Till exempel innehåller scriptsteget Infoga från URL alternativet Verifiera SSL-certifikat. Scriptsteget Skicka e-post tillåter kommunikation med SMTP-servrar med SSL-kryptering.
- Använd funktioner för att få information om den aktuella användaren. Använd till exempel funktionen Get (KontoUtökadBehörighet) för att testa om en användare har specifika behörigheter.
Mer information finns i Funktionsreferens, Scriptstegsreferens och Scripttriggerreferens i FileMaker Pro Advanced Hjälp.
Begränsa referenser till en lösning
Begränsa referenser till en lösning för att förhindra att obehöriga filer kommer åt lösningens schema. Om en annan fil ska komma åt lösningens schema och data måste filen antingen vara auktoriserad i lösningen eller så måste användaren ange giltiga identifieringsuppgifter för lösningen.
Du kan ange att bara konton med behörighetsuppsättningen Fullständig behörighet kan skapa referenser till lösningen. Då säkerställer du att bara lösningsdesigner och administratörer kan referera till lösningen.
I en lösning med flera filer måste du bevilja varje fil som behöver åtkomst till en annan fils schema.
Mer information finns i Bevilja åtkomst till filer i FileMaker Pro Advanced Hjälp.
Ange ett lägsta krav för klientversion
Ange ett lägsta krav för den version av FileMaker Pro Advanced eller FileMaker Go som har åtkomst till lösningen. Nyare versioner av FileMaker-klienter innehåller funktioner och säkerhetsändringar som inte finns i äldre versioner så begränsa vilka klienter som har åtkomst till lösningen. Mer information finns i Ange filtillval i FileMaker Pro Advanced Hjälp.
Aktivera plugin-program
Använd bara plugin-program från tillförlitliga källor eftersom de kan komma åt och ändra lösningen. De kan även ansluta till andra tjänster via internet.
Du kan även aktivera eller inaktivera installation av plugin-program. Det ger ytterligare säkerhet och gör att obehöriga plugin-program inte installeras. Det här är en FileMaker Pro Advanced-inställning, inte en filinställning, som avgör om plugin-program kan installeras på användarens dator.
Mer information finns i Ange inställningar för plugin-program i FileMaker Pro Advanced Hjälp. Läs mer om att aktivera plugin-program i FileMaker Server under Aktivera plugin-program i FileMaker Server och FileMaker Cloud.
Säkerhet för serveradministratörer
Översikt
FileMaker Server och FileMaker Cloud är värdar för lösningar åt följande klienter:
- FileMaker Pro Advanced
- FileMaker Go
- FileMaker WebDirect
- Webbanvändare och webbapplikationer via Web Publishing Engine som använder Anpassad webbpublicering med PHP och Anpassad webbpublicering med XML (endast FileMaker Server)
- Webbtjänster eller -applikationer som använder FileMaker Data API för att komma åt data i värdbaserade lösningar
- ODBC- och JDBC-program
I följande avsnitt beskrivs stegen för att ställa in säkerhet i FileMaker Server och FileMaker Cloud.
Om du använder FileMaker Server ska du kontrollera att du har installerat det på en säker plats och att du använder SSL-kryptering för att kryptera HTTPS-kommunikation mellan klienter och servern:
Aktivera extern autentisering
Obs!Den här funktionen är inte tillgänglig i FileMaker Cloud.
Med FileMaker Server kan du använda den befintliga verifieringsservern för att styra åtkomsten till filer utan att behöva hantera en fristående lista över konton i varje fil.
Ställ in externa autentiseringskonton i filen med FileMaker Pro Advanced. Därefter använder du FileMaker Server som värd för filen och konfigurerar den för extern autentisering. Läs mer om att ställa in konton i FileMaker Pro Advanced under Ställa in extern autentisering.
Aktivera extern autentisering på följande sätt i FileMaker Server:
- Klicka på fliken Administration > Extern autentisering i FileMaker Server Admin Console.
- Under Inloggning till databas aktiverar du FileMaker och externa serverkonton.
För att kunna använda Active Directory eller Open Directory måste servern där FileMaker Server är installerat vara medlem av den domän som används för extern autentisering.
Testa noga. Mer information finns i Testa säkerhetsinställningar.
Aktivera autentisering via OAuth-identitetsleverantör
Med FileMaker Server eller FileMaker Cloud kan du använda OAuth-identitetsleverantörer som stöds för att styra åtkomsten till filer utan att behöva hantera en fristående lista över konton i varje fil.
Ställ in konton för OAuth-identitetsleverantörer i filen med FileMaker Pro Advanced. Därefter använder du FileMaker Server eller FileMaker Cloud som värd för filen och konfigurerar den för autentisering med OAuth-identitetsleverantörer. Läs mer om att ställa in konton i FileMaker Pro Advanced under Ställa in autentisering via OAuth-identitetsleverantörer.
Aktivera autentisering med OAuth-identitetsleverantörer i FileMaker Server:
- Klicka på fliken Administration > Extern autentisering i FileMaker Server Admin Console.
- Under Inställningar för identitetsautentisering konfigurerar du den OAuth-identitetsleverantör (Amazon, Google eller Microsoft) som ska användas för att autentisera åtkomst.
- Under Inloggning till databas aktiverar du FileMaker och externa serverkonton.
- Aktivera den OAuth-identitetsleverantör som du har konfigurerat under Inställningar för identitetsautentisering.
För att aktivera autentisering med OAuth-identitetsleverantörer i FileMaker Cloud:
- Klicka på fliken Configuration > Client Authentication i FileMaker Cloud Admin Console.
-
Klicka på Settings för den OAuth-identitetsleverantör (Amazon, Google eller Microsoft) som ska användas för att autentisera åtkomst.
Obs!I FileMaker Cloud delas autentisering via en Amazon-identitetsleverantör av FileMaker Cloud-administratören och av klienter. Amazon klient-ID och klienthemlighet är synkroniserade.
Testa noga. Mer information finns i Testa säkerhetsinställningar.
Begränsa listan över värdbaserade lösningar
Obs!Den här funktionen är inte tillgänglig i FileMaker Cloud.
Dialogrutan Värdar i FileMaker Pro Advanced och Startcenter i FileMaker Go och FileMaker WebDirect visar en lista över värdbaserade lösningar. Som standard visar listan alla värdbaserade lösningar som finns på en server. Med FileMaker Server kan du begränsa listan så att den bara visar de lösningar som den aktuella användaren kan komma åt. Mer information finns i Inställningen Filtrera databaser i FileMaker Server Hjälp.
Begär lösenord för värdbaserade filer
Se till att alla värdbaserade databaser begär att en klient anger ett konto och lösenord. Följande typer av databaser är osäkra:
- Databaser som har ett gästkonto med behörighetsuppsättningen Fullständig behörighet.
- Databaser som har konton med Fullständig behörighet men utan lösenord.
- Databaser som har konton med Fullständig behörighet där lösenordet är lagrat i databasen (med alternativet Logga in med i dialogrutan Filtillval i FileMaker Pro Advanced).
Som standard förhindrar FileMaker Server osäkra databaser från att bli värdbaserade. Mer information finns i Vara värd för databaser i FileMaker Server Hjälp. FileMaker Cloud kräver alltid lösenordsskydd för värdbaserade databaser.
När en FileMaker Pro Advanced-användare försöker att överföra en databas med hjälp av menyalternativet Överför till FileMaker Server validerar FileMaker Pro Advanced att databasen är lösenordsskyddad. Om värden kräver att databaser är lösenordsskyddade tillåter FileMaker Pro Advanced inte att ovannämnda typer av osäkra databaser överförs.
Visa loggfiler
När FileMaker Server och FileMaker Cloud körs loggar de serveraktivitet. Använd loggfilerna för att samla in information om klientåtkomst samt annan information som krävs för reglering och granskning.
Information om att visa loggar och poster i loggfiler finns i Visa loggfilsposter i FileMaker Server Hjälp och Downloading software and logs (på engelska) i FileMaker Cloud Help.
Koppla bort inaktiva användare
Ställ in en maxtid som FileMaker-användare kan vara inaktiva när de är anslutna till en fil som FileMaker Server eller FileMaker Cloud är värd för. Den här gränsen minskar risken för att en oövervakad dator eller mobil enhet kommer åt dina filer. Men se till att tiden för inaktivitet är tillräckligt lång så att användaren inte kopplas bort alltför ofta.
I FileMaker Pro Advanced öppnar du dialogrutan Ändra behörighetsuppsättning och markerar Koppla bort användaren från servern vid inaktivitet för varje behörighetsuppsättning du vill koppla bort när en användare är inaktiv. Eftersom du kan ange det här alternativet för varje behörighetsuppsättning kopplas vissa användare bort när de är inaktiva medan andra hela tiden är anslutna. I FileMaker Pro Advanced och FileMaker Go kopplas inaktiva användare inte bort om de har behörighetsuppsättningen Full åtkomst.
Läs mer om att ange inaktivitetstid i Tidsgräns för sessioner för FileMaker-klienter i FileMaker Server Hjälp och Setting session timeouts (på engelska) i FileMaker Cloud Help.
Ställa in säkerhetskopiering
Det är viktigt att säkerhetskopiera FileMaker-lösningar för att förhindra dataförluster. Om data i en fil förstörs kan du återställa till säkerhetskopian.
Säkerhetskopiering i FileMaker Server
FileMaker Server erbjuder flera typer av säkerhetskopior: automatiska, på begäran, schemalagda och progressiva.
- För automatiska säkerhetskopior skapar FileMaker Server en fullständig säkerhetskopia av alla värdbaserade databaser en gång om dagen.
- För säkerhetskopior på begäran kan du när som helst skapa en fullständig säkerhetskopia av alla värdbaserade databaser genom att klicka på Säkerhetskopiera nu.
- Med schemalagd säkerhetskopiering kontrollerar FileMaker Server om data har ändrats sedan den senaste säkerhetskopieringen. Därefter skapas en fullständig kopia av alla databas- och containerdata som har ändrats.
- Med progressiv säkerhetskopiering skapar FileMaker Server två fullständiga säkerhetskopior i mappen för progressiv säkerhetskopiering av alla värdbaserade databaser. Efter det angivna tidsintervallet tillämpas sedan eventuella ändringar i den senaste säkerhetskopian.
FileMaker Server sparar bara säkerhetskopior på lokala hårddiskar. Använd andra verktyg för att kopiera lokala säkerhetskopior om du vill ha säkerhetskopior på annan plats för katastrofåterställning. Se till att du anger en säker fysisk plats för lagrade säkerhetskopior.
Viktigt:FileMaker Server skapar katalogstrukturen för dessa säkerhetskopior. Om du vill arbeta med en säkerhetskopiefil ska du lämna originalfilen oförändrad i mappen för säkerhetskopior. Öppna aldrig den ursprungliga säkerhetskopian med FileMaker Pro Advanced. Du bör inte heller redigera den eller flytta den från mappen för säkerhetskopior. Kopiera filen istället och arbeta bara med kopian.
Mer information finns i Beskrivning av säkerhetskopieringsalternativen i FileMaker Server Hjälp.
Säkerhetskopiering i FileMaker Cloud
FileMaker Cloud erbjuder säkerhetskopior som ögonblicksbilder av din lagringsenhet. De innehåller alla dina data, inklusive databaser, konfigurationer och loggar. Säkerhetskopieringen körs var tjugonde minut och FileMaker Cloud lagrar säkerhetskopiorna i en vecka. FileMaker Cloud kan även spara säkerhetskopior i Amazon Simple Storage Service.
Mer information finns i Working with backups (på engelska) i FileMaker Cloud Help.
Lägga till administratörer
Administratörer utanför rotnivån i FileMaker Server
Du kan tillåta externt autentiserade konton att logga in på Admin Console och agera som serveradministratör. Dessa konton kan ändra alla inställningar i FileMaker Server utom användarnamn och lösenord för Admin Console.
- Under Inställningar för identitetsautentisering kan du konfigurera inställningen Externa konton för Inloggning till Admin Console genom att ange det gruppnamn som ska användas för att autentisera åtkomst. (Formatet kan vara gruppnamn, domän\gruppnamn eller gruppnamn@lokaldator.)
- Under Inloggning till Admin Console aktiverar du Externa konton.
Administratörer utanför rotnivån i FileMaker Cloud
Som rotadministratör kan du tillåta administratörer utanför rotnivån att logga in i FileMaker Cloud och hantera de flesta aspekter av FileMaker Cloud-instansen. Administratörer utanför rotnivån kan inte ändra andra administratörskonton, importera SSL-certifikat eller avsluta FileMaker Cloud-prenumerationen.
Mer information finns i Adding an authenticated user to FileMaker Cloud (på engelska) i FileMaker Cloud Help.
Bestäm om du ska tillåta scriptsteget Utför script på server
Obs!Den här funktionen är inte tillgänglig i FileMaker Cloud.
Av prestandaskäl kan lösningsutvecklare välja att utforma FileMaker Pro Advanced-databaser så att de använder scriptsteget Utför script på server. Av säkerhetsskäl kan FileMaker Server-administratörer bestämma om Utför script på server ska vara tillåtet i värdbaserade lösningar.
Inaktivera användning av Utför script på server med hjälp av CLI-kommandot fmsadmin serverconfig set scriptsessions=0
för att ange maximalt antal samtidiga scriptsessioner till 0 (noll). Alla värden över noll tillåter att scriptsteget Utför script på server används i värdbaserade lösningar.
Mer information finns i Använda kommandoradsgränssnittet i FileMaker Server Hjälp.
Aktivera plugin-program i FileMaker Server och FileMaker Cloud
Lösningsutvecklare kan välja att utforma FileMaker Pro Advanced-databaser så att de använder plugin-program på serversidan. Läs mer om att aktivera plugin-program i FileMaker Pro Advanced under Aktivera plugin-program.
På fliken Connectorer > Plugin-program i FileMaker Server Admin Console aktiverar du FileMaker Script Engine-plugin och Plugin-program för webbpublicering. Dessa inställningar gör att FileMaker-scriptmotorn kan använda externa plugin-program för funktioner.
I FileMaker Server Admin Console kan du tillåta att schemalagda scripts och scripts som körs med hjälp av scriptsteget Utför script på server installerar, uppdaterar och läser in plugin-program. På fliken Connectorer > Plugin-program aktiverar du inställningen Scriptsteget Installera Plug-In .
I FileMaker Cloud kan du installera plugin-program med scriptsteget Installera Plug-in.
Mer information finns i Hantera plugin-program i FileMaker Server Hjälp och Managing server plug-ins (på engelska) i FileMaker Cloud Help.
Kontrollera att e-postmeddelanden är säkra
Om du använder fliken Konfiguration > Meddelanden för att ange information om SMTP-konfigurationen för en e-postserver bör du verifiera säkerheten för den e-postservern. E-postservern ska alltid använda det senaste TLS-protokollet (Transport Layer Security) för kommunikation.
Mer information finns i Meddelandeinställningar i FileMaker Server Hjälp.
Obs!E-post som skickas från FileMaker Cloud Admin Console använder TLS.
Säkerhet för IT-professionella
Översikt
FileMaker-programvaran körs på datorerna och på nätverket. Klienter kan komma åt värdbaserade data via företagets intranät eller via internet. När du planerar säkerheten för FileMaker-plattformen bör du även titta på säkerheten i din systemmiljö.
I följande avsnitt beskrivs hur du kan göra systemmiljön säkrare för FileMaker-plattformen.
Kontrollera den dator som kör FileMaker Server
Även om konton och behörighetsuppsättningar ger ett gott skydd av databasen är det inte en helt säker lösning. Om du använder FileMaker Server måste du skydda åtkomsten till filerna och informationen och inte bara förlita dig på behörigheterna i FileMaker Pro Advanced. Till exempel:
- Se till att dator, hårddiskar och lagringsmedier för säkerhetskopiering som innehåller databasfiler skyddas rent fysiskt. Placera till exempel datorn som kör FileMaker Server i ett låst rum.
- Använd de senaste operativsystemen som certifierats av FileMaker, Inc.
- Om FileMaker Pro Advanced-databaser delas från en dator som är delad i ett nätverk bör du använda säkerhetsinställningar och lösenord i operativsystemet för att se till att bara behöriga användare kommer åt mappar och filer.
- Ange att skärmsläckarfunktionen i operativsystemet ska kräva ett lösenord för att väcka datorn.
- Kör aldrig nätverkstjänster som en e-postserver på samma dator som FileMaker Server.
- Bekräfta att alla andra nätverkstjänster bara har stöd för högsta möjliga säkerhetsnivå, till exempel det senaste TLS-protokollet. Dessa nätverkstjänster bör inaktivera stöd för osäkra protokoll, till exempel SSLv2 och SSLv3.
Installera FileMaker Server-komponenter bakom brandväggen
FileMaker Server innehåller upp till tre komponenter:
- Databasserver
- Web Publishing Engine
- Webbservermodul
Du driftsätter dessa komponenter på huvuddatorn och kan lägga till ytterligare Web Publishing Engine- och Web Server-moduler på arbetsdatorerna. Du kan styra var varje dator är i förhållande till din brandvägg. Du kan till exempel välja att placera alla komponenter bakom brandväggen för att begränsa åtkomsten till LAN-nätverket. Om du placerar någon dator i driftsättningen bakom brandväggen måste du öppna de portar som används av FileMaker WebDirect i brandväggen för att göra FileMaker WebDirect tillgängligt över internet. Mer information finns under Portar som används av FileMaker Server och FileMaker Cloud.
Viktigt:Om du vill förbättra databaslösningens säkerhet, särskilt över internet, ska du använda en brandvägg på den offentliga sidan av en FileMaker Server-driftsättning och SSL för webbservern. Mer information finns i Ställa in SSL-kryptering
Mer information finns i Installations- och konfigurationsguiden för FileMaker Server.
Ställa in SSL-kryptering
Kryptera de data som skickas mellan FileMaker Server eller FileMaker Cloud, FileMaker-klienter och ODBC- och JDBC-program med hjälp av SSL-teknik. Ett SSL-certifikat är en datafil som tillhandahålls av ett certifieringsinstitut (CA). Den identifierar digitalt avsändaren, mottagaren eller båda parter för en säker transaktion. SSL-certifikat installeras på datorer som kör FileMaker-program för att ge säkra kopplingar mellan FileMaker Server eller FileMaker Cloud och FileMaker-klienter.
SSL-kryptering är särskilt viktigt om klienter kommer åt dina värdbaserade data via internet. Om du inte använder kryptering kan dina data komma att visas av programvara som övervakar ditt nätverk.
Aktivera SSL-kryptering i FileMaker Server genom att importera ett eget SSL-certifikat. Mer information finns i Skydda dina data i FileMaker Server Hjälp.
SSL-kryptering är aktiverat som standard i FileMaker Cloud.
Kommentarer
- Dela aldrig samma SSL-certifikat mellan en FileMaker Server-dator och en dator som kör mindre säkra nätverkstjänster, till exempel en e-postserver.
- Använd aldrig samma privata nyckel för att generera flera SSL-certifikat som används på olika datorer, till exempel en FileMaker Server och en e-postserver. En lyckad attack mot e-postservern kan skada alla andra certifikat som använder samma privata nyckel.
- I en FileMaker Server-driftsättning med flera datorer använder du ett SAN-certifikat (Subject Alternative Name) eller ett certifikat med jokertecken på huvud- och arbetsdatorerna. Annars kräver varje dator i driftsättningen ett SSL-certifikat som matchar det unika värdnamnet.
Mer information finns i Nätverkssäkerhet och SSL-certifikat som stöds i FileMaker (på engelska) i FileMaker Knowledge Base.
Om standardcertifikatet i FileMaker Server
FileMaker Server tillhandahåller ett SSL-certifikat i standardnivå som är signerat av FileMaker, Inc. Det verifierar inte servernamnet.
Viktigt:FileMakers standardcertifikat är endast avsett att användas för testning. För produktion krävs ett eget SSL-certifikat.
Om standardcertifikatet i FileMaker Cloud
FileMaker Cloud tillhandahåller ett standardmässigt SSL-certifikat som utfärdats av certifikatorganisationen Comodo. Du kan förnya standardcertifikatet eller importera ett eget certifikat. Mer information finns i Managing SSL certificates (på engelska) i FileMaker Cloud Help.
Aktivera HTTP Strict Transport Security
Om FileMaker Server har ett giltigt SSL-certifikat begränsar HTTP Strict Transport Security (HSTS) webbklienter till HTTPS-anslutningar. När en webbklient ansluter till FileMaker Server via HTTPS med HSTS förhindrar webbläsaren klienten från att använda en HTTP-anslutning för innehåll som FileMaker Server är värd för.
HSTS aktiveras i FileMaker Server när du importerar ett eget SSL-certifikat.
Kommentarer
- HSTS är alltid aktiverat i FileMaker Cloud.
- macOS: När HSTS är aktiverat i FileMaker WebDirect bör du kontrollera att de egna hemsidorna och webbinnehållet finns i katalogen Web Publishing Engine HTTPS.
Testa för SSL-kryptering
Om du vill testa krypteringen mellan FileMaker Server eller FileMaker Cloud och FileMaker Pro Advanced- eller FileMaker Go-klienter ska du använda funktionen Get (AnslutningsStatus). Den returnerar ett värde på:
- 0 för ingen nätverksanslutning för den aktuella filen.
- 1 för en anslutning som inte är krypterad (FileMaker Server med SSL inaktiverat eller till en FileMaker Pro Advanced-värd).
- 2 för en anslutning som är krypterad men som SSL-certifikatet för FileMaker Server inte kan verifieras för. Det kan hända att du ansluter till en server som utger sig för att vara din faktiska destination, vilket kan äventyra konfidentiell information.
- 3 för en anslutning som är krypterad med ett verifierat SSL-certifikat.
Du kan till exempel skriva ett script som körs när en fil öppnas och som meddelar användaren om anslutningen till FileMaker Server inte är säker.
Användaren kan se en låsikon i dialogrutan Öppna fil, längst upp till höger i FileMaker Pro Advanced eller på skärmen Öppnar fil i FileMaker Go.
- motsvarar det att Get (AnslutningsStatus) returnerar 1.
- motsvarar det att Get (AnslutningsStatus) returnerar 2.
- motsvarar det att Get (AnslutningsStatus) returnerar 3.
Obs!Om klienten använder serverns IP-adress istället för det helt kvalificerade värdnamnet kanske de ser en krypterad anslutning där SSL-certifikatet för FileMaker Server inte kan verifieras. För att visa en krypterad anslutning med ett verifierat SSL-certifikat bör dina klienter lägga till det fullständiga värdnamnet som en favoritvärd i dialogrutan Värdar i FileMaker Pro Advanced och Startcenter i FileMaker Go.
Java-säkerhet
FileMaker Server och FileMaker Cloud kräver en lägsta uppdatering av Java Runtime Environment. Om den minimiversionen inte är tillgänglig när FileMaker Server installeras kommer installationsprogrammet för FileMaker Server att ordna det. I FileMaker Cloud är den Java-versionen installerad när du skapar din FileMaker Cloud-instans.
Det publiceras ofta säkerhetsuppdateringar för Java på webbplatsen java.com. Uppdateringar för FileMaker Server och FileMaker Cloud kan innehålla Java-uppdateringar men det läggs upp uppdateringar oftare på java.com.
FileMaker Knowledge Base innehåller en artikel som heter FileMaker Server and Java (på engelska). Där finns en lista över vilken version av Java som det rekommenderas att du använder med FileMaker Server. Innan du uppdaterar Java på den dator där FileMaker Server är installerat ska du gå igenom informationen i den här artikeln. Om du stöter på problem efter att du har tillämpat en uppdatering i Java tar du bort den och går tillbaka till den lägsta version som krävs för FileMaker Server.
PHP-säkerhet
Anpassad webbpublicering med PHP kräver en PHP-motor på den dator där FileMaker Server finns. När du installerar FileMaker Server installeras även en version av PHP-motorn. Du kan dock välja en egen PHP-motor.
Det publiceras ofta säkerhetsuppdateringar för PHP på webbplatsen php.net. FileMaker Server-uppdateringar kan innehålla PHP-uppdateringar men det läggs upp uppdateringar oftare på php.net. Om du vill uppdatera PHP oftare ska du installera och upprätthålla en egen PHP-motor.
Om du har en egen PHP-motor måste du manuellt installera FileMaker API för PHP om du ska kunna använda Anpassad webbpublicering med PHP. Mer information finns i FileMaker Server Guide för anpassad webbpublicering.
Obs!FileMaker Cloud stöder inte Anpassad webbpublicering och använder inte PHP.
Byta ut den webbserversida som är standard
FileMaker Server använder en standardwebbsida för FileMaker databasserver. Den här sidan innehåller ingen säkerhetsinformation om din server men den visar att servern kör FileMaker Server. Klienter kan visa standardsidan som följande URL:er:
- http://[värd]
- https://[värd]
där [värd] är IP-adressen eller domännamnet på huvuddatorn i din FileMaker Server-lösning.
Om du vill byta ut den här standardsidan ska du ersätta filen index.html som finns på huvuddatorn på följande platser:
- Windows: [enhet]:\Program Files\FileMaker\FileMaker Server\HTTPServer\conf\index.html
- macOS (för HTTP): /Bibliotek/FileMaker Server/HTTPServer/htdocs/index.html
- macOS (för HTTPS): /Bibliotek/FileMaker Server/HTTPServer/htdocs/httpsRoot/index.html
Övrigt om säkerhet
Tillämpa uppdateringar regelbundet
Programuppdateringar för FileMaker-produkter kan innehålla säkerhetsförbättringar. Installera uppdateringar så att ditt FileMaker-program är så säkert som möjligt. Mer information finns i Säkerhetsuppdateringar för FileMaker i FileMaker Knowledge Base.
Använd de senaste operativsystemen som certifierats av FileMaker, Inc.
Använd uppdateringarna för enhetsdrivrutiner och ytterligare programvara som används med ditt FileMaker-program, till exempel ODBC-drivrutiner.
Använd starka lösenord
FileMaker-plattformen använder lösenord för autentisering i flera områden. FileMaker Server och FileMaker Cloud kräver lösenord för administratörskonton. Med FileMaker Pro Advanced kan du definiera kontolösenord och krypteringslösenord. När du skapar ett lösenord analyseras det av FileMaker-programvaran och du informeras om lösenordsstyrkan.
När det gäller kontolösenord kan du använda extern autentisering eller autentisering med OAuth-identitetsleverantör. Med extern autentisering hanterar du lösenord med Active Directory i Windows eller Open Directory i macOS istället för att lagra lösenorden i FileMaker-programvaran. Om du använder autentisering med OAuth-identitetsleverantör hanterar du lösenord med hjälp de OAuth-identitetsleverantörer som stöds, till exempel Amazon eller Google. Mer information finns i Ställa in extern autentisering och Ställa in autentisering via OAuth-identitetsleverantör.
Testa säkerhetsinställningar
När du har gjort klart inställningarna i Säkerhetsfunktioner i FileMaker kan du testa säkerheten för din lösning.
- Ställ in ett testkonto för varje behörighetsuppsättning. Gör dessa konton aktiva för testning och inaktiva för produktion.
- Definiera en kontrollista över funktioner att testa. Gå stegvis igenom kontrollistan med varje testkonto.
- Dokumentera resultaten.
- Upprepa testningen när nya funktioner läggs till.
Utvärdera ständigt säkerhetsimplementeringar så att du kan vara säker på att dina data är skyddade. Verifiera att användarna har de senaste och säkraste versionerna av operativsystemet och FileMaker-programvaran.
Följa regelkraven
Det är ditt ansvar att du fullt ut förstår säkerhetskraven och vidtar lämpliga åtgärder.
Utöver de riktlinjer som beskrivs här kan det finnas ytterligare åtgärder som du behöver vidta, beroende på interna eller reglerande krav (COBIT, HIPAA, ISO, PCI, NIST, FIPS och så vidare).
- Om du behöver kryptera all nätverkstrafik ska du slå på SSL i FileMaker Server och sedan konfigurera SSL för program och externa servrar som kommunicerar med FileMaker Server eller FileMaker Cloud.
- Om du har de lägsta kraven för lösenord ska du använda en extern autentiseringsserver.
- Om du behöver ett granskningsspår kan du bygga ett med tabeller och scripts i FileMaker Pro Advanced. För mer komplexa krav bör du överväga att använda ett köpt plugin-program för granskning.
- Windows: Eftersom FileMaker Server förlitar sig på Windows när det gäller att hantera SSL ska du installera de senaste säkerhetsuppdateringarna för Windows.
Informera användarna
Tillhandahåll dokumentation i en layout i din lösning eller på en webbsida där du förklarar för användarna hur de interagerar med lösningen på ett säkert sätt. Ta med information om konton, lösenord, hur man ansluter säkert till FileMaker Server eller FileMaker Cloud, hur man använder funktioner och scripts samt andra säkerhetsfrågor eller -krav för lösningen.
Fler resurser
Snabbguider för rutinmässiga uppgifter
För att | Gå till |
---|---|
Hantera konton, behörighet, utökad behörighet eller filåtkomst | FileMaker Pro Advanced: Välj Arkiv-menyn > Hantera > Säkerhet. |
Omedelbart hindra någon från att komma åt data | FileMaker Server Admin Console:
FileMaker Cloud Admin Console:
FileMaker Pro Advanced:
Om användaren har åtkomst via en extern autentiseringsgrupp tar du bort användaren från den externa autentiseringsgruppen. Du kan även inaktivera användarens konto i den externa autentiseringsservern. I akutsituationer ska du stänga filen så att inte alla kommer åt den. |
Tvinga en användare att ändra sitt lösenord | FileMaker Pro Advanced:
Obs! Du kan även skriva ett script som tvingar fler än en användare att göra detta. Om användaren har åtkomst via extern autentisering hanterar du lösenordet via din Active Directory- eller Open Directory-server. |
Visa loggfiler | FileMaker Server Admin Console:
FileMaker Cloud Admin Console:
|
Typer av kryptering som används av FileMaker
FileMaker krypterar data på olika sätt beroende på hur de lagras eller skickas. Den här tabellen innehåller de chiffreringstyper som används när FileMaker krypterar data.
Tillval | Chiffreringstyp |
---|---|
Kontolösenord | Envägshash |
Lösenord för Admin Console | Envägshash |
Databaskryptering | AES-256 CBC-läge |
SSL/TLS 1.2
|
Obs! Med SSL är chiffreringssättet beroende av värd- och klientförhandlingen så det kan vara CBC eller GCM (eller andra i framtiden). |
Säker lagring av containerdata (med databaskryptering inaktiverat) | AES-128 CBC-läge |
Säker lagring av containerdata (med databaskryptering aktiverat) | AES-256 CBC-läge |
Portar som används av FileMaker Server och FileMaker Cloud.
Mer information finns i Portar som används av FileMaker Server i FileMaker Knowledge Base.
Portar som används av FileMaker Cloud visas och redigeras i Amazon Web Services Elastic Cloud Compute (EC2) Dashboard. Mer information finns i Managing ports in your security group (på engelska) i FileMaker Cloud Getting Started Guide.