FileMaker 18-beveiligingshandleiding: tips voor het configureren van beveiligingsopties

Voor FileMaker Pro Advanced-oplossingen moeten gebruikers zich verifiëren met een combinatie van een accountnaam en wachtwoord. Elk item voor accounttoegang dat u in FileMaker Pro Advanced maakt, krijgt toegangsrechten op basis van de bijbehorende privilegeset. Zie Privilegesets definiëren.

Maak een uniek item voor accounttoegang voor elke gebruiker of groep. Hiermee kunt u bijhouden wie individuele records maakt of wijzigt of andere acties in uw oplossing uitvoert. U kunt deze informatie bijhouden door instellingen voor automatische veldinvoer of de functie Get(AccountNaam) te gebruiken in berekeningen en scripts. Zie Functies, scripts en scriptactiveringen gebruiken om de beveiliging te verbeteren.

Met FileMaker-oplossingen kunnen accounts intern, met een externe verificatieserver, met een OAuth-identiteitsprovider of, in het geval van een FileMaker Cloud-host, met de FileMaker ID identiteitsprovider worden geverifieerd.

• Met interne verificatie worden de accountnamen en wachtwoorden in de oplossing zelf opgeslagen. Alle beveiliging voor een oplossing wordt geconfigureerd in FileMaker Pro Advanced zonder gebruik van serversoftware, waardoor dit een snellere en eenvoudigere manier is voor het beheren van accounts. Dit wordt een FileMaker-bestandsaccount genoemd. Dergelijke accounts worden door alle hosts ondersteund, met uitzondering van FileMaker Cloud. Zie FileMaker-bestandsaccounts bewerken in de Help van FileMaker Pro Advanced.
• Met externe verificatie (via Open Directory of Active Directory) of met verificatie via een OAuth-identiteitsprovider, worden in FileMaker Pro Advanced alleen gebruikers- en groepsnamen opgeslagen. FileMaker-clients werken samen met een externe server of een OAuth-identiteitsprovider om de accountgegevens van een gebruiker te verifiëren. De oplossing moet worden gehost met FileMaker Server of FileMaker Cloud for AWS en de host moet zodanig worden geconfigureerd dat externe verificatie of individuele OAuth-identiteitsproviders zijn toegestaan. Zie Externe verificatie instellen en Verificatie met een OAuth-identiteitsprovider instellen.

• Met FileMaker ID-verificatie wordt in FileMaker Pro Advanced voor elke FileMaker ID-gebruiker of -groep waarvoor u een accounttoegangsitem maakt, een naam en een UUID (universele unieke id) opgeslagen. Wanneer ontwikkelaars van oplossingen FileMaker ID-gebruikersnamen (e-mailadressen) of -groepsnamen wijzigen, hoeven ze de FileMaker Pro Advanced-bestanden niet te wijzigen, omdat intern UUID's worden gebruikt om gebruikers en groepen te identificeren.

  FileMaker-clients werken samen met de FileMaker ID-identiteitsprovider om de accountgegevens van gebruikers te verifiëren. De oplossing moet worden gehost met FileMaker Cloud. In FileMaker Customer Console moet een FileMaker ID-teambeheerder gebruikers toevoegen aan het team waaraan de host is gekoppeld. Een teambeheerder kan ook groepen met gebruikers maken, dus een ontwikkelaar van oplossingen kan accounttoegang verlenen aan groepen in FileMaker Pro Advanced zonder telkens de oplossing te hoeven bijwerken wanneer gebruikers worden toegevoegd of verwijderd. Zie FileMaker ID-verificatie instellen.

Elke oplossing bevat bij aanvang twee FileMaker-accounts: Admin en Gast.

• De Admin-account biedt toegang tot alles binnen de oplossing. Deze account is standaard toegewezen aan de privilegeset Volledige toegang. Deze account is volledig bewerkbaar. U kunt deze hernoemen, er een wachtwoord aan toewijzen en de account inactief maken. U kunt de Admin-account verwijderen, maar voor het bestand is minimaal een account met de privilegeset Volledige toegang vereist, tenzij u die privilegeset volledig verwijdert.

  De Admin-account heeft standaard geen wachtwoord. Wijs een wachtwoord toe wanneer u voor het eerst gaat werken in FileMaker Pro Advanced. Zie Een wachtwoord toewijzen aan de Admin-account.

• Met de gastaccount kunnen gebruikers een bestand openen zonder accountinformatie op te geven. Aan deze account is standaard de privilegeset Alleen lezen toegewezen, maar u kunt elk privilege toewijzen aan de account.

  De gastaccount is oorspronkelijk inactief. U kunt de account Gast niet verwijderen, geen andere naam geven en er geen wachtwoord aan toewijzen.

Wanneer u een nieuwe oplossing maakt, maakt FileMaker Pro Advanced een Admin-account met de privilegeset Volledige toegang. Deze Admin-account heeft geen wachtwoord.

Wijs aan deze account een wachtwoord toe om onbevoegde toegang tot uw gegevens en het databaseschema te voorkomen.

Zie FileMaker-bestandsaccounts bewerken in de Help van FileMaker Pro Advanced en Sterke wachtwoorden gebruiken.

Schakel de gastaccount niet in tenzij dit voor de oplossing noodzakelijk is. Als u de gastaccount inschakelt, wordt het maximumaantal verbindingen mogelijk snel bereikt als veel gebruikers zich in korte tijd aanmelden bij de gastaccount.

Zie FileMaker-bestandsaccounts maken in de Help van FileMaker Pro Advanced.

Wanneer u een accounttoegangsitem maakt in het dialoogvenster Beveiliging beheren in FileMaker Pro Advanced, kiest u eerst het accounttype en geeft u vervolgens de instellingen op.

• FileMaker-bestand: geef een accountnaam, wachtwoord en privilegeset op. Wordt ondersteund in lokale bestanden en bestanden die worden gehost door FileMaker Cloud for AWS of FileMaker Server, maar niet door FileMaker Cloud.

  U kunt een tijdelijk wachtwoord opgeven en de gebruiker vragen dit te veranderen. Selecteer Wachtwoordwijziging vereisen bij aanmelden in het dialoogvenster Account bewerken.

  Wachtwoorden worden opgeslagen met behulp van een eenmalige hash. Dit betekent dat het wachtwoord nooit als gewone tekst wordt opgeslagen. U kunt een wachtwoord opnieuw instellen, maar niet herstellen.

• Externe server: geef een naam voor de groep en privilegeset op. Wordt alleen ondersteund in bestanden die door de FileMaker Server worden gehost. Zie Externe verificatie instellen.
• OAuth-identiteitsprovicer: geef een gebruikersnaam of groepsobject-id en privilegeset op. Wordt alleen ondersteund in bestanden die worden gehost door FileMaker Server of FileMaker Cloud for AWS. Zie Verificatie door OAuth-identiteitsprovider instellen.
• FileMaker ID: geef voor een team een groep of FileMaker ID-gebruikersnaam en een privilegeset op. Wordt alleen ondersteund in bestanden die worden gehost door FileMaker Cloud. Zie FileMaker ID-verificatie instellen.

Zie Accounttoegang maken en bewerken in de Help van FileMaker Pro Advanced en Sterke wachtwoorden gebruiken.

In nieuwe oplossingen wordt niet om accountnamen of wachtwoorden gevraagd, omdat gebruikers standaard automatisch bij de Admin-account worden aangemeld. Als u gebruikers wilt vragen om accountnamen en wachtwoorden voor FileMaker-bestands- en externe serveraccounts in te voeren, schakelt u de optie Aanmelden met in het dialoogvenster Opties voor FileMaker Pro Advanced-bestanden uit. Deze optie wordt genegeerd als oplossingen:

• worden gehost door een FileMaker Cloud-product
• worden gehost door FileMaker Server in de beveiligde databasemap
• verifiëren via een OAuth-identiteitsprovider of FileMaker ID

In oplossingen is het standaard niet toegestaan dat Credential Manager (Windows) en Keychain Access (MacOS en iOS) accountnamen en wachtwoorden voor FileMaker-bestands- en externe serveraccounts opslaan. Wanneer u Credential Manager en Keychain Access geen toestemming verleent, vragen FileMaker-clients gebruikers om een accountnaam en wachtwoord in te voeren wanneer ze de oplossing openen. Deze optie wordt voor andere accounttypen genegeerd.

Als u Keychain Access toestemming verleent, kunt u vereisen dat gebruikers van FileMaker Go zich verifiëren met iOS voordat FileMaker Go toegang krijgt tot de sleutelhanger.

Zie Bestandsopties instellen in de Help van FileMaker Pro Advanced en Sterke wachtwoorden gebruiken.

Als u bestanden host met FileMaker Server, kunt u items voor toegang tot externe serveraccounts maken in de bestanden waarmee gebruikers via Active Directory of Open Directory worden geverifieerd. Vervolgens kunt u uw bestaande verificatieserver gebruiken om toegang tot databases te beheren in plaats van een afzonderlijke lijst van accounts in elk databasebestand te beheren.

Als alternatief kunt u ook lokale beveiligingsgroepen en accounts gebruiken op de servercomputer waarop FileMaker Server wordt gehost. Zie de Help voor uw besturingssysteem.

Gebruik externe verificatie als:

• uw organisatie al Active Directory of Open Directory gebruikt
• uw FileMaker Pro Advanced-bestand wordt gebruikt door andere bestanden in een oplossing met meerdere bestanden.
• uw organisatie minimale wachtwoordvereisten heeft. FileMaker-clients kunnen basisstandaarden afdwingen voor FileMaker-bestandsaccounts, zoals de wachtwoordlengte of de frequentie waarmee wachtwoorden moeten worden gewijzigd. Externe verificatie biedt een krachtiger wachtwoordbeheer, zoals het afdwingen van vereisten aan de wachtwoordcomplexiteit.

Als u bestanden host met FileMake Server die zijn geïnstalleerd in Windows Server en u Active Directory gebruikt voor externe verificatie, kunnen uw Windows-gebruikers in FileMaker Pro Advanced eenmalige aanmelding gebruiken.

Bij externe verificatie bestaat het risico dat iemand toegang krijgt tot uw bestand door de omgeving voor externe verificatie te simuleren of de groepen te misbruiken. Het is uw verantwoordelijkheid om dit te voorkomen door de beveiliging van uw externe verificatieserver te onderhouden. Schakel voor uw oplossingsbestanden databasecodering in om dit risico te verminderen. Voor databasecodering moeten gebruikers het coderingswachtwoord opgeven voordat ze het bestand kunnen hosten op FileMaker Server. Zie Gegevens coderen.

Stel toegang tot externe serversaccounts binnen het bestand in met FileMaker Pro Advanced, host het bestand vervolgens met FileMaker Server en configureer het voor externe verificatie. Zie Toegang tot externe serveraccount bewerken in de Help van FileMaker Pro Advanced, Externe verificatie inschakelen en FileMaker Pro Advanced-clients en FileMaker Server instellen op het gebruik van externe verificatie met het LDAP-protocol in de FileMaker Knowledge Base.

Belangrijke informatie bij het gebruik van externe verificatie

• U moet wachtwoorden herstellen met behulp van de server voor externe verificatie.
• Stel items voor accounttoegang in in de volgorde waaron ze door FileMaker-clients moeten worden geverifieerd. Wanneer een FileMaker-bestandsaccount en een externe serveraccount met dezelfde accountnaam en hetzelfde wachtwoord verifiëren, of wanneer meerdere groepen dezelfde externe serveraccount bevatten, wordt het bestand in FileMaker-clients geopend met behulp van het eerste actieve overeenkomstige item voor accounttoegang op volgorde van prioriteit (verificatie). Eventuele daaropvolgende overeenkomstige items voor accounttoegang worden genegeerd. Zie De prioriteit van accounttoegang wijzigen in de Help van FileMaker Pro Advanced.
• Toegang tot externe serveraccounts moet niet het enige type accounttoegang zijn met de privilegeset Volledige toegang. Onderhoud een FileMaker-bestandsaccount voor beheerdoeleinden in het geval het bestand moet worden verwijderd van FileMaker Server. Als er geen FileMaker-bestandsaccounts zijn, kan FileMaker het bestand alleen openen als het bestand wordt gehost en de server voor externe verificatie beschikbaar is.

Als u bestanden host met FileMaker Server of FileMaker Cloud for AWS, kunt u items voor accounttoegang maken in de bestanden die gebruikers via ondersteunde OAuth-identiteitsproviders verifiëren. Hiermee kunt u de toegang tot uw oplossingen beheren via externe identiteitsproviders. In plaats van in elk bestand een aparte lijst met accounts te beheren, kunt u uw eigen OAuth-identiteitsproviders gebruiken voor het beheren van toegang tot uw oplossingen. Een OAuth-identiteitsprovider biedt mogelijk ook extra beveiligingsmaatregelen, zoals verificatie met meerdere factoren, waarbij er meer dan één verificatiemethode is vereist.

Gebruik FileMaker Pro Advanced als u de verificatie via OAuth-identiteitsproviders wilt uitvoeren om in de oplossing items voor accounttoegang in te stellen. Host de oplossing vervolgens met FileMaker Server of FileMaker Cloud for AWS en configureer de host zodat de verificatie met OAuth-identiteitsproviders kan worden uitgevoerd. Zie OAuth-accounttoegang bewerken in de Help van FileMaker Pro Advanced en Verificatie met OAuth-identiteitsprovider inschakelen.

Belangrijke informatie bij het gebruik van OAuth-identiteitsproviders

• U moet wachtwoorden herstellen met behulp van de OAuth-identiteitsprovider.
• Stel items voor accounttoegang in op volgorde waarin u wilt dat FileMaker-clients deze verifiëren. Wanneer een OAuth-identiteitsprovideraccount zich in meerdere groepen bevindt die toegang tot het account hebben, of wanneer een OAuth-accountgebruiker zowel als afzonderlijke gebruiker en als lid van een groep accounttoegang heeft, wordt in FileMaker-clients het bestand geopend met behulp van het eerste actieve overeenkomstige item voor accounttoegang op volgorde van prioriteit (verificatie). Eventuele daaropvolgende overeenkomstige items voor accounttoegang worden genegeerd. Zie De prioriteit van accounttoegang wijzigen in de Help van FileMaker Pro Advanced.
• OAuth-accounttoegang mag niet het enige type accounttoegang met de privilegeset Volledige toegang zijn. Onderhoud een FileMaker-bestandsaccount voor beheerdoeleinden in het geval het bestand van de host moet worden verwijderd. Als er geen FileMaker-bestandsaccounts zijn, kunnen FileMaker-clients het bestand alleen openen als het bestand wordt gehost en de OAuth-identiteitsprovider beschikbaar is.

In bestanden die worden gehost door FileMaker Cloud, moet u items voor accounttoegang maken die gebruikers verifiëren via de FileMaker ID-identiteitsprovider. FileMaker ID-teambeheerders regelen de toegang tot gehoste bestanden via de FileMaker Customer Console. Daar kunnen ze gebruikers aan het team toevoegen en gebruikersgroepen beheren, in plaats van een onafhankelijke lijst met FileMaker ID-accounts voor afzonderlijke gebruikers in elk databasebestand te beheren. De FileMaker ID-identiteitsprovider biedt ook toegang tot aanvullende beveiligingsmaatregelen, zoals verificatie met meerdere factoren, waarbij er meer dan één verificatiemethode is vereist.

Gebruik FileMaker Pro Advanced als u de verificatie via FileMaker ID-identiteitsprovider wilt uitvoeren om in de oplossing items voor accounttoegang in te stellen. Host de oplossing vervolgens via FileMaker Cloud. FileMaker Cloud hoeft in de beheerconsole niet te worden geconfigureerd. Zie FileMaker ID-accounttoegang bewerken in de Help van FileMaker Pro Advanced en FileMaker ID-verificatie inschakelen voor groepen en gebruikers.

Belangrijke informatie bij het gebruik van de FileMaker ID-identiteitsprovider

• FileMaker ID-gebruikers kunnen hun wachtwoord opnieuw instellen via hun profielpagina in FileMaker Customer Console.
• Stel items voor accounttoegang in op volgorde waarin u wilt dat FileMaker-clients deze verifiëren. Wanneer een FileMaker ID-gebruiker zich in meerdere groepen bevindt die toegang tot het account hebben, of wanneer een FileMaker ID-gebruiker zowel als afzonderlijke gebruiker en als lid van een groep accounttoegang heeft, wordt in FileMaker-clients het bestand geopend met behulp van het eerste actieve overeenkomstige item voor accounttoegang op volgorde van prioriteit (verificatie). Eventuele daaropvolgende overeenkomstige items voor accounttoegang worden genegeerd. Zie De prioriteit van accounttoegang wijzigen in de Help van FileMaker Pro Advanced.
• U moet ten minste één FileMaker ID-accounttoegangsitem maken waarbij de privilegeset Volledige toegang is ingesteld om volledige toegangsprivileges te hebben wanneer het bestand door FileMaker Cloud wordt gehost. Een FileMaker Cloud-host ondersteunt geen andere accounttypen. Onderhoud ook een FileMaker-bestandsaccount met de privilegeset Volledige toegang in het geval het bestand van de host moet worden verwijderd en lokaal moet worden geopend. Als er geen FileMaker-bestandsaccounts zijn, kunnen FileMaker-clients het bestand alleen openen als het bestand door FileMaker Cloud wordt gehost.

In een oplossing met meerdere bestanden hebben FileMaker Pro Advanced-bestanden toegang tot elkaar. Dit kan handig zijn, bijvoorbeeld als u een centraal toegankelijk bestand of centrale contactinformatie van medewerkers hebt die wordt gebruikt door meerdere interne oplossingen.

Als u een bestand opent vanuit een ander bestand (bijvoorbeeld voor het bekijken van externe gegevens of het uitvoeren van een script in een extern bestand), geven FileMaker-clients de referenties die de gebruiker bij het aanmelden heeft opgegeven door aan het tweede bestand. Als de accounttoegang van de gebruiker hetzelfde is, wordt de gebruiker door FileMaker-clients automatisch bij het tweede bestand aangemeld. Als er geen overeenkomstig accounttoegangsitem is, moet de gebruiker zich aanmelden bij het tweede bestand.

Als u dezelfde FileMaker-bestandsaccounts handmatig in meerdere bestanden maakt, maakt u mogelijk fouten bij de gegevensinvoer. U kunt dergelijke fouten vermijden door externe verificatie, verificatie met een OAuth-identiteitsprovider of (als bestanden door FileMaker Cloud worden gehost) FileMaker ID-verificatie te gebruiken. Zie Externe verificatie instellen, Verificatie met OAuth-identiteitsprovider instellen of FileMaker ID-verificatie instellen.

Bekijk de accounttoegangsitems en privilegesets in elk bestand van een oplossing met meerdere bestanden. Als privilegesets in verschillende bestanden niet overeenkomen of als een account aanvullende privileges heeft in een bestand, krijgen gebruikers mogelijk toegang tot gegevens waartoe ze normaalgesproken geen toegang hebben. Zie Privilegesets definiëren.

Zorg er ook voor dat gebruikers zonder hulp van de oplossingsontwikkelaar geen verwijzingen naar bestanden in een oplossing kunnen maken. Anders krijgen ze mogelijk toegang tot afgeschermde gegevens. Zie Verwijzingen naar een oplossing beperken.

Met privilegesets kunt u instellen welke functies een gebruiker kan zien en welke taken een gebruiker kan uitvoeren. Hiermee kunt u toegang tot gegevens en schema's beheren. U kunt een privilegeset gebruiken voor meerdere accounttoegangsitems.

Elke nieuwe FileMaker Pro Advanced-oplossing bevat drie vooraf gedefinieerde privilegesets:

• Volledige toegang: Biedt volledige toegang tot het bestand, waaronder alle ontwikkelfuncties.
• Alleen gegevensinvoer: Hiermee kan de gebruiker records maken, bewerken en verwijderen, en gegevens importeren en exporteren. De gebruiker heeft geen toegang tot eventuele ontwikkelfuncties.
• Alleen-lezen toegang: De gebruiker mag recordgegevens bekijken en exporteren. Het is niet toegestaan het bestand te wijzigen, behalve waarden in algemene velden.

U kunt ook nieuwe privilegesets maken die aan uw specifieke vereisten voldoen. U maakt meestal een privilegeset voor elke unieke rol in uw organisatie. Een privilegeset bestaat uit de volgende toegangsopties:

• Gegevenstoegang en ontwerpprivileges: Bieden toegang tot een groot aantal beveiligingsitems, inclusief records, lay-outs, invoerlijsten en scripts.
• Uitgebreide privileges: hiermee bepaalt u hoe gebruikers toegang krijgen tot een gehost bestand.
• Overige privileges: hiermee staat u afdrukken, exporteren, beperkte mogelijkheden voor het beheren van de beveiliging en een aantal andere functies toe.

Alle clients en tools die toegang hebben tot FileMaker Pro Advanced-oplossingen zijn gebonden aan de privilegesets van gebruikers. Als aan een gebruiker bijvoorbeeld een privilegeset is toegewezen waarbij geen toegang tot een veld is verleend, heeft de gebruiker geen toegang tot het veld via FileMaker Pro Advanced, FileMaker Go, FileMaker WebDirect, Custom Web Publishing, FileMaker Data API, ODBC- en JDBC-toepassingen, OData-clienttoepassingen, externe tools zoals AppleScript of ActiveX, of op andere manieren.

Als u een privilegeset wilt maken, geeft u een naam op en configureert u de privileges die u gebruikers wilt geven voor de oplossing.

De meeste privileges zijn standaard uitgeschakeld. Hierdoor zijn de privileges van een gebruiker beperkt tot alleen de privileges die nodig zijn voor het vervullen van de gebruikersrol.

Zie Privilegesets maken en bewerken in de Help van FileMaker Pro Advanced.

Gegevenstoegang en ontwerpprivileges bieden toegang tot verschillende delen van een bestand en gelden voor alle tabellen, lay-outs, invoerlijsten en scripts.

U kunt ook aangepaste privileges ontwerpen om toegangsprivileges verder te beperken.

• Ontwerp aangepaste privileges voor records als u de gebruikerstoegang tot individuele tabellen of records wilt beheren. U hebt bijvoorbeeld een CRM-systeem waarbij de verkoopmanagers alle records kunnen bekijken, maar individuele verkopers kunnen alleen de records van hun eigen klanten en potentiële klanten bekijken.
• Ontwerp aangepaste privileges voor lay-outs om te bepalen of en hoe gebruikers een lay-out kunnen bekijken of wijzigen, en of ze records kunnen bekijken of wijzigen tijdens het werken met die lay-out. Het FileMaker-platform gebruikt altijd de veiligste combinatie van toegangsregels. Een gebruiker die over het algemeen records kan bewerken, kan bijvoorbeeld geen records bewerken in een lay-out waarvoor deze privileges niet zijn verleend.
• Ontwerp aangepaste privileges om te bepalen of gebruikers individuele invoerlijsten en scripts kunnen bekijken, uitvoeren, wijzigen, verwijderen of maken.

Zie Privileges voor toegang tot records bewerken, Lay-outprivileges bewerken, Privileges voor invoerlijsten bewerken en Scriptprivileges bewerken in de Help van FileMaker Pro Advanced.

Met uitgebreide privileges bepaalt u hoe gebruikers toegang krijgen tot een gehost bestand. Nadat u uitgebreide privileges voor een privilegeset hebt ingeschakeld, hebben alle accounts die aan die privilegeset zijn gekoppeld toegang tot het bestand op basis van wat is toegestaan in de uitgebreide privileges. Bijvoorbeeld:

• Met het uitgebreide fmapp-privilege bepaalt u of FileMaker Pro Advanced en FileMaker Go toegang tot het bestand hebben.
• Met het uitgebreide fmapp-privilege bepaalt u of een webbrowser toegang heeft tot het bestand via FileMaker WebDirect.
• Met het uitgebreide privilege fmreauthenticate[x] bepaalt u na hoeveel tijd FileMaker Go in de slaapstand gaat of naar de achtergrond wordt verplaatst voordat de gebruiker zich opnieuw moet aanmelden voor toegang tot het bestand.

Wanneer FileMaker Go naar de achtergrond verhuist, slaat het de toestand van alle geopende oplossingen op.

Als het uitgebreide privilege fmreauthenticate[x] wordt gebruikt en FileMaker Go op de voorgrond wordt geplaatst, moeten gebruikers hun accountnaam en wachtwoord opnieuw invoeren als de opgegeven tijd van [x] minuten is verstreken. Met het uitgebreide privilege fmreauthenticate10 kan de gebruiker bijvoorbeeld FileMaker Go tien minuten op de achtergrond houden voordat de gebruiker zich opnieuw moet aanmelden. U kunt zoveel uitgebreide privileges met verschillende tijdsperioden maken als u nodig hebt en deze vervolgens toewijzen aan verschillende privilegesets. Gebruikers kunnen vijf maal proberen hun accountnaam en wachtwoord in te voeren voordat FileMaker Go het bestand sluit. Stel [x] in op 0 om gebruikers zich telkens opnieuw te laten aanmelden wanneer FileMaker Go terugkeert naar de voorgrond.

Het uitgebreide privilege fmreauthenticate[x] verbindt een FileMaker Pro Advanced- of FileMaker Go-client ook opnieuw met een FileMaker-host nadat er een netwerkstoring heeft plaatsgevonden. Als de client meer dan x minuten geen verbinding had met de host, moet de client opnieuw worden geverifieerd.

U kunt aangepaste uitgebreide privileges maken om uw scripts te vereenvoudigen of om de bedrijfsregels die u moet afdwingen te beheren. Maak bijvoorbeeld aangepaste uitgebreide privileges om gebruikers toestemming te geven om bepaalde rapporten uit te voeren.

Zie Uitgebreide privileges voor een privilegeset bewerken in de Help van FileMaker Pro Advanced.

Met andere privileges geeft u op of gebruikers volgens de privilegeset het volgende kunnen doen:

• afdrukken: records afdrukken en opslaan als PDF-bestand

• exporteren: records exporteren, records opslaan als Excel-bestand, records in een gevonden set naar het Klembord kopiëren, een kopie van het bestand opslaan, toegang tot gegevens krijgen met Apple Events en het bestand gebruiken als bron van een import

  Opmerking: dit privilege is niet van invloed op toegang tot gegevens met ActiveX.

• uitgebreide privileges beheren
• accounts beheren die geen volledige toegangsprivileges hebben
• waarschuwingen bij gegevensbevestigingen negeren
• gebruikers afmelden van een gehoste oplossing wanneer een client inactief is
• hun wachtwoorden wijzigen
• toegang krijgen tot menu-opdrachten (alle, alleen bewerken, minimum)

Zie Overige privileges bewerken in de Help van FileMaker Pro Advanced, Beperkte mogelijkheden om beveiliging te beheren toekennen aan vertrouwde gebruikers en Verbinding met inactieve gebruikers verbreken.

Om ervoor te zorgen dat gebruikers geen toegang krijgen tot delen van de oplossing en het schema die voor hen normaalgesproken niet toegankelijk zijn, gebruikt u FileMaker Pro Advanced om de privilegeset Volledige toegang permanent uit de oplossing te verwijderen.

Zie Beheerdertoegang tot databases intrekken in de Help van FileMaker Pro Advanced.

Gebruik FileMaker Pro Advanced om alle informatie te coderen die in een bestand is opgeslagen (ook bekend als Encryption at Rest). Met databasecodering wordt uw oplossing beveiligd als iemand fysieke toegang tot het bestand krijgt.

Voor databasecodering is een FileMaker-bestandsaccount met volledige toegangsprivileges voor elk bestand dat moet worden gecodeerd, een coderingswachtwoord en een gedeelde id vereist. Gebruikers moeten het coderingswachtwoord invoeren wanneer FileMaker Pro Advanced of FileMaker Go een lokaal bestand opent of wanneer FileMaker Server of het FileMaker Cloud-product een bestand opent alvorens het te hosten. De gedeelde id is gekoppeld aan meerdere gecodeerde bestanden. Wanneer een gecodeerd bestand probeert toegang te krijgen tot een ander gecodeerd bestand, wordt aan de gebruiker niet nogmaals het coderingswachtwoord gevraagd als de coderingswachtwoorden en de gedeelde id's overeenkomen.

Zie Databasebestanden coderen in de Help van FileMaker Pro Advanced en Sterke wachtwoorden gebruiken.

Wanneer u een gecodeerd bestand opent in FileMaker Server of een FileMaker Cloud-product, kunt u het wachtwoord opslaan zodat gecodeerde bestanden automatisch worden geopend wanneer de server opnieuw wordt gestart. FileMaker gebruikt een tweeledige AES-256-codering waarbij gebruik wordt gemaakt van een samengestelde sleutel op basis van informatie van de computer om het wachtwoord te coderen en vervolgens slaat FileMaker het wachtwoord veilig op de server op.

Zie Gehoste bestanden openen en Het wachtwoord van de databasecodering wissen in de Help van FileMaker Server, en Databasebestanden coderen en uploaden in de Help van het FileMaker Cloud-product.

Als een bestand niet is gecodeerd, wordt het bestand automatisch door FileMaker Cloud gecodeerd. Klik op het tabblad Databases om het coderingswachtwoord voor een database weer te geven. Klik op het pijltje omlaag rechts naast de naam van de database en klik vervolgens op Coderingswachtwoord weergeven. Zie de documentatie bij het FileMaker Cloud-product.

Het FileMaker-platform biedt de volgende functies voor het coderen en decoderen van gegevens met een opgegeven sleutel:

• CryptEncryptBase64: accepteert tekst of containergegevens en retourneert gecodeerde tekst die met Base64 is gecodeerd.
• CryptDecryptBase64: accepteert die door CryptEncryptBase64 Base64-gecodeerd is en retourneert gedecodeerde gegevens als hetzelfde type (tekst of containergegevens) als van voor de codering.

Als u meer controle wilt hebben over de manier waarop gecodeerde gegevens worden gecodeerd en geformatteerd, kunt u de functies CryptEncrypt en CryptDecrypt gebruiken.

Deze functies gebruiken het PBKDF2-algoritme om de opgegeven sleutel naar een cryptografische sleutel te converteren voordat gegevens worden gecodeerd of gedecodeerd. Met deze sleutel worden gegevens gecodeerd met behulp van het volgens AES-GCM geverifieerde coderingsalgoritme op het 128-bits niveau. Het resultaat bevat een gecodeerde SHA256-samenvatting van gegevens waarmee de gegevens tijdens de decodering worden gevalideerd.

Als ontwikkelaar moet u bepalen hoe u sleutels veilig beheert:

• Maken: voor het maken (of genereren) van sleutels gelden ten minste de volgende elementen: sleutellengte, complexiteit en entropie.
• Opslag: sla sleutels veilig op, afzonderlijk van de gegevens die met deze sleutels worden gedecodeerd.
• Retentie: sleutels moeten beschikbaar zijn zolang de gecodeerde gegevens beschikbaar zijn. Back-ups kunnen bijvoorbeeld niet worden gebruikt als de sleutels niet beschikbaar zijn.
• Vernietiging: afhankelijk van de manier waarop u deze functies gebruikt, worden de gegevens die met een sleutel worden gecodeerd effectief vernietigd wanneer een sleutel wordt vernietigd, omdat de gegevens niet zonder de sleutel kunnen worden gedecodeerd.

Eén van de toepassingen van deze functies is het beschermen van de vertrouwelijkheid van gegevens in een veld (ook wel codering op veldniveau genoemd). Dit coderingsniveau is echter geen vervanging van Encryption at Rest, waarmee het gehele bestand (inclusief back-ups) worden beschermd tegen sabotage. Zie Een oplossing coderen.

Houd ook rekening met het volgende:

• Wanneer u gegevens probeert te decoderen die al zijn gedecodeerd, kunnen de gegevens worden vernietigd. Gebruik in plaats daarvan een aparte vlag om aan te geven of gegevens zijn gecodeerd, en decodeer gegevens alleen wanneer dat nodig is.
• Wanneer de inhoud van een veld wordt gecodeerd, vervolgens wordt gedecodeerd en weer opnieuw wordt gecodeerd, zullen de gecodeerde waarden telkens anders zijn.
• Als de sleutel mogelijk is aangetast, moet u alle records kunnen zoeken die de gecodeerde gegevens bevatten, zodat u deze met de aangetaste sleutel kunt decoderen en met een nieuwe sleutel opnieuw kunt coderen.

Als een databasecodering voor een oplossing is ingeschakeld of als containergegevens zijn geconfigureerd voor externe opslag, worden alle containergegevens standaard gecodeerd (beveiligde opslag). Als u bij het coderen van databasebestanden of bij het extern opslaan van containergegevens de containergegevens niet wilt coderen, kunt u de containergegevens in een open opslag houden. (U kunt dit echter niet uitvoeren voor bestanden die door FileMaker Cloud worden gehost. Hiervoor moeten extern opgeslagen containergegevens worden gecodeerd.) Zie Database bestanden coderen en Containervelden instellen voor externe gegevensopslag in de Help van FileMaker Pro Advanced.

Aantekeningen:

• Voor bestanden die door FileMaker Cloud worden gehost, kunt u gegevens met beveiligde opslag niet overdragen naar ingesloten containergegevens. FileMaker Cloud gebruikt FileMaker Data Storage voor containergegevens die worden geconfigureerd voor externe opslag.

Als uw oplossing REST-API's gebruikt voor webservices waarvoor u digitaal ondertekende gegevens moet genereren of waarvoor u ondertekende gegevens met RSA-sleutels moet verifiëren, gebruikt u de functies CryptGenerateSignature en CryptVerifySignature.

FileMaker Server biedt verschillende typen back-ups: automatisch, op verzoek, gepland en progressief.

• Voor automatische back-ups maakt FileMaker Server eens per dag een volledige back-up van alle gehoste databases.
• Voor back-ups op verzoek kunt u een volledige back-up maken van alle gehoste databases door op elk gewenst moment op Back Up Now (Nu back-up maken) te klikken.
• Bij een geplande back-up controleert FileMaker Server of gegevens gewijzigd zijn sinds de laatste back-up en wordt een volledige kopie gemaakt van databases en containergegevens die zijn gewijzigd.
• Bij een progressieve back-up maakt FileMaker Server in de map voor progressieve back-ups twee volledige back-ups van alle gehoste databases. Na de opgegeven interval worden eventuele wijzigingen doorgevoerd in de oudste back-up.

FileMaker Server slaat back-ups alleen op lokale schijven op. Gebruik andere tools om de lokale back-ups te kopiëren zodat u externe back-ups kunt bieden voor herstel na een ramp. Kies voor opgeslagen back-ups een veilige fysieke locatie.

Zie Informatie over back-upopties in de Help van FileMaker Server.

FileMaker Cloud for AWS biedt back-ups als momentopnamen van uw opslagvolume en hierin staan al uw gegevens, waaronder databases, configuraties en logboeken. Back-ups worden elke 20 minuten uitgevoerd en FileMaker Cloud for AWS bewaart een week aan back-ups. FileMaker Cloud for AWS kan ook back-ups opslaan in Amazon Simple Storage Service.

FileMaker Cloud maakt een volledige back-up van een database zodra de database is geüpload. Van databases waarin wijzigingen zijn aangebracht, wordt automatisch elke 20 minuten een back-up gemaakt. Back-ups worden 30 dagen lang opgeslagen en daarna automatisch verwijderd. U kunt back-ups bewaren, back-ups uit de lijst met bewaarde back-ups verwijderen, het back-uplabel bewerken en back-ups herstellen.

U kunt instellen dat extern geverifieerde accounts zich kunnen aanmelden bij Admin Console (Beheerconsole) en fungeren als serverbeheerders. Met deze accounts kunnen alle instellingen in FileMaker Server worden gewijzigd, behalve de gebruikersnaam en het wachtwoord van Admin Console.

1. Bij Identity Authentication Settings (Instellingen identiteitverificatie) configureert u de instelling External Accounts for Admin Console Sign In (Externe accounts voor aanmelding bij Beheerconsole) door de groepsnaam in te vullen die wordt gebruikt voor verificatie van toegang. (De notatie is mogelijk groepsnaam, domein\groepsnaam of groepsnaam@lokale computer.)
2. Schakel bij Admin Console Sign In (Aanmelding Beheerconsole) de optie External Accounts (Externe accounts) in.

Als hoofdbeheerder kunt u toestaan dat niet-hoofdbeheerders zich aanmelden en de meeste aspecten van FileMaker Cloud for AWS beheren. Niet-hoofdbeheerders kunnen accounts van andere beheerders niet wijzigen, geen SSL-certificaten importeren en het FileMaker Cloud for AWS-abonnement niet beëindigen.

FileMaker Server biedt een standaard SSL-certificaat dat is ondertekend door FileMaker, Inc. en dat de servernaam niet controleert.

FileMaker Cloud for AWS biedt een standaard SSL-certificaat. U kunt het standaardcertificaat vernieuwen of uw eigen aangepaste certificaat importeren. Raadpleeg de FileMaker Cloud-productdocumentatie om SSL-certificaten te beheren.

FileMaker Cloud biedt en configureert een SSL-certificaat voor de host. U kunt geen aangepaste certificaten gebruiken met FileMaker Cloud.

Als FileMaker Server een geldig SSL-certificaat heeft, worden met HSTS (HTTP Strict Transport Security) webclients beperkt tot HTTPS-verbindingen. Nadat een webclient verbinding maakt met FileMaker Server via HTTPS met HSTS, voorkomt de webbrowser dat de client een HTTP-verbinding gebruikt voor inhoud die wordt gehost door FileMaker Server.

HSTS is ingeschakeld in FileMaker Server wanneer u een aangepast SSL-certificaat importeert.

Aantekeningen

• HSTS is altijd ingeschakeld in FileMaker Cloud-producten.
• macOS: wanneer HSTS is ingeschakeld, zorgt u dat in FileMaker WebDirect aangepaste startpagina's en aangepaste webinhoud worden gehost in de map van Web Publishing Engine HTTPS.

Gebruik de functie Get(ConnectionState) om de codering tussen FileMaker Server of een FileMaker Cloud-product en FileMaker Pro Advanced- of FileMaker Go-clients te testen. Hiermee wordt een van de volgende waarden geretourneerd:

• 0 wanneer er geen netwerkverbinding is voor het huidige bestand.
• 1 voor een verbinding die niet is gecodeerd (FileMaker Server met SSL uitgeschakeld, of met een FileMaker Pro Advanced-host).
• 2 voor een verbinding die is gecodeerd maar waarvoor het SSL-certificaat voor FileMaker Server kan niet worden geverifieerd. U bent mogelijk verbonden met een server die zich voordoet als het werkelijke doel, waardoor uw vertrouwelijke gegevens risico lopen.
• 3 voor een verbinding die is gecodeerd met geverifieerd SSL-certificaat.

Schrijf bijvoorbeeld een script dat moet worden uitgevoerd wanneer een bestand wordt geopend waarmee de gebruiker wordt gewaarschuwd als de verbinding met FileMaker Server niet veilig is.

De gebruiker ziet mogelijk een slotpictogram in het dialoogvenster Bestand openen van FileMaker Pro Advanced, in de rechterbovenhoek van het venster van FileMaker Pro Advanced of in het venster Bestand openen van FileMaker Go.

• is gelijk aan de functie Get(ConnectionState) waarbij 1 wordt geretourneerd.
• is gelijk aan de functie Get(ConnectionState) waarbij 2 wordt geretourneerd.
• is gelijk aan de functie Get(ConnectionState) waarbij 3 wordt geretourneerd.

Opmerking: als clients het IP-adres van de server gebruiken in plaats van de volledig gekwalificeerde hostnaam, zien ze mogelijk een gecodeerde verbinding waarvan het SSL-certificaat voor FileMaker Server niet kan worden geverifieerd. Als u een gecodeerde verbinding met een gecontroleerd SSL-certificaat wilt zien, moeten uw clients de volledig gekwalificeerde hostnaam toevoegen als een favoriete host in het dialoogvenster Hosts in FileMaker Pro Advanced en in Startpaneel in FileMaker Go.