Introdução
É possível estabelecer conexões seguras com o EPM Server através do uso de certificados. Um certificado digital adiciona uma camada extra de segurança na conexão, e sua configuração é um procedimento bastante simples.
Sempre que uma aplicação cliente (como o Interface Server, EPM Studio, EPM Addin for Microsoft Excel, etc.) conecta-se ao EPM Server utilizando essa camada de segurança e criptografia, o certificado da aplicação cliente é enviado ao EPM Server. Por padrão, o EPM Server recebe e então rejeita este certificado, pois ele é classificado como não confiável. O usuário administrador do sistema EPM deve então acessar as configurações do EPM Server e informar explicitamente que o certificado em questão é confiável/Trusted. Após isso, pode-se tentar uma nova conexão da aplicação cliente, e só então a sessão será criada.
Opções de segurança na conexão (Security Mode e Security Policy)
No exemplo, vemos a janela de conexão do EPM Studio; o campo Security apresenta duas opções, Mode e Policy.
A princípio, para que essa opções sejam mostradas é necessário primeiro informar o nome da máquina do EPM Server; em seguida, deve-se clicar o botão . O servidor é responsável por informar as alternativas suportadas; por isso, elas precisam ser solicitadas pelo usuário, informando o nome e clicando no botão citado.
As alternativas para o EPM Server são:
Security | Descrição |
Mode: None | Policy: None | Nenhum tipo de segurança extra será adicionado à mensagem. Apenas um usuário e senha do EPM serão necessários para fazer a autenticação/autorização no servidor. |
Mode: Sign | Policy: Basic256 | Garante a integridade da mensagem através de assinatura digital, ou seja, apesar do conteúdo da mensagem não estar criptografado, os valores que estão na mensagem serão garantidos pela assinatura de que não foram modificados durante o caminho de transmissão da mensagem. |
Mode: SignAndEncrypt | Policy: Basic128Rsa15 | Além de estarem assinados digitalmente garantindo a integridade da mensagem conforme o item anterior, ela também estará criptografada (garantindo a confidencialidade), ou seja, seu conteúdo não pode ser visto. |
A alternativa Mode: None | Policy: None não utiliza certificados na conexão, portanto não necessita de nenhuma outra ação por parte do usuário. Desde que haja um usuário e uma senha válidos, a conexão sempre será aceita pelo EPM Server.
Gerenciamento de certificados no EPM Server
O gerenciamento de certificados do EPM Server é feito pelo menu contextual do EPM Server Manager, na opção Manage Certificates.
Na primeira conexão feita pelo cliente usando certificado, este é apresentado nessa janela de gerenciamento com o valor Untrusted na coluna State. Aqui é onde o administrador do EPM poderá escolher confiar no respectivo certificado, através da seleção do item e depois clicando na opção Trust. Dessa forma, a aplicação cliente passará a ser “confiável” para o EPM Server.
Nessa janela, também é possível deletar os certificados, atualizar a lista para conferir se alguma nova aplicação adicionou seu certificado para aprovação, ou ainda visualizar diversas informações sobre o certificado, como qual máquina solicitou a conexão, que tipo de aplicação etc.
Conexão com certificado pelo EPM Studio
NOTA: Por garantia, apague o arquivo “C:\ProgramData\Elipse Software\EpmStudio\Epm.Studio.Config.xml” e então abra o EPM Studio. Esta operação só precisa ser executada uma vez.
Ao abrir o EPM Studio, o usuário deverá informar o nome da máquina onde o EPM Server está, e em seguida clicar no botão para que as alternativas do campo Security sejam carregadas. Após isso, basta selecionar o tipo de segurança, informar um usuário e senha do Sistema EPM e então estabelecer a conexão.
ERRO!!
Conforme discutido acima, a primeira conexão com certificado será sempre rejeitada, pois ele será entendido pelo EPM Server como Untrusted. O Administrador do sistema aplicar a opção Trust no certificado, e somente assim o login do EPM Studio poderá ser realizado.
Conexão com certificado pelo EPM Interface Server
NOTA: Por garantia, apague o arquivo “C:\ProgramData\Elipse Software\EpmInterfaceServer\Epm.InterfaceServer.Config.xml” e então reinicie o serviço do Interface Server. Esta operação só precisa ser executada uma vez.
Ao executar o EPM Interface Server Configuration Wizard, o usuário deverá informar o nome da máquina onde o EPM Server está e em seguida clicar no botão para que as alternativas do campo Security sejam carregadas. Após isso, basta selecionar o tipo de segurança, informar um usuário e senha do Sistema EPM e então estabelecer a conexão.
Da mesma forma que acontece com o EPM Studio, a primeira conexão com certificado do Interface Server será rejeitada.
Conforme a mensagem, o administrador do sistema EPM precisará escolher a opção Trust no certificado, e somente assim o login do Interface Server poderá ser realizado.