Guía de seguridad de FileMaker 18: prácticas recomendadas para configurar las opciones de seguridad
Información general sobre la seguridad de FileMaker
Acerca de esta guía
En esta guía, se describen las características de seguridad disponibles con la Plataforma FileMaker y los pasos que puede seguir como desarrollador de soluciones, administrador del servidor o profesional de TI para aplicar estas características de seguridad a sus soluciones de FileMaker.
En función de los requisitos de conformidad y certificación de seguridad, es posible que deba realizar pasos adicionales. Es su responsabilidad conocer por completo estos requisitos.
Para obtener las actualizaciones de seguridad de FileMaker más recientes, consulte Actualizaciones de seguridad de FileMaker en la Knowledge Base de FileMaker.
Notas
- FileMaker Cloud es un servicio que proporciona acceso en la nube a las apps personalizadas que utilizan FileMaker Pro Advanced, FileMaker Go y FileMaker WebDirect. FileMaker Cloud utiliza el sistema de inicio de sesión del ID de FileMaker para autenticar a los usuarios. FileMaker Cloud se ofrece directamente desde FileMaker, Inc.
- FileMaker Cloud for AWS es un servicio que proporciona acceso en la nube a las apps personalizadas que utilizan FileMaker Pro Advanced, FileMaker Go y FileMaker WebDirect. FileMaker Cloud for AWS se ejecuta en la nube de Amazon Web Services (AWS) y se ofrece a través de AWS Marketplace.
- Los productos de FileMaker Cloud hacen referencia tanto a FileMaker Cloud como a FileMaker Cloud for AWS.
- Admin Console hace referencia a Admin Console para FileMaker Server, FileMaker Cloud for AWS y FileMaker Cloud, a menos que describa un producto específico. Admin Console de FileMaker Cloud hace referencia a la Admin Console de los dos productos de FileMaker Cloud a menos que describa un producto específico.
- App personalizada, solución, base de datos y archivo hacen referencia a todos los términos utilizados para designar lo que crea y con lo que trabaja mediante los productos de FileMaker.
- Para obtener más información sobre los productos de FileMaker Cloud, consulte la documentación del producto de FileMaker Cloud en el Centro de Documentación del producto.
Características de seguridad de FileMaker
Las características de la Plataforma FileMaker ayudan a controlar el acceso a los datos, las operaciones y el desarrollo incluidos en un archivo de FileMaker Pro Advanced. Entre las funciones clave, se incluyen:
- Autenticación con cuentas: la Plataforma FileMaker cifra las credenciales almacenadas en las soluciones para protegerlas. Los usuarios también pueden autenticarse mediante Active Directory, Open Directory o proveedores de identidad de OAuth. En las soluciones alojadas por FileMaker Cloud, los usuarios se autentican con sus cuentas del ID de FileMaker.
- Control de acceso con conjuntos de privilegios: puede definir permisos que determinen los niveles de acceso a la solución. Puede definir tantos conjuntos de privilegios como necesite.
- Cifrado de datos en el disco y durante la transmisión: puede cifrar los datos almacenados en una solución. También puede requerir el cifrado de datos de Capa de sockets seguros (SSL) entre FileMaker Server o un producto de FileMaker Cloud y FileMaker Pro Advanced, FileMaker Go, FileMaker WebDirect, FileMaker Data API, y ODBC, JDBC, y aplicaciones cliente compatibles con OData. FileMaker Cloud cifra los datos automáticamente si aún no lo están.
- Supervisión y administración del servidor: Admin Console de FileMaker Server permite supervisar el acceso a la solución, desconectar usuarios inactivos y crear copias de seguridad de las soluciones. En las soluciones alojadas por FileMaker Cloud, FileMaker Customer Console permite a los administradores de equipos del ID de FileMaker añadir usuarios al equipo y administrar grupos de usuarios a los que se les puede dar acceso a las soluciones.
La Plataforma FileMaker emplea un modelo de seguridad unificado, en el que la seguridad que se establece para una solución se aplica a todos los clientes.
La configuración de seguridad definida en una solución que utiliza FileMaker Pro Advanced solo es aplicable a la información y el esquema (presentaciones, tablas, campos, relaciones y guiones) almacenados en esa solución.
La configuración de seguridad definida en FileMaker Server y los productos de FileMaker Cloud es específica de la implementación y es aplicable a todas las soluciones alojadas por el servidor.
Requisitos del sistema
Seguridad para los desarrolladores de soluciones
Introducción
Aumente la seguridad de las soluciones que diseñe en FileMaker Pro Advanced mediante funciones para autenticar usuarios, limitar el acceso a la solución, cifrar datos y mejorar la funcionalidad de forma segura.
Autenticar usuarios
Acerca de la autenticación
En las soluciones de FileMaker Pro Advanced, es necesario que los usuarios se autentiquen con una combinación de nombre de usuario y contraseña. A cada entrada de acceso a la cuenta que cree en FileMaker Pro Advanced se le concederán privilegios de acceso según el conjunto de privilegios asociado. Consulte Definir privilegios de acceso.
Cree una entrada exclusiva de acceso a la cuenta para cada usuario o grupo. Esto le permite realizar un seguimiento del usuario que crea o modifica registros individuales, o lleva a cabo otras acciones en la solución. Supervise esta información mediante la configuración de los campos de introducción automática o la función Get( AccountName ) en los cálculos y los guiones. Consulte Utilizar funciones, guiones y activadores de guiones para mejorar la seguridad.
Las soluciones de FileMaker pueden autenticar cuentas de forma interna, con un servidor de autenticación externo, con un proveedor de identidad de OAuth o, en el caso de un anfitrión de FileMaker Cloud, con el proveedor de identidad del ID de FileMaker.
- Con la autenticación interna, los nombres de cuenta y las contraseñas se almacenan dentro de la solución. Toda la seguridad de una solución se configura en FileMaker Pro Advanced sin el software de servidor, por lo que se trata de la opción más rápida y sencilla para administrar cuentas. A esto se le denomina cuenta de archivo de FileMaker, que es compatible con todos los anfitriones, excepto FileMaker Cloud. Consulte Editar cuentas de archivo de FileMaker en la Ayuda de FileMaker Pro Advanced.
- Con la autenticación externa (a través de Open Directory o Active Directory) o con la autenticación del proveedor de identidad de OAuth, FileMaker Pro Advanced almacena solo los nombres de usuarios y grupos. Los clientes de FileMaker interactúan con un servidor externo o un proveedor de identidad de OAuth para autenticar las credenciales de la cuenta de un usuario. La solución debe alojarse mediante FileMaker Server o FileMaker Cloud for AWS, y el anfitrión debe configurarse para que permita la autenticación externa o proveedores de identidad de OAuth individuales. Consulte Configurar la autenticación externa y Configurar la autenticación mediante el proveedor de identidad de OAuth.
-
Con la autenticación mediante el ID de FileMaker, FileMaker Pro Advanced almacena un nombre y un Identificador universalmente exclusivo (UUID) para cada usuario o grupo del ID de FileMaker para el que se crea una entrada de acceso a la cuenta. Al cambiar los nombres de usuario (direcciones de correo electrónico) o los nombres de grupo del ID de FileMaker, no será necesario que los desarrolladores de soluciones realicen cambios en los archivos de FileMaker Pro Advanced porque se utilizan internamente UUID para identificar usuarios y grupos.
Los clientes de FileMaker interactúan con el proveedor de identidad del ID de FileMaker para autenticar las credenciales de las cuentas de los usuarios. La solución debe alojarse mediante FileMaker Cloud. En FileMaker Customer Console, un administrador de equipos del ID de FileMaker debe añadir usuarios al equipo al que está asociado el anfitrión. Un administrador de equipos puede crear también grupos de usuarios, por lo que un desarrollador de soluciones podrá otorgar acceso a la cuenta a grupos de FileMaker Pro Advanced sin necesidad de actualizar la solución a medida que se añadan o eliminen usuarios. Consulte Configurar la autenticación mediante el ID de FileMaker.
Acerca de las cuentas predeterminadas
Cada solución contiene inicialmente dos cuentas de FileMaker: una cuenta Admin y una de invitado.
-
La cuenta Admin permite el acceso a todos los aspectos de la solución. De forma predeterminada, a esta cuenta se le asigna el conjunto de privilegios Acceso total. Esta cuenta se puede editar por completo. Puede cambiarle el nombre, asignarle una contraseña o desactivarla. Puede eliminar la cuenta Admin, pero el archivo requerirá al menos una cuenta con el conjunto de privilegios Acceso total a menos que elimine por completo ese conjunto de privilegios.
Por defecto, la cuenta Admin no tiene contraseña. Asigne una contraseña cuando comience a trabajar por primera vez con FileMaker Pro Advanced. Consulte Asignar una contraseña a la cuenta Admin.
-
La cuenta de invitado permite a los usuarios acceder a un archivo sin proporcionar ninguna información. De forma predeterminada, a esta cuenta se le asigna el conjunto de privilegios Acceso de solo lectura, pero se le puede asignar cualquier privilegio.
La cuenta de invitado está inicialmente inactiva. No puede eliminar la cuenta de Invitado, cambiar su nombre ni asignarle una contraseña.
Asignar una contraseña a la cuenta Admin
Al crear una nueva solución, FileMaker Pro Advanced crea una cuenta Admin con el conjunto de privilegios Acceso total. La cuenta Admin no tiene contraseña.
Asegúrese de asignar una contraseña a esta cuenta para evitar el acceso no autorizado a los datos y al esquema de base de datos.
Consulte Editar cuentas de archivo de FileMaker en la Ayuda de FileMaker Pro Advanced y Utilizar contraseñas seguras.
No active la cuenta de invitado
No active la cuenta de invitado a menos que sea necesario para la solución. Si activa la cuenta de invitado, es posible alcanzar rápidamente la cantidad máxima de conexiones si muchos usuarios inician sesión en la cuenta de invitado en un corto periodo de tiempo.
Consulte Editar cuentas de archivo de FileMaker en la Ayuda de FileMaker Pro Advanced.
Crear un acceso a la cuenta
Al crear una entrada de acceso a la cuenta en el cuadro de diálogo Gestionar seguridad en FileMaker Pro Advanced, debe seleccionar primero el tipo de cuenta y, a continuación, especificar la configuración.
-
Archivo FileMaker: especifique un nombre de cuenta, una contraseña y un conjunto de privilegios. Se admite en archivos locales y en archivos alojados por FileMaker Cloud for AWS o FileMaker Server, pero no por FileMaker Cloud.
Puede especificar una contraseña temporal y solicitar al usuario que la cambie. En el cuadro de diálogo Editar cuenta, seleccione Solicitar cambio de contraseña en el próximo inicio de sesión.
Las contraseñas se almacenan mediante un hash unidireccional, lo que implica que la contraseña nunca se almacena como texto. Puede restablecer una contraseña, pero no se puede recuperar.
- Servidor externo: especifique un nombre de grupo y un conjunto de privilegios. Solo se admite en los archivos alojados por FileMaker Server. Consulte Configurar la autenticación externa.
- Proveedor de identidad de OAuth: especifique un nombre de usuario o un ID de objeto de grupo, y un conjunto de privilegios. Solo se admite en los archivos alojados por FileMaker Server o FileMaker Cloud for AWS. Consulte Configurar la autenticación mediante un proveedor de identidad de OAuth.
- ID de FileMaker: para un equipo, especifique un grupo o un nombre de usuario del ID de FileMaker, y un conjunto de privilegios. Solo se admite en los archivos alojados por FileMaker Cloud. Consulte Configurar la autenticación mediante el ID de FileMaker.
Consulte Crear y editar el acceso a la cuenta en la Ayuda FileMaker Pro Advanced y Utilizar contraseñas seguras.
Solicitar a los usuarios una contraseña
Las nuevas soluciones no solicitan nombres de cuenta o contraseñas, ya que se inician sesión automáticamente de forma predeterminada con la cuenta Admin. Para solicitar a los usuarios que introduzcan nombres de cuenta y contraseñas para las cuentas de servidor externo y de archivo de FileMaker, desactive la opciónIniciar sesión con del cuadro de diálogo Opciones de FileMaker Pro Advanced. Esta opción se omite en las siguientes situaciones:
- Las soluciones se han alojado mediante un producto de FileMaker Cloud.
- Las soluciones se han alojado mediante FileMaker Server en la carpeta de base de datos segura.
- Las soluciones se han autenticado mediante un proveedor de identidad de OAuth o el ID de FileMaker.
De forma predeterminada, las soluciones no permiten que el Administrador de credenciales (Windows) y el Acceso a llaveros (macOS y iOS) guarden nombres de cuenta y contraseñas de las cuentas de servidor externo y de archivo de FileMaker. Al impedir el uso del Administrador de credenciales y el Acceso a llaveros, los clientes de FileMaker solicitan a los usuarios que introduzcan nombres de cuenta y contraseñas cada vez que abran la solución. Esta opción se omite para los demás tipos de cuentas.
Si permite el uso del Acceso a llaveros, puede solicitar a los usuarios de FileMaker Go que se autentiquen con iOS antes de que FileMaker Go pueda acceder a su llavero.
Consulte Establecer opciones de archivo en la Ayuda de FileMaker Pro Advanced y Utilizar contraseñas seguras.
Configurar la autenticación externa
Si aloja archivos con FileMaker Server, puede crear entradas de acceso a la cuenta de servidor externo en los archivos que autentican a los usuarios a través de Open Directory o Active Directory. A continuación, puede utilizar el servidor de autenticación existente para controlar el acceso a las bases de datos en lugar de administrar una lista de cuentas independiente en cada archivo de base de datos.
También puede utilizar cuentas y grupos de seguridad locales en el equipo del servidor que aloja FileMaker Server. Consulte la Ayuda del sistema operativo.
Utilice la autenticación externa si:
- La organización ya utiliza Open Directory o Active Directory.
- Otros archivos accederán al archivo de FileMaker Pro Advanced en una solución de múltiples archivos.
- La organización aplica unas normas de contraseña mínimas. Los clientes de FileMaker pueden forzar el cumplimiento de normas básicas de las cuentas de archivo de FileMaker, como la longitud de contraseña y la frecuencia de cambio de contraseña. La autenticación externa ofrece un control de contraseña más seguro, como la aplicación de requisitos de complejidad de contraseña.
Si aloja archivos mediante la instancia de FileMaker Server instalada en Windows Server y utiliza Active Directory para la autenticación externa, los usuarios de Windows pueden utilizar el inicio de sesión único con FileMaker Pro Advanced.
Al utilizar la autenticación externa, existe el riesgo de que alguien obtenga acceso al archivo mediante la simulación del entorno de autenticación externo o una gestión incorrecta de los grupos. Es su responsabilidad evitar que se produzca esta situación. Para ello, proteja el servidor de autenticación externo. Active el cifrado de base de datos para los archivos de la solución a fin de reducir el riesgo. Para realizar el cifrado de la base de datos, es necesario que los usuarios proporcionen la contraseña de cifrado a fin de poder alojar el archivo en FileMaker Server. Consulte Cifrado de datos.
Configure el acceso a la cuenta de servidor externo en el archivo mediante FileMaker Pro Advanced, aloje el archivo mediante FileMaker Server y, a continuación, configúrelo para la autenticación externa. Consulte Editar el acceso a la cuenta de servidor externo en la Ayuda de FileMaker Pro Advanced, Activar la autenticación externa y Configuración de los clientes FileMaker Pro Advanced y FileMaker Server para que utilicen la autenticación externa mediante el protocolo LDAP en la Knowledge Base de FileMaker.
Información importante al utilizar la autenticación externa
- Debe utilizar el servidor de autenticación externo para restablecer las contraseñas.
- Establezca las entradas del acceso a la cuenta en el orden en que desee que los clientes de FileMaker las autentiquen. Cuando una cuenta de archivo de FileMaker y una cuenta de servidor externo se autentican con el mismo nombre de cuenta y contraseña, o cuando varios grupos contienen la misma cuenta de servidor externo, los clientes de FileMaker abren el archivo mediante la primera entrada activa de acceso a la cuenta coincidente en el orden de prioridad (autenticación). Se omitirán todas las entradas de acceso a la cuenta coincidentes posteriores. Consulte Cambiar la prioridad del acceso a la cuenta en la Ayuda de FileMaker Pro Advanced.
- El acceso a la cuenta de servidor externo no debe ser el único tipo de acceso a la cuenta con el conjunto de privilegios Acceso total. Conserve una cuenta de archivo de FileMaker para la administración en caso de que el archivo deba eliminarse de FileMaker Server. Si no hay ninguna cuenta de archivo de FileMaker, los clientes de FileMaker pueden abrir el archivo solo si se ha alojado y el servidor de autenticación externo está disponible.
Configurar la autenticación mediante un proveedor de identidad de OAuth
Si aloja archivos mediante FileMaker Server o FileMaker Cloud for AWS, puede crear entradas de acceso a la cuenta en los archivos que autentiquen usuarios a través de proveedores de identidad de OAuth compatibles. Esto le permite controlar el acceso a las soluciones a través de proveedores de identidad de terceros. En lugar de administrar una lista independiente de cuentas en cada archivo, puede utilizar el proveedor de identidad de OAuth para controlar el acceso a las soluciones. Un proveedor de identidad de OAuth puede proporcionar también medidas de seguridad adicionales, como la autenticación multifactor, que requiere más de un método de autenticación.
Si desea realizar la autenticación mediante proveedores de identidad de OAuth, utilice FileMaker Pro Advanced para configurar entradas de acceso a la cuenta en la solución. A continuación, aloje la solución mediante FileMaker Server o FileMaker Cloud for AWS, y configure el anfitrión para autenticarse con los proveedores de identidad de OAuth. Consulte Editar el acceso a la cuenta de OAuth en la Ayuda de FileMaker Pro Advanced y Activar la autenticación mediante el proveedor de identidad de OAuth.
Información importante al utilizar proveedores de identidad de OAuth
- Debe utilizar el proveedor de identidad de OAuth para restablecer las contraseñas.
- Establezca las entradas del acceso a la cuenta en el orden en que desee que los clientes de FileMaker las autentiquen. Cuando una cuenta de proveedor de identidad de OAuth se encuentra en varios grupos que tienen acceso a la cuenta o un usuario de la cuenta de OAuth tiene acceso a la cuenta como usuario individual y como miembro de un grupo, los clientes de FileMaker abren el archivo mediante la primera entrada activa de acceso a la cuenta coincidente en el orden de prioridad (autenticación). Se omitirán todas las entradas de acceso a la cuenta coincidentes posteriores. Consulte Cambiar la prioridad del acceso a la cuenta en la Ayuda de FileMaker Pro Advanced.
- El acceso a la cuenta de OAuth no debe ser el único tipo de acceso a la cuenta con el conjunto de privilegios Acceso total. Conserve una cuenta de archivo de FileMaker para la administración en caso de que el archivo deba eliminarse del anfitrión. Si no hay ninguna cuenta de archivo de FileMaker, los clientes de FileMaker solo pueden abrir el archivo si se ha alojado y el proveedor de identidad de OAuth está disponible.
Configurar la autenticación mediante el ID de FileMaker
En los archivos alojados por FileMaker Cloud, debe crear entradas de acceso a la cuenta que autentiquen a los usuarios a través del proveedor de identidad del ID de FileMaker. Los administradores de equipos del ID de FileMaker controlan el acceso a los archivos alojados a través de FileMaker Customer Console. En esa ubicación, pueden añadir usuarios al equipo y administrar grupos de usuarios en lugar de administrar una lista independiente de cuentas del ID de FileMaker para usuarios individuales en cada archivo de base de datos. El proveedor de identidad del ID de FileMaker admite también el acceso a medidas de seguridad adicionales, como la autenticación multifactor, que requiere más de un método de autenticación.
Si desea realizar la autenticación mediante el proveedor de identidad del ID de FileMaker, utilice FileMaker Pro Advanced para configurar entradas de acceso a la cuenta en la solución. A continuación, aloje la solución mediante FileMaker Cloud. No es necesario realizar ninguna configuración en la Admin Console de FileMaker Cloud. Consulte Editar el acceso a la cuenta del ID de FileMaker en la Ayuda de FileMaker Pro Advanced y Activar la autenticación mediante el ID de FileMaker para grupos y usuarios.
Información importante al utilizar el proveedor de identidad del ID de FileMaker
- Los usuarios del ID de FileMaker pueden restablecer la contraseña en la página de perfil de FileMaker Customer Console.
- Establezca las entradas del acceso a la cuenta en el orden en que desee que los clientes de FileMaker las autentiquen. Cuando un usuario del ID de FileMaker se encuentra en varios grupos que tienen acceso a la cuenta o un usuario del ID de FileMaker tiene acceso a la cuenta como usuario individual y como miembro de un grupo, los clientes de FileMaker abren el archivo mediante la primera entrada activa de acceso a la cuenta coincidente en el orden de prioridad (autenticación). Se omitirán todas las entradas de acceso a la cuenta coincidentes posteriores. Consulte Cambiar la prioridad del acceso a la cuenta en la Ayuda de FileMaker Pro Advanced.
- Debe crear al menos una entrada de acceso a la cuenta del ID de FileMaker con el conjunto de privilegios Acceso total para disponer de privilegios de Acceso total mientras el archivo esté alojado por FileMaker Cloud. Un anfitrión de FileMaker Cloud no admite ningún otro tipo de cuenta. Además, conserve una cuenta de archivo de FileMaker con el conjunto de privilegios Acceso total en caso de que el archivo deba eliminarse del anfitrión y abrirse localmente. Si no hay ninguna cuenta de archivo de FileMaker, los clientes de FileMaker solo pueden abrir el archivo si se ha alojado mediante FileMaker Cloud.
Realizar la autenticación en soluciones de archivos múltiples.
Los archivos de FileMaker Pro Advanced pueden acceder entre ellos en una solución de varios archivos. Esto puede ser útil, por ejemplo, si tiene un archivo de información de contacto de empleados al que se accede de forma centralizada y que utilizan múltiples soluciones internas.
Al abrir un archivo de terceros (por ejemplo, para ver datos externos o ejecutar un guión en un archivo externo), los clientes de FileMaker transfieren al segundo archivo las credenciales que el usuario especificó al iniciar sesión en el primer archivo. Si el acceso a la cuenta del usuario es el mismo, los clientes de FileMaker inician automáticamente la sesión del usuario en el segundo archivo. Si no hay ninguna entrada de acceso a la cuenta correspondiente, el usuario debe iniciar sesión en el segundo archivo.
Si crea manualmente las mismas cuentas de archivo de FileMaker en varios archivos, es posible que cometa errores en la introducción de datos. Para reducir el número de errores, utilice la autenticación externa, la autenticación mediante el proveedor de identidad de OAuth o (si los archivos se han alojado mediante FileMaker Cloud) la autenticación mediante el ID de FileMaker. Consulte Configurar la autenticación externa, Configurar la autenticación mediante un proveedor de identidad de OAuth o Configurar la autenticación mediante el ID de FileMaker.
Revise las entradas de acceso a la cuenta y los conjuntos de privilegios de cada archivo de una solución de varios archivos. Si los conjuntos de privilegios no coinciden entre los archivos o una cuenta dispone de privilegios adicionales en un archivo, los usuarios podrían obtener acceso a los datos a los que normalmente no pueden acceder. Consulte Definir privilegios de acceso.
Además, asegúrese de que los usuarios no puedan hacer referencias a archivos en una solución sin la ayuda del diseñador de la solución. De lo contrario, podrían obtener acceso a los datos restringidos. Consulte Restringir las referencias a una solución.
Definir privilegios de acceso
Acerca de los conjuntos de privilegios
Los conjuntos de privilegios conceden acceso a las características que un usuario puede ver y las tareas que puede realizar. Permiten controlar el acceso a los datos y el esquema. Puede utilizar un conjunto de privilegios con varias entradas de acceso a la cuenta.
Todas las soluciones de FileMaker Pro Advanced nuevas contienen tres conjuntos de privilegios predefinidos:
- Acceso total: permite el acceso completo al archivo, incluidas todas las funciones de desarrollo.
- Solo entrada de datos: permite la creación, la edición y la eliminación de registros, además de la importación y la exportación de datos. No permite el acceso a ninguna función de desarrollo.
- Acceso de solo lectura: permite visualizar y exportar datos de registros. No permite modificar el archivo, a excepción de los valores de los campos globales.
Puede crear nuevos conjuntos de privilegios que satisfagan sus necesidades específicas. Por lo general, creará un conjunto de privilegios para cada función exclusiva en la organización. Un conjunto de privilegios se compone de las siguientes opciones de acceso:
- Privilegios de acceso a datos y diseño: ofrece acceso a una amplia gama de controles de seguridad, incluidos registros, presentaciones, listas de valores y guiones.
- Privilegios ampliados: determinan el modo en que los usuarios acceden a un archivo alojado.
- Otros privilegios: permiten la impresión, la exportación, la capacidad limitada de gestionar la seguridad y algunas funciones adicionales.
Todos los clientes y las herramientas que acceden a las soluciones de FileMaker Pro Advanced respetan los conjuntos de privilegios de los usuarios. Por ejemplo, si a un usuario se le asigna un conjunto de privilegios que no permite el acceso a un campo, este no podrá acceder al campo mediante las aplicaciones FileMaker Pro Advanced, FileMaker Go, FileMaker WebDirect, Publicación en la Web personalizada, FileMaker Data API, aplicaciones ODBC y JDBC, aplicaciones cliente de OData, herramientas externas, como AppleScript o ActiveX, u otros medios.
Crear conjuntos de privilegios
Para crear un conjunto de privilegios, asigne un nombre a los privilegios que desea que los usuarios tengan para la solución y configúrelos.
La mayoría de los privilegios están desactivados de forma predeterminada. Esto limita los privilegios de un usuario a solo aquellos necesarios para desempeñar su función.
Consulte Crear y gestionar conjuntos de privilegios en la Ayuda de FileMaker Pro Advanced.
Definir los privilegios de acceso a datos y diseño
Los privilegios de acceso a datos y diseño conceden acceso a diferentes partes de un archivo y se aplican a todas las tablas, las presentaciones, las listas de valores y los guiones.
También puede diseñar privilegios personalizados para restringir de forma adicional los privilegios de acceso.
- Diseñe privilegios personalizados para los registros a fin de controlar el acceso de los usuarios a tablas o registros individuales. Por ejemplo, puede tener un sistema de CRM en el que los jefes de ventas puedan ver todos los registros, pero los representantes de ventas individuales solo puedan ver los registros de los clientes existentes y potenciales.
- Diseñe privilegios personalizados para las presentaciones a fin de controlar si los usuarios pueden ver o modificar una presentación y cómo pueden visualizar o modificar registros cuando trabajen con esa presentación. La Plataforma FileMaker utiliza siempre la combinación más segura de reglas de acceso. Por ejemplo, un usuario que normalmente puede editar registros no podrá editar registros en una presentación que no permita esos privilegios.
- Diseñe privilegios personalizados para controlar si los usuarios pueden ver, ejecutar, modificar, eliminar o crear listas de valores y guiones individuales.
Consulte Editar privilegios de acceso a registros, Editar privilegios de presentaciones, Editar privilegios de listas de valores y Editar privilegios de guiones en la Ayuda de FileMaker Pro Advanced.
Definir privilegios ampliados
Los privilegios ampliados determinan el modo en que los usuarios acceden a un archivo alojado. Una vez que se activan los privilegios ampliados para un conjunto de privilegios, cualquier cuenta asociada a ese conjunto de privilegios puede acceder al archivo de acuerdo con lo que permita el privilegio ampliado. Por ejemplo:
- El privilegio ampliado fmapp controla si FileMaker Pro Advanced y FileMaker Go pueden acceder al archivo.
- El privilegio ampliado fmwebdirect controla si un navegador Web puede acceder al archivo a través de FileMaker WebDirect.
- El privilegio ampliado fmreauthenticate[x] controla el tiempo que transcurre después de que FileMaker Go pase al modo de reposo o entre en segundo plano antes de que el usuario deba iniciar sesión para acceder de nuevo al archivo.
Importante:si los usuarios utilizan FileMaker Go, especifique el privilegio ampliado fmreauthenticate[x].
Cuando FileMaker Go pasa a segundo plano, guarda el estado de cualquier solución abierta.
Con el privilegio ampliado fmreauthenticate[x], si FileMaker Go pasa al primer plano, los usuarios deben volver a introducir el nombre de cuenta y la contraseña si ha transcurrido el límite de tiempo especificado, [x] minutos. Por ejemplo, el privilegio ampliado fmreauthenticate10 permite al usuario mantener FileMaker Go en segundo plano durante un máximo de 10 minutos antes de que el usuario deba iniciar sesión de nuevo. Puede crear tantos privilegios ampliados con diferentes periodos necesite y asignarlos a diferentes conjuntos de privilegios. Los usuarios pueden intentar introducir su nombre de usuario y contraseña cinco veces antes de que FileMaker Go cierre el archivo. Establezca [x] en 0 para solicitar que los usuarios inicien sesión cada vez que FileMaker Go regrese al primer plano.
El privilegio ampliado fmreauthenticate[x] también vuelve a conectar el cliente FileMaker Pro Advanced o FileMaker Go a un anfitrión de FileMaker después de una interrupción de red. Si el cliente permanece desconectado del anfitrión durante más de x minutos, el cliente debe autenticarse de nuevo.
Puede crear privilegios ampliados personalizados para simplificar los guiones o gestionar las reglas empresariales que debe aplicar. Por ejemplo, cree privilegios ampliados personalizados para permitir que los usuarios ejecuten determinados informes.
Consulte Editar privilegios ampliados para un conjunto de privilegios en la Ayuda de FileMaker Pro Advanced.
Definir otros privilegios
Otros privilegios especifican si el conjunto de privilegios permite a los usuarios:
- Imprimir: permite tanto imprimir registros como guardarlos como PDF.
-
Exportar: permite exportar registros, guardar registros como un archivo de Excel, copiar registros de un conjunto encontrado en el Portapapeles, guardar una copia del archivo, acceder a datos con Eventos de Apple y usar el archivo como origen de una importación
Nota: este privilegio no afecta al acceso a los datos con ActiveX.
- Gestionar privilegios ampliados.
- Gestionar cuentas que no tengan privilegios de Acceso total.
- Ignorar advertencias de validación de datos.
- Desconectar usuarios de una solución alojada cuando hay un cliente inactivo.
- Modificar sus contraseñas.
- Acceder a los comandos de menú (todos, solo edición o mínimo).
Consulte Editar otros privilegios en la Ayuda de FileMaker Pro Advanced, Conceder a los usuarios de confianza capacidad limitada para administrar la seguridad y Desconectar usuarios inactivos.
Eliminar el conjunto de privilegios Acceso total
Para garantizar que los usuarios no puedan obtener acceso a partes de la solución y el esquema a las que solo tendrían acceso normalmente, utilice FileMaker Pro Advanced a fin de eliminar permanentemente el conjunto de privilegios Acceso total de la solución.
Importante:al eliminar de forma permanente el conjunto de privilegios Acceso total, también se suprimen de la solución todas las cuentas que utilizaban este conjunto de privilegios. Esta acción suprime de forma permanente el acceso al modo Presentación y al Espacio de trabajo de guiones. También se suprimirá el acceso al cuadro de diálogo Gestionar seguridad, a menos que tenga otras cuentas con el privilegio Gestionar privilegios ampliados o Gestionar cuentas que no tengan Acceso total activado. Esto incluye todos los archivos de base de datos de la solución, independientemente de si se han abierto en una aplicación en tiempo de ejecución o FileMaker Pro Advanced. Los elementos de diseño y esquema de los archivos no se pueden recuperar. La única forma de modificar las tablas, las definiciones de campos, las relaciones, los guiones o todos los privilegios de acceso es regresar al archivo original antes de eliminar el conjunto de privilegios Acceso total.
Consulte Eliminar acceso del administrador a las bases de datos en la Ayuda de FileMaker Pro Advanced.
Cifrado de datos
Cifrado de una solución
Utilice FileMaker Pro Advanced para cifrar toda la información almacenada en un archivo (este método también recibe el nombre de Cifrado en reposo). El cifrado de la base de datos protege la solución si alguien obtiene acceso físico al archivo.
El cifrado de la base de datos requiere una cuenta de archivo de FileMaker con privilegios de Acceso total a cualquier archivo que deba cifrarse, una contraseña de cifrado y un ID compartido. Los usuarios deben introducir la contraseña de cifrado cada vez que FileMaker Pro Advanced o FileMaker Go abran un archivo local o cuando FileMaker Server o el producto de FileMaker Cloud abran un archivo antes de alojarlo. El ID compartido vincula múltiples archivos cifrados. Si un archivo cifrado intenta acceder a otro archivo cifrado, no se le volverá a solicitar al usuario la contraseña de cifrado si las contraseñas de cifrado y los ID compartidos coinciden.
Consulte Cifrar archivos de base de datos en la Ayuda de FileMaker Pro Advanced y Utilizar contraseñas seguras.
Al abrir un archivo cifrado en FileMaker Server o un producto de FileMaker Cloud, puede guardar la contraseña para abrir automáticamente los archivos cifrados cuando se reinicie el servidor. FileMaker emplea un cifrado bidireccional AES-256 que utiliza una clave compuesta basada en la información del equipo para cifrar la contraseña y almacenarla de forma segura en el servidor.
Consulte Abrir archivos alojados y Borrar la contraseña de cifrado de la base de datos en la Ayuda de FileMaker Server, y el cifrado y la subida de archivos de base de datos en la documentación del producto de FileMaker Cloud.
Si un archivo no está cifrado, FileMaker Cloud lo cifra automáticamente. Para que se muestre la contraseña de cifrado de una base de datos, haga clic en la pestaña Bases de datos. Haga clic en la flecha hacia abajo a la derecha del nombre de la base de datos y, a continuación, haga clic en Mostrar contraseña de cifrado. Consulte la documentación del producto de FileMaker Cloud.
Importante:después de descargar un archivo de FileMaker Cloud, este permanece cifrado en el equipo local, por lo que debe disponer de la contraseña de cifrado para abrirlo. En la Admin Console de FileMaker Cloud, visualice la contraseña de cifrado y guárdela en un lugar seguro.
Cifrar datos de campos
La Plataforma FileMaker proporciona estas funciones para cifrar y descifrar datos mediante la clave especificada:
- CryptEncryptBase64: acepta texto o datos del contenedor y devuelve texto cifrado, codificado en Base64.
- CryptDecryptBase64: acepta el texto codificado en Base64 cifrado por CryptEncryptBase64 y devuelve los datos descifrados con el mismo tipo (texto o datos del contenedor) con los que se cifraron.
Si necesita tener más control sobre cómo se codifican los datos cifrados y se les aplica un formato, puede utilizar las funciones CryptEncrypt y CryptDecrypt.
Estas funciones utilizan el algoritmo PBKDF2 para convertir la clave especificada en una clave criptográfica antes de cifrar o descifrar los datos. Esta clave cifra los datos mediante el algoritmo de cifrado autenticado AES-GCM en el nivel de 128 bits. El resultado incluye un resumen de datos SHA256 cifrado, que valida los datos durante el descifrado.
Importante:estas funciones no tienen conexión directa con el esquema de seguridad de un archivo de FileMaker Pro Advanced (cuentas, conjuntos de privilegios y privilegios ampliados). Por lo tanto, la seguridad de los datos dependerá de la forma en que utilice estas funciones en la solución.
Como desarrollador, tenga en cuenta cómo gestionar las claves de forma segura:
- Creación: entre las prácticas recomendadas para la creación (o la generación) de claves, se incluyen al menos estos elementos, longitud de clave, complejidad y entropía.
- Almacenamiento: almacene las claves de forma segura y separadas de los datos que cifran.
- Conservación: las claves deben estar disponibles el mismo tiempo que los datos cifrados. Por ejemplo, no se podrán utilizar las copias de seguridad si las claves no están disponibles.
- Destrucción: en función de cómo utilice estas funciones, si se destruye una clave, los datos que esta ha cifrado también se destruirán, ya que los datos no se pueden descifrar sin la clave.
Una aplicación de estas funciones es proteger la confidencialidad de los datos en un campo (lo que se conoce también como cifrado de nivel de campo). Sin embargo, este nivel de cifrado no reemplaza al Cifrado en reposo, que protege todo el archivo (incluidas las copias de seguridad) frente a manipulaciones. Consulte Cifrar una solución.
Tenga en cuenta también lo siguiente:
- El intento de descifrar los datos que ya están descifrados puede destruir los datos. En su lugar, utilice un indicador independiente para señalar si los datos están cifrados y descifre los datos solo cuando sea necesario.
- Si el contenido de un campo se cifra, se descifra y, a continuación, se vuelve a cifrar, los valores cifrados serán diferentes cada vez.
- Si la seguridad de la clave se ve comprometida, debe poder localizar todos los registros con datos cifrados para que se puedan descifrar con la clave comprometida y volver a cifrarse con una nueva.
Cifrar datos de contenedor
Si se ha activado el cifrado de la base de datos para una solución o si los datos del contenedor se han configurado para almacenarse externamente, todos los datos del contenedor se cifran de forma predeterminada (almacenamiento seguro). Si no desea cifrar los datos del contenedor al cifrar los archivos de base de datos o almacenar los datos del contenedor de forma externa, puede conservar los datos del contenedor en un almacenamiento abierto. (Sin embargo, no puede realizar esta acción con los archivos alojados en FileMaker Cloud, que requieren que los datos de los contenedores almacenados externamente estén cifrados). Consulte Cifrar archivos de base de datos y Configurar campos contenedor para que almacenen datos de forma externa en la Ayuda de FileMaker Pro Advanced.
Notas:
- En los archivos alojados por FileMaker Cloud, no se pueden transferir datos con almacenamiento seguro a datos del contenedor incrustados. FileMaker Cloud utiliza el Almacenamiento de datos de FileMaker para los datos de contenedor que se han configurado para almacenarse externamente.
Firmar datos digitalmente
Si la solución utiliza API REST para servicios Web que requieren que genere datos firmados digitalmente o que verifique datos firmados mediante claves RSA, utilice las funciones CryptGenerateSignature y CryptVerifySignature.
Limitar el acceso a la solución a través de presentaciones
Diseñe presentaciones que limiten la visualización de los datos y el acceso de los usuarios a las características de acuerdo con sus necesidades y conjuntos de privilegios. Además, considere la posibilidad de ocultar la barra de herramientas de estado y proporcionar en su lugar botones que permitan realizar las tareas permitidas.
Si la solución se va a utilizar con FileMaker WebDirect o FileMaker Go, diseñe presentaciones para utilizarlas de forma específica con estos clientes. Consulte la Guía de FileMaker WebDirect y la Guía de desarrollo de FileMaker Go.
Nota:limitar el acceso a los datos y las características de la solución en una presentación no impide que los usuarios accedan a los datos con pasos de guión, funciones, AppleScript o por otros medios. Defina conjuntos de privilegios para restringir el acceso de los usuarios a los datos y las características en todos los clientes. Consulte Definir privilegios de acceso.
Conceder a los usuarios de confianza la capacidad de gestionar la seguridad
Si desarrolla una solución, pero no desea administrar las tareas diarias de conceder y eliminar el acceso a la cuenta, puede otorgar a los usuarios de confianza una capacidad limitada para gestionar la seguridad sin necesidad de concederles privilegios de Acceso total. Esta acción permite reducir la carga de tareas diarias, al mismo tiempo que se protege la propiedad intelectual y se impide que otros usuarios realicen cambios que podrían dañar la solución.
Estos privilegios otorgan una capacidad limitada para realizar cambios de seguridad en FileMaker Pro Advanced:
| Privilegio | Los usuarios pueden | Los usuarios no pueden |
|---|---|---|
| Gestione cuentas que no tengan Acceso total |
|
|
| Gestionar privilegios ampliados |
|
|
Para conceder privilegios limitados de entradas de acceso a la cuenta a fin de gestionar la seguridad:
- Cree un conjunto de privilegios.
- En el cuadro de diálogo Editar conjunto de privilegios, habilite uno de estos privilegios o ambos.
-
Establezca la opción Menús disponibles en Todo.
Esa acción permite al usuario acceder al menú Archivo > Gestionar > Seguridad.
- Asigne este conjunto de privilegios a una entrada de acceso a la cuenta.
Consulte Crear y editar conjuntos de privilegios y Crear y editar el acceso a la cuenta en la Ayuda de FileMaker Pro Advanced.
Utilizar funciones, guiones y activadores de guiones para mejorar la seguridad.
Utilice las funciones, los guiones y los activadores de guiones de FileMaker para mejorar la seguridad de tareas habituales, como la eliminación, la revisión y el mantenimiento de registros. Por ejemplo, utilice guiones para:
- Añadir o eliminar cuentas, restablecer contraseñas de cuentas, cambiar contraseñas, y activar o desactivar cuentas (solo para las cuentas de archivo de FileMaker).
- Iniciar sesión de nuevo como un usuario diferente (solo para las cuentas de archivo de FileMaker, la cuenta de invitado y las cuentas de servidor externo).
- Archivar registros cuando no desea que un usuario elimine registros.
- Proporcionar información sobre la sesión actual del usuario y el estado para el cumplimiento normativo y la auditoría.
- Proporcionar mensajes personalizados cuando las limitaciones de seguridad afecten al usuario.
Importante:no utilice funciones, guiones o activadores de guiones para sustituir las características de seguridad de FileMaker.
Notas
- De forma predeterminada, los guiones se ejecutan mediante el conjunto de privilegios de la cuenta con la que se ha iniciado sesión. Esto puede provocar problemas si el guión intenta realizar una acción para la que el usuario no tiene privilegios. Pruebe todos los guiones en todos los conjuntos de privilegios para proteger la integridad de los datos.
- Al utilizar pasos de guión para comunicarse con sistemas externos a la Plataforma FileMaker, elija las opciones disponibles que interactúen a través del cifrado SSL. Por ejemplo, el paso de guión Insertar desde URL incluye la opción Verificar certificados SSL y el paso de guión Enviar correo permite la comunicación con servidores SMTP que utilizan el cifrado SSL.
- Utilice las funciones para obtener información sobre el usuario actual, como Get( AccountName ), Get( AccountGroupName ) y Get( AccountType ). Por ejemplo, utilice la función Get( AccountExtendedPrivileges ) para comprobar si un usuario tiene un privilegio ampliado específico.
Consulte Referencia de funciones, Referencia de pasos de guión y Referencia de activadores de guiones en la Ayuda de FileMaker Pro Advanced.
Restringir las referencias a una solución
Restrinja las referencias a una solución para evitar que los archivos no autorizados accedan al esquema de la solución. Para que otro archivo acceda a los datos y al esquema de la solución, este debe tener autorización en la solución o el usuario debe introducir las credenciales válidas para la solución.
Puede especificar que solo las cuentas con el conjunto de privilegios Acceso total puedan crear referencias a la solución, lo que garantizará que solo los diseñadores y los administradores de soluciones puedan hacer referencia a la solución. De forma predeterminada, los archivos recién creados tienen activada esta opción.
En una solución de múltiples archivos, debe conceder autorización a cada archivo que deba acceder al esquema de otro archivo.
Consulte Autorizar el acceso a archivos en la Ayuda de FileMaker Pro Advanced.
Establecer una versión mínima del cliente
Establezca una versión mínima de FileMaker Pro Advanced o FileMaker Go para acceder a la solución. Las versiones más recientes de los clientes de FileMaker proporcionan características y cambios de seguridad que no están disponibles en las versiones anteriores; por lo tanto, restrinja los clientes que pueden acceder a la solución. Consulte Establecer opciones de archivo en la Ayuda de FileMaker Pro Advanced.
Activar plug-ins
Utilice plug-ins solo de fuentes de confianza (preferiblemente plug-ins firmados digitalmente por sus desarrolladores), ya que estos pueden acceder a la solución y modificarla, además de conectarse a otros servicios a través de Internet.
Para obtener seguridad adicional y evitar la instalación de plug-ins no autorizados, los usuarios de FileMaker Pro Advanced pueden activar o desactivar la instalación de archivos de plug-in. Se trata de una preferencia de FileMaker Pro Advanced, no de una preferencia de archivo, y determina si los plug-ins se pueden instalar en el equipo del usuario.
Si se ha activado un plug-in, FileMaker Pro Advanced intentará cargarlo después de instalarlo y cada vez que se inicie FileMaker Pro Advanced. Si FileMaker Pro Advanced no puede verificar la firma digital del plug-in o si este no se ha firmado, se envía una notificación al usuario, que puede elegir si desea cargar el plug-in. Si el usuario opta por cargar siempre el plug-in, esta preferencia se guarda en las preferencias de la aplicación del usuario, no en el archivo.
Consulte Configurar preferencias de plug-ins y Configurar las preferencias de los anfitriones y plug-ins admitidos en la Ayuda de FileMaker Pro Advanced. Para activar plug-ins en un anfitrión, consulte Activar plug-ins en FileMaker Server y FileMaker Cloud for AWS.
Notas
- Los plug-ins no se admiten en FileMaker Cloud.
Seguridad para los administradores del servidor
Introducción
Los productos de FileMaker Cloud y FileMaker Server alojan soluciones para los siguientes clientes:
- FileMaker Pro Advanced
- FileMaker Go
- FileMaker WebDirect
- Usuarios y aplicaciones Web a través del Motor de publicación en la Web mediante Publicación en la Web personalizada con PHP y Publicación en la Web personalizada con XML (solo para FileMaker Server)
- Servicios o aplicaciones Web que utilizan FileMaker Data API para acceder a los datos en soluciones alojadas
- Aplicaciones ODBC y JDBC
- Aplicaciones cliente compatibles con OData (solo para FileMaker Cloud)
En las siguientes secciones, se describen los pasos para configurar la seguridad en FileMaker Server y los productos de FileMaker Cloud.
Si utiliza FileMaker Server, asegúrese de instalarlo en una ubicación segura y de que utiliza el cifrado SSL para cifrar la comunicación HTTPS entre los clientes y el servidor:
Activar la autenticación externa
Nota:esta función no está disponible en los productos de FileMaker Cloud.
Con FileMaker Server, puede utilizar el servidor de autenticación existente para controlar el acceso a los archivos sin necesidad de administrar una lista independiente de cuentas en cada archivo.
Configure las cuentas de autenticación externa en el archivo mediante FileMaker Pro Advanced, aloje el archivo mediante FileMaker Server y, a continuación, configúrelo para la autenticación externa. Para configurar cuentas en FileMaker Pro Advanced, consulte Configurar la autenticación externa.
Para activar la autenticación externa en FileMaker Server:
- En la Admin Console de FileMaker Server, haga clic en la pestaña Administración > Autenticación externa.
- En Inicio de sesión en la base de datos, active Cuentas de servidor externo.
Para utilizar Open Directory o Active Directory, el servidor en el que se ha instalado FileMaker Server debe ser un miembro del dominio utilizado para la autenticación externa.
Realice pruebas exhaustivas. Consulte Probar la configuración de seguridad.
Activar la autenticación mediante el proveedor de identidad de OAuth
Con FileMaker Server o FileMaker Cloud for AWS, puede utilizar los proveedores de identidad de OAuth admitidos para controlar el acceso a los archivos sin necesidad de administrar una lista de cuentas independiente en cada archivo.
Configure el acceso a la cuenta del proveedor de identidad de OAuth en el archivo mediante FileMaker Pro Advanced, aloje el archivo mediante FileMaker Server o FileMaker Cloud for AWS y, a continuación, configure el anfitrión para la autenticación con un proveedor de identidad de OAuth. Para configurar el acceso a la cuenta de FileMaker Pro Advanced, consulte Configurar la autenticación mediante un proveedor de identidad de OAuth.
Para activar la autenticación mediante un proveedor de identidad de OAuth en FileMaker Server:
- En la Admin Console de FileMaker Server, haga clic en la pestaña Administración > Autenticación externa.
- En Configuración de autenticación de identidad, configure el proveedor de identidad de OAuth (Amazon, Google o Microsoft) que se utilizará para autenticar el acceso.
- En Inicio de sesión en la base de datos, active Cuentas de servidor externo.
- Active el proveedor de identidad de OAuth establecido en Configuración de autenticación de identidad.
Para activar la autenticación mediante un proveedor de identidad de OAuth en FileMaker Cloud for AWS:
- En la Admin Console de FileMaker Cloud for AWS, haga clic en la pestaña Administración > Autenticación externa.
- En Configuración de autenticación de identidad, configure el proveedor de identidad de OAuth (Amazon, Google o Microsoft) que se utilizará para autenticar el acceso.
- En Inicio de sesión en la base de datos, active la opción de inicio de sesión.
Nota:en FileMaker Cloud for AWS, el administrador de FileMaker Cloud for AWS y los clientes comparten la autenticación del proveedor de identidad de Amazon; se sincronizan el ID y el secreto de cliente de Amazon.
Realice pruebas exhaustivas. Consulte Probar la configuración de seguridad.
Activar la autenticación mediante el ID de FileMaker para grupos y usuarios
En los archivos alojados por FileMaker Cloud, los usuarios se autentican mediante el proveedor de identidad del ID de FileMaker. En la FileMaker Customer Console, los administrador de equipos pueden añadir usuarios del ID de FileMaker a un equipo y crear grupos de usuarios. En un archivo de FileMaker Pro Advanced, puede crear y editar el acceso a la cuenta del ID de FileMaker para grupos o usuarios individuales. El conjunto de privilegios que asigne al acceso de un grupo se aplicará a todos los usuarios del grupo. En el caso del acceso de un usuario individual, el conjunto de privilegios que asigne se aplicará solo a ese usuario.
Para crear el acceso a la cuenta para grupos y usuarios del ID de FileMaker:
- En la página de usuarios de la FileMaker Customer Console, invite a los usuarios al equipo.
- En la página de grupos, cree un grupo y, a continuación, añada usuarios a él.
- Para crear una entrada de acceso a la cuenta para el grupo o un usuario individual, en el cuadro de diálogo Gestionar seguridad de FileMaker Pro Advanced, en Autenticar a través de, seleccione ID de FileMaker - <Nombre del equipo> y, a continuación, haga clic en Nuevo.
- En Grupo o nombre de usuario, seleccione el nombre de grupo o usuario del ID de FileMaker, asigne un conjunto de privilegios y, a continuación, haga clic en Aceptar.
Nota:para actualizar la información de ID de FileMaker en el cuadro de diálogo Gestionar seguridad con los cambios realizados en la FileMaker Customer Console, cambie Autenticar a través de a otra selección y, a continuación, regrese a su nombre de equipo del ID de FileMaker o abra de nuevo el cuadro de diálogo Gestionar seguridad.
Consulte Editar el acceso a la cuenta del ID de FileMaker en la Ayuda de FileMaker Pro Advanced y la Ayuda de FileMaker Customer Console.
Limitar la lista de soluciones alojadas
En los clientes de FileMaker y la página Inicio de la FileMaker Customer Console, se muestra una lista de soluciones alojadas. En función del tipo de anfitrión, es posible que pueda limitar las soluciones que se muestran.
| En el cuadro de diálogo Anfitriones de FileMaker Pro Advanced y el Centro de inicio de FileMaker Go y FileMaker WebDirect. | En la ventana Mis Apps de FileMaker Pro Advanced, la pestaña Mis apps de FileMaker Go y la página Inicio de FileMaker Customer Console. | |
|---|---|---|
| FileMaker Server | Se muestran de forma predeterminada todas las soluciones abiertas. Sin embargo, puede limitar esta lista para que solo muestre las soluciones a las que puede acceder el usuario actual. Para filtrar la lista, consulte la documentación del producto de FileMaker Cloud y Configuración de filtrado de bases de datos en la Ayuda de FileMaker Server. | No disponible |
| FileMaker Cloud for AWS | No disponible | |
| FileMaker Cloud | Se muestran todas las soluciones abiertas para el usuario actual. Hay una solución disponible si contiene una entrada de acceso a la cuenta para el nombre de usuario del ID de FileMaker del usuario o un grupo en el que se encuentre el usuario. Consulte Editar el acceso a la cuenta del ID de FileMaker en la Ayuda de FileMaker Pro Advanced. Los administradores de equipos del ID de FileMaker también pueden limitar las soluciones disponibles a aquellas a las que se les ha asignado el privilegio extendido Acceso mediante FileMaker WebDirect (establecido en FileMaker Pro Advanced). En la página de configuración de la FileMaker Customer Console, active la opción Show only FileMaker WebDirect files on Home page. Consulte la Ayuda de FileMaker Customer Console. |
|
Solicitar contraseñas para los archivos alojados
Asegúrese de que todas las bases de datos alojadas soliciten a un cliente que especifique una cuenta y una contraseña. Una base de datos no es segura cuando:
- Una cuenta de invitado utiliza el conjunto de privilegios Acceso total.
- Una cuenta de Acceso total tiene una contraseña vacía.
- La contraseña de una cuenta de Acceso total se ha almacenado en la base de datos (mediante la opción Iniciar sesión con del cuadro de diálogo Opciones de archivo de FileMaker Pro Advanced).
FileMaker Server impide de forma predeterminada que se alojen bases de datos poco seguras. Consulte Alojar bases de datos en la Ayuda de FileMaker Server. Los productos de FileMaker Cloud siempre requieren protección con contraseña para las bases de datos alojadas.
Si un usuario de FileMaker Pro Advanced intenta subir una base de datos mediante el elemento de menú Subir al anfitrión, FileMaker Pro Advanced valida que la base de datos esté protegida con contraseña. Si el anfitrión requiere que las bases de datos estén protegidas con contraseña, FileMaker Pro Advanced no permite que se suban los siguientes tipos de bases de datos poco seguras que se han indicado anteriormente.
Ver archivos de registro
Mientras se ejecutan FileMaker Server y los productos de FileMaker Cloud, estos registran la actividad del servidor. Utilice los archivos de registro para recopilar información de acceso del cliente y otros detalles necesarios para fines normativos y de auditoría.
Consulte Ver las entradas del archivo de registro en la Ayuda de FileMaker Server y la configuración de los productos de FileMaker Cloud en la documentación del producto de FileMaker Cloud.
Desconectar usuarios inactivos
Establezca la cantidad máxima de tiempo que los usuarios de FileMaker pueden estar inactivos mientras están conectados a un archivo alojado por FileMaker Server o un producto de FileMaker Cloud. Este límite de tiempo de inactividad reduce el riesgo de que un equipo o un dispositivo móvil desatendidos accedan a los archivos. Sin embargo, asegúrese de que el periodo de inactividad sea lo suficientemente amplio como para evitar desconexiones frecuentes.
En el cuadro de diálogo Editar conjunto de privilegios de FileMaker Pro Advanced, seleccione Desconectar al usuario del servidor cuando esté inactivo para cada conjunto de privilegios que desee desconectar cuando un usuario esté inactivo. Como puede establecer esta opción para cada conjunto de privilegios, determinados usuarios se desconectarán cuando estén inactivos y otros siempre mantendrán sus conexiones. En FileMaker Pro Advanced y FileMaker Go, los usuarios que inicien sesión con el conjunto de privilegios Acceso total nunca se desconectarán cuando estén inactivos.
Para especificar el periodo de inactividad, consulte Tiempo de espera de sesión del cliente de FileMaker en la Ayuda de FileMaker Server y la configuración de los productos de FileMaker Cloud en la documentación del producto de FileMaker Cloud.
Configurar copias de seguridad
Es importante realizar una copia de seguridad de las soluciones de para evitar la pérdida de datos. Si se destruyen los datos de un archivo, puede restablecer la copia de seguridad.
Copias de seguridad en FileMaker Server
FileMaker Server ofrece diversos tipos de copias de seguridad: automáticas, a petición, programadas y progresivas.
- En las copias de seguridad automáticas, FileMaker Server crea una copia de seguridad completa de todas las bases de datos alojadas una vez al día.
- En las copias de seguridad a petición, puede crear una copia de seguridad completa de todas las bases de datos alojadas en cualquier momento haciendo clic en Realizar copia de seguridad ahora.
- Con una copia de seguridad programada, FileMaker Server comprueba si se han modificado los datos desde la última copia de seguridad y crea una copia completa de las bases de datos y los datos del contenedor que han cambiado.
- Con una copia de seguridad progresiva, FileMaker Server crea dos copias de seguridad completas de todas las bases de datos alojadas en la carpeta de copias de seguridad progresivas. A continuación, tras un intervalo especificado, aplica todos los cambios a la copia de seguridad más antigua.
FileMaker Server guarda las copias de seguridad solo en discos locales. Utilice otras herramientas para almacenar las copias de seguridad locales a fin de proporcionar copias de seguridad externas en caso de recuperación ante desastres. Asegúrese de especificar una ubicación física segura para las copias de seguridad almacenadas.
Importante:FileMaker Server crea la estructura de directorios para estas copias de seguridad. Para trabajar con un archivo de copia de seguridad, no modifique el archivo original en la carpeta de copia de seguridad. No abra nunca el archivo de copia de seguridad original con FileMaker Pro Advanced, lo modifique ni lo mueva fuera de la carpeta de copia de seguridad. En su lugar, copie el archivo y trabaje exclusivamente con la copia.
Consulte Información sobre las opciones de copia de seguridad en la Ayuda de FileMaker Server.
Copias de seguridad en FileMaker Cloud for AWS
FileMaker Cloud for AWS ofrece copias de seguridad en forma de instantáneas del volumen de almacenamiento, que contiene todos los datos, incluidas las bases de datos, las configuraciones y los registros. Las copias de seguridad se realizan cada veinte minutos y FileMaker Cloud for AWS almacena una semana de copias de seguridad. FileMaker Cloud for AWS también puede conservar copias de seguridad en Amazon Simple Storage Service.
Copias de seguridad en FileMaker Cloud
FileMaker Cloud creará una copia de seguridad completa de una base de datos después de subirla. Se realiza una copia de seguridad de las bases de datos con cambios cada 20 minutos. Las copias de seguridad se almacenan durante 30 días antes de que comience la eliminación automática. Puede conservar copias de seguridad, eliminar copias de seguridad de la lista de copias conservadas, editar la etiqueta de copia de seguridad y restablecer una copia de seguridad.
Añadir administradores
Administradores sin acceso root en FileMaker Server
Puede permitir que las cuentas autenticadas de forma externa inicien sesión en la Admin Console y actúen como administradores del servidor. Estas cuentas pueden cambiar cualquier configuración en FileMaker Server, excepto el nombre de usuario y la contraseña de Admin Console.
- En Configuración de autenticación de identidad, configure la opción Cuentas externas para el inicio de sesión de Admin Console. Para ello, introduzca el nombre de grupo que se utilizará para autenticar el acceso. (Se puede utilizar el formato nombre de grupo, dominio\nombre de grupo o nombre de grupo@equipo local).
- En Admin Console Sign In, active Cuentas externas.
Administradores sin acceso root en FileMaker Cloud for AWS
Como administrador con acceso root, puede permitir que los administradores que no tengan acceso root inicien sesión en FileMaker Cloud for AWS y administren la mayoría de los aspectos de la instancia. Los administradores que no tengan acceso root no podrán modificar otras cuentas de administrador, importar certificados SSL ni cancelar la suscripción a FileMaker Cloud for AWS.
Decidir si se desea permitir el paso de guión Ejecutar guión en el servidor
Nota:esta función no está disponible en los productos de FileMaker Cloud.
Por motivos de rendimiento, los desarrolladores de soluciones pueden diseñar bases de datos de FileMaker Pro Advanced para que utilicen el paso de guión Ejecutar guión en el servidor. Por motivos de seguridad, los administradores de FileMaker Server pueden decidir si permiten el uso del paso de guión Ejecutar guión en el servidor en las soluciones alojadas.
Para desactivar el uso del paso de guión Ejecutar guión en el servidor, utilice el comando de CLI fmsadmin serverconfig set scriptsessions=0 para establecer el número máximo de sesiones de guión simultáneas en 0 (cero). Cualquier valor superior a cero permitirá que el paso de guión Ejecutar guión en el servidor se ejecute en las soluciones alojadas.
Consulte Utilizar la interfaz de línea de comandos en la Ayuda de FileMaker Server.
Activar plug-ins en FileMaker Server y FileMaker Cloud for AWS
Los desarrolladores de soluciones pueden diseñar bases de datos de FileMaker Pro Advanced para que utilicen plug-ins del servidor. Para activar los plug-ins en FileMaker Pro Advanced, consulte Activar plug-ins.
En la Admin Console de FileMaker Server o FileMaker Cloud for AWS, en la pestaña Conectores > Plug-ins, active Plug-ins de FileMaker Script Engine y Plug-ins de Publicación en la Web. Estas opciones permiten que FileMaker Script Engine utilice funciones externas y pasos de guión implementados en plug-ins. Consulte Administrar plug-ins en la Ayuda de FileMaker Server y la administración de plug-ins del servidor en la Ayuda de FileMaker Cloud for AWS.
En la Admin Console, puede permitir que los guiones que se ejecutan a través de una programación, el paso de guión Ejecutar guión en el servidor, FileMaker WebDirect y Publicación en la Web personalizada instalen, actualicen y carguen plug-ins. En la pestaña Conectores > Plug-ins, active la opción Paso de guión Instalar archivo plug-in.
Notas
- Los plug-ins no se admiten en FileMaker Cloud.
- En FileMaker Cloud for AWS, los plug-ins se ejecutan en Linux, por lo que no hay ningún método estándar del sector para firmar archivos binarios. Por lo tanto, FileMaker Cloud for AWS no verifica las firmas digitales de los plug-ins.
Garantizar la seguridad de las notificaciones de correo electrónico
En la Admin Console de FileMaker Server, si utiliza la pestaña Configuración > Notificaciones para introducir la información de configuración de SMTP de un servidor de correo electrónico, compruebe la seguridad de ese servidor. El servidor de correo electrónico siempre debe utilizar la versión más reciente del protocolo Seguridad de la capa de transporte (TLS, por sus siglas en inglés) para la comunicación.
Consulte Configuración de las notificaciones en la Ayuda de FileMaker Server.
Nota:el correo electrónico enviado desde la Admin Console de FileMaker Cloud utiliza TLS.
Seguridad para los profesionales de TI
Introducción
El software de FileMaker se ejecuta en equipos y en la red. Los clientes pueden acceder a los datos alojados mediante la intranet de su empresa o a través de Internet. Al planificar la seguridad de la Plataforma FileMaker, tenga en cuenta la seguridad del entorno del sistema.
En las siguientes secciones, se describe cómo aumentar la seguridad del entorno del sistema para la Plataforma FileMaker.
Proteger un equipo con FileMaker Server
Aunque las cuentas y los conjuntos de privilegios proporcionan una protección eficaz de las bases de datos, no ofrecen una solución completamente segura. Si utiliza FileMaker Server, debe proteger el acceso a los archivos e información y no depender únicamente de los privilegios de acceso de FileMaker Pro Advanced. Por ejemplo:
- Proteja la seguridad física de los equipos, discos duros y soportes de almacenamiento de copias de seguridad donde residan los archivos de bases de datos. Por ejemplo, coloque el equipo que ejecuta FileMaker Server en una habitación cerrada.
- Utilice las versiones más recientes del sistema operativo certificadas por FileMaker, Inc.
- Si aloja las bases de datos de FileMaker Pro Advanced en un equipo compartido en una red, utilice la configuración de seguridad del sistema operativo y contraseñas para permitir el acceso a los archivos y carpetas solo al personal autorizado.
- Configure la función de protector de pantalla del sistema operativo para solicitar una contraseña para reactivar el equipo.
- No ejecute nunca otros servicios de red como, por ejemplo, un servidor de correo electrónico, en el mismo equipo que FileMaker Server.
- Compruebe que todos los demás servicios de red solo admitan el nivel máximo de seguridad posible, por ejemplo, el protocolo TLS más reciente. Estos servicios de red deberían desactivar la compatibilidad con protocolos poco seguros como, por ejemplo, SSLv2 y SSLv3.
Instalar los componentes de FileMaker Server detrás de un servidor de seguridad
FileMaker Server contiene hasta tres componentes:
- Servidor de base de datos
- Motor de publicación en la Web
- Módulo de servidor Web
Puede implementar estos componentes en el equipo principal y puede añadir motores de publicación en la Web y módulos de servidor Web adicionales en los equipos de trabajo. Puede controlar la ubicación en la que cada equipo se relaciona con el cortafuegos (firewall). Por ejemplo, puede optar por colocar todos los componentes detrás del cortafuegos (firewall) para restringir el acceso a la red LAN. Si coloca equipos de la implementación detrás del servidor de seguridad, debe abrir los puertos utilizados por FileMaker WebDirect en el servidor de seguridad para que este componente esté disponible a través de Internet. Consulte Puertos utilizados por FileMaker Server y los productos de FileMaker Cloud.
Importante:para mejorar la seguridad de la solución de base de datos, sobre todo, a través de Internet, utilice un servidor de seguridad en el lado público de una implementación de FileMaker Server y use SSL para el servidor Web. Consulte Configurar el cifrado SSL
Consulte la Guía de instalación y configuración de FileMaker Server.
Configurar el cifrado SSL
Cifre los datos transferidos entre FileMaker Server o un producto de FileMaker Cloud, los clientes de FileMaker, las aplicaciones ODBC y JDBC, los clientes API REST y los clientes de OData mediante la tecnología SSL. Un certificado SSL es un archivo de datos proporcionado por una entidad emisora de certificados (CA, por sus siglas en inglés) que identifica de forma digital el emisor, el receptor o ambas partes de una transacción segura. Los certificados SSL se instalan en equipos que ejecutan aplicaciones de FileMaker para proporcionar conexiones seguras entre FileMaker Server o un producto de FileMaker Cloud y los clientes de FileMaker.
El cifrado SSL es especialmente importante si los clientes acceden a los datos alojados a través de Internet. Si no utiliza el cifrado, es posible que los datos estén visibles para software que supervisa la red.
Para activar el cifrado SSL en FileMaker Server, importe un certificado SSL personalizado. Consulte Proteger los datos en la Ayuda de FileMaker Server.
Notas
- No comparta nunca el mismo certificado SSL entre un equipo de FileMaker Server y un equipo que ejecute servicios de red menos seguros como, por ejemplo, un servidor de correo electrónico.
- No utilice nunca la misma clave privada para generar varios certificados SSL que se utilicen en diferentes equipos como, por ejemplo, una instancia de FileMaker Server y un servidor de correo electrónico. Un ataque eficaz en el servidor de correo electrónico podría poner en peligro todos los demás certificados que utilicen la misma clave privada.
- En una implementación de FileMaker Server en varios equipos, utilice un certificado de nombre alternativo del firmante (SAN, por sus siglas en inglés) o un certificado comodín en los equipos principal y de trabajo. De lo contrario, cada equipo de la implementación necesitará un certificado SSL que coincida con su nombre de anfitrión exclusivo.
Consulte Seguridad de la red FileMaker y certificados SSL admitidos en la Knowledge Base de FileMaker.
Acerca del certificado predeterminado de FileMaker Server
FileMaker Server proporciona un certificado SSL predeterminado firmado por FileMaker, Inc., que no comprueba el nombre del servidor.
Importante:el certificado predeterminado de FileMaker se ha diseñado solo para fines de prueba. Se necesita un certificado SSL personalizado para la producción.
Acerca del certificado predeterminado de FileMaker Cloud for AWS
FileMaker Cloud for AWS proporciona un certificado SSL predeterminado. Puede renovar el certificado predeterminado o importar su propio certificado personalizado. Para gestionar los certificados SSL, consulte la documentación del producto de FileMaker Cloud.
Acerca del certificado SSL de FileMaker Cloud
FileMaker Cloud proporciona y configura un certificado SSL para el anfitrión. No se puede utilizar un certificado personalizado con FileMaker Cloud.
Activar la Seguridad de transporte estricta de HTTP
Si FileMaker Server tiene un certificado SSL válido, la Seguridad de transporte estricta de HTTP (HSTS, por sus siglas en inglés) restringe los clientes Web a las conexiones HTTPS. Una vez que un cliente Web se conecte a FileMaker Server a través de HTTPS con HSTS, el navegador Web impedirá que el cliente utilice una conexión HTTP para el contenido alojado por FileMaker Server.
HSTS se activa en FileMaker Server al importar un certificado SSL personalizado.
Notas
- HSTS siempre está activado en los productos de FileMaker Cloud.
- macOS: en FileMaker WebDirect, si se ha activado HSTS, asegúrese de que las páginas de inicio y el contenido Web personalizados se hayan alojado en el directorio HTTPS del Motor de publicación en la Web.
Probar el cifrado SSL
Para probar el cifrado entre FileMaker Server o un producto de FileMaker Cloud, y FileMaker Pro Advanced o FileMaker Go, utilice la función Get( ConnectionState ). Devolverá el valor:
- 0 si no hay ninguna conexión de red para el archivo actual.
- 1 si no se ha cifrado la conexión (FileMaker Server con SSL desactivado o una conexión establecida con el anfitrión de FileMaker Pro Advanced).
- 2 si se ha cifrado la conexión, pero no se puede verificar el certificado SSL de FileMaker Server. Es posible que se haya conectado a un servidor que finja ser el destino real, lo que podría poner en peligro su información confidencial.
- 3 si se ha cifrado la conexión con un certificado SSL verificado.
Por ejemplo, escriba un guión para que se ejecute cuando se abra un archivo que avise al usuario de que la conexión a FileMaker Server no es segura.
El usuario puede ver un icono de bloqueo en el cuadro de diálogo Abrir archivo de FileMaker Pro Advanced, en la esquina superior derecha de la ventana de FileMaker Pro Advanced o en la pantalla de apertura de archivos de FileMaker Go.
- El
equivale a la devolución del valor 1 por parte de la función Get( ConnectionState ). - El
equivale a la devolución del valor 2 por parte de la función Get( ConnectionState ). - El
equivale a la devolución del valor 3 por parte de la función Get( ConnectionState ).
Nota:si los clientes utilizan la dirección IP del servidor en lugar del nombre de anfitrión completo, es posible que aparezca una conexión cifrada en la que no se puede verificar el certificado SSL para FileMaker Server. Para que aparezca una conexión cifrada con un certificado SSL verificado, los clientes deben añadir el nombre de anfitrión completo como un anfitrión favorito en el cuadro de diálogo Anfitriones de FileMaker Pro Advanced y el Centro de inicio de FileMaker Go.
Consideraciones de seguridad de Java
FileMaker Server y los productos de FileMaker Cloud requieren una actualización mínima de Java Runtime Environment. Si esa versión mínima no está disponible al instalar FileMaker Server, el instalador de FileMaker Server instalará Java Runtime Environment. En los productos de FileMaker Cloud, esa versión mínima de Java se instala al crear la instancia.
Las actualizaciones de seguridad de Java se publican frecuentemente en el sitio Web java.com. Las actualizaciones de FileMaker Server y los productos de FileMaker Cloud pueden incluir actualizaciones de Java. No obstante, el sitio Web java.com proporciona actualizaciones de Java con mayor frecuencia.
En la Knowledge Base de FileMaker, puede consultar el artículo FileMaker Server y Java, que indica la versión mínima de Java que debe utilizar con FileMaker Server. Antes de aplicar una actualización de Java en el equipo en el que se ha instalado FileMaker Server, consulte la información de este artículo. Si encuentra problemas después de aplicar una actualización de Java, elimínela y restablezca la versión mínima de Java requerida por FileMaker Server.
Consideraciones de seguridad de PHP
La Publicación en la Web personalizada con PHP requiere un motor PHP en el equipo en el que se encuentra FileMaker Server. Al instalar FileMaker Server, se instala una versión del motor PHP. Sin embargo, puede optar por utilizar su propio motor PHP.
Las actualizaciones de seguridad de PHP se publican con frecuencia en el sitio Web php.net. Las actualizaciones de FileMaker Server pueden incluir actualizaciones de PHP. No obstante, el sitio Web php.net proporciona actualizaciones de PHP con mayor frecuencia. Para aplicar actualizaciones de PHP con más frecuencia, lleve a cabo la instalación y el mantenimiento de su propio motor PHP.
Si dispone de su propio motor PHP, debe instalar manualmente la FileMaker API for PHP para utilizar la Publicación en Web personalizada con PHP. Consulte la Guía de Publicación en la Web personalizada de FileMaker Server.
Nota:los productos de FileMaker Cloud no admiten la Publicación en la Web personalizada ni utilizan PHP.
Sustituir la página predeterminada del servidor Web
FileMaker Server utiliza una página predeterminada del sitio Web del servidor de base de datos. Esta página no muestra ninguna información de seguridad sobre el servidor, pero indica que el servidor está ejecutando FileMaker Server. Los clientes pueden ver la página predeterminada en estas URL:
- http://[anfitrión]
- https://[anfitrión]
donde [anfitrión] es la dirección IP o el nombre de dominio del equipo principal de la implementación de FileMaker Server.
Para reemplazar esta página predeterminada, sustituya el archivo index.html del equipo principal en estas ubicaciones:
- Windows: [unidad]:\Archivos de programa\FileMaker\FileMaker Server\HTTPServer\conf\index.html
- macOS (para HTTP): /Library/FileMaker Server/HTTPServer/htdocs/index.html
- macOS (para HTTPS): /Library/FileMaker Server/HTTPServer/htdocs/httpsRoot/index.html
Otras consideraciones de seguridad
Aplicar actualizaciones con frecuencia
Las actualizaciones de software para productos de FileMaker pueden contener mejoras de seguridad. Instale las actualizaciones para mantener el software de FileMaker lo más seguro posible. Consulte Actualizaciones de seguridad de FileMaker en la Knowledge Base de FileMaker.
Utilice las versiones más recientes del sistema operativo certificadas por FileMaker, Inc.
Aplique actualizaciones a los controladores del dispositivo y al software adicional mediante el software de FileMaker, como los controladores ODBC.
Utilizar contraseñas seguras
La Plataforma FileMaker utiliza contraseñas para la autenticación en varias áreas. FileMaker Server y los productos de FileMaker Cloud requieren contraseñas para las cuentas de administrador. FileMaker Pro Advanced permite definir contraseñas de cuenta y cifrado. Al crear una contraseña, el software de FileMaker la analiza y le indica su nivel de seguridad.
Para las contraseñas de la cuenta, puede utilizar la autenticación externa (solo FileMaker Server) o la autenticación mediante el proveedor de identidad de OAuth (FileMaker Server o FileMaker Cloud para AWS). Con la autenticación externa, puede administrar contraseñas mediante Open Directory en macOS o Active Directory en Windows en lugar de almacenar las contraseñas en el software de FileMaker. Con la autenticación mediante un proveedor de identidad de OAuth, puede administrar contraseñas mediante proveedores de identidad de OAuth compatibles, como Amazon o Google. Consulte Configurar la autenticación externa y Configurar la autenticación mediante el proveedor de identidad de OAuth.
En FileMaker Cloud, los usuarios y los administradores de equipos se autentican con las cuentas del ID de FileMaker para utilizar FileMaker Customer Console y abrir archivos alojados. Los usuarios del ID de FileMaker administran sus propias contraseñas y pueden configurar la autenticación multifactor.
Probar la configuración de seguridad
Cuando haya completado la configuración de las características de seguridad de la Plataforma FileMaker, pruebe la seguridad de la solución.
- Configure una cuenta de prueba para cada conjunto de privilegios. Active estas cuentas para la prueba y desactívelas para el sistema de producción.
- Defina una lista de comprobación de características y funciones que deben probarse. Recorra la lista de comprobación con cada cuenta de prueba.
- Documente los resultados.
- Repita las pruebas cuando se añada una nueva función.
Siga evaluando la implementación de seguridad para asegurarse de que los datos permanecen protegidos. Compruebe que los usuarios tengan las versiones más recientes y seguras de los sistemas operativos y el software de FileMaker.
Cumplir los requisitos normativos
Es su responsabilidad conocer todos los requisitos de cumplimiento de seguridad y llevar a cabo las medidas correspondientes.
Además de las directrices descritas en este documento, en función de los requisitos internos o normativos (COBIT, HIPAA, ISO, PCI, NIST, FIPS, etc.), es posible que deba realizar pasos adicionales.
- Si necesita cifrar todo el tráfico de red, active SSL en FileMaker Server y, a continuación, configure el cifrado SSL para las aplicaciones y los servidores externos que se comuniquen con FileMaker Server o el producto de FileMaker Cloud.
- Si aplica normas mínimas de contraseña, utilice un servidor de autenticación externo.
- Si necesita un seguimiento de auditoría, puede compilar uno con FileMaker Pro Advanced mediante tablas y guiones. Para satisfacer requisitos más complejos, considere el uso de un plug-in de auditoría disponible comercialmente.
- Windows: como FileMaker Server depende de Windows para administrar SSL, instale las actualizaciones de seguridad de Windows más recientes.
Informar a los usuarios
Proporcione documentación sobre una presentación en la solución o en una página Web para explicar a los usuarios cómo interactuar de forma segura con la solución. Incluya información sobre cuentas y contraseñas, cómo conectarse de forma segura a FileMaker Server o el producto de FileMaker Cloud, cómo usar funciones y guiones, y cualquier otro aspecto o requisito de seguridad en relación con la solución.
Recursos adicionales
Guía de referencia rápida para operaciones frecuentes
| Para | Visite |
|---|---|
| Administrar cuentas, privilegios, privilegios ampliados o el acceso a archivos | FileMaker Pro Advanced: Seleccione el menú Archivo > Gestionar > Seguridad. |
| Impedir al instante que alguien acceda a los datos | Admin Console:
FileMaker Customer Console:
La eliminación de un usuario con licencia sin desconectar a los clientes no impide al instante que los usuarios accedan a los datos. Podrán seguir accediendo a los datos hasta que cierren la sesión del ID de FileMaker. FileMaker Pro Advanced:
Al establecer como inactiva la entrada de acceso a la cuenta en el archivo, esto no afectará a un usuario que ya haya iniciado sesión. Solo impedirá que se realicen intentos posteriores de inicio de sesión. Si el usuario obtiene acceso a través de un grupo de autenticación externo, elimine el usuario del grupo de autenticación externo o desactive la cuenta del usuario en el servidor de autenticación externo. En caso de emergencia, cierre el archivo para impedir el acceso. |
| Forzar a un usuario a que cambie la contraseña(Solo para las cuentas de archivo de FileMaker) | FileMaker Pro Advanced:
Nota:también puede escribir un guión para forzar a varios usuarios a realizar esta acción. Si el usuario tiene acceso a través de la autenticación externa, administre la contraseña mediante el servidor de Open Directory o Active Directory. |
| Ver archivos de registro | Admin Console:
|
Tipos de cifrado utilizados por FileMaker
FileMaker cifra los datos de diferentes formas en función de cómo se almacenen o transmitan los datos. En esta tabla, se muestran los tipos de cifrado que se utilizan cuando la Plataforma FileMaker cifra los datos.
| Opción | Tipo de cifrado |
|---|---|
| Contraseña de la cuenta | Hash unidireccional |
| Contraseña de la Admin Console | Hash unidireccional |
| Cifrado de bases de datos | Modo AES-256 CBC |
SSL/TLS 1.2
|
Nota:con SSL, el modo de cifrado depende de la negociación entre el anfitrión y el cliente, por lo que el modo de cifrado podría ser CBC o GCM (u otros en el futuro). |
| Almacenamiento seguro de los datos del contenedor (con el cifrado de base de datos desactivado) | Modo AES-128 CBC |
| Almacenamiento seguro de los datos del contenedor (con el cifrado de base de datos activado) | Modo AES-256 CBC |
Puertos utilizados por FileMaker Server y FileMaker Cloud for AWS
Consulte Puertos utilizados por FileMaker Server en la Knowledge Base de FileMaker.
Los puertos utilizados por FileMaker Cloud for AWS se pueden ver y modificar en el panel de control de Amazon Web Services Elastic Cloud Compute (EC2). Para administrar los puertos del grupo de seguridad, consulte la Guía de inicio de FileMaker Cloud for AWS.