Pesquisar

InterSystems Oficial

Seisuke Nakahashi · Jul. 22 10min de leitura

#Segurança #InterSystems IRIS #InterSystems Oficial

InterSystems IRIS 2025.2 から、セキュリティデータが格納される IRISSECURITY データベースが導入されます。これまでセキュリティデータが格納されていた IRISSYS とは異なり、IRISSECURITY データベースは暗号化することが可能です。これにより機密データをより安全に保管することができるようになります。将来のバージョンでは、IRISSECURITYはミラーリングもサポートされる予定です。

このバージョンではあわせて、セキュリティ管理タスク用の %SecurityAdministrator ロールも導入されます。

この記事でお伝えする変更は、継続的デリバリ (CD) および拡張メンテナンス (EM) の両方に導入されます。つまり、バージョン 2025.2 (CD版、2025年7月23日リリース) および 2026.1 (EM版) 以降、InterSystems IRIS に IRISSECURITY データベースが含まれるようになります。そして該当バージョンにアップグレード時に、すべてのセキュリティデータが IRISSYS から IRISSECURITY に自動的に移動します。

InterSystems IRIS 2025.2 は 2025年7月23日リリース予定です。ただし、InterSystems IRIS for Health および Health Connect 2025.2 については、OAuth 設定データに影響を与えるミラーリングの問題の修正が完了するまで公開を延期します。

アップグレード前に

新しく導入される IRISSECURITY によって、現在セキュリティデータを直接参照しているユーザが影響を受ける可能性があります。

ユーザはセキュリティグローバルに直接アクセスできなくなります。代わりに、セキュリティクラスが提供するAPIを利用する必要があります。
OAuth2 グローバルを別のデータベースにマッピングできなくなります。
SQLセキュリティが無効化されている場合でも、ユーザはセキュリティテーブルに対するSQLクエリを実行出来なくなります。
システムデータベースは、事前定義されたシステムリソースを使用するようになります (事前定義されたシステムリソースはユーザ変更不可)。
- Unix では、以前のバージョンで新しいリソースを作成してシステムデータベースに割り当てていた場合、アップグレード後、それらリソースは事前定義されたシステムリソースに置き換わります。(ただし、デフォルトでないリソースを参照しているロールがある場合は、データベースへのアクセスを維持するために、デフォルトのリソースを使用するように手動で変更する必要があります）
- Windows ではリソースをデフォルトに戻す必要があります。データベースにデフォルト以外のリソースがある状態で Windows 上でアップグレードを試みると、アップグレードが停止し (インスタンスは変更されません) 「Database must have a resource label of ...」というエラーメッセージが表示されます。

以下のセクションでは、これら変更点の詳細と、過去バージョンから移行後の代替策をお伝えします。アップグレード前に、ユーザアプリケーションやマクロを確認してテストいただくことを強くお勧めします。以下の注意点もご確認ください。

(直接グローバルにアクセスせず) 提供されるセキュリティAPI経由でセキュリティデータを管理すること
これら API を利用する必要な権限 (%DB_IRISSYS:R および Admin_Secure:U) を持っていること

グローバルアクセス

以前は、IRISSYSデータベースにセキュリティグローバルが格納されており、ユーザは以下の権限があればセキュリティデータにアクセスできました。

%DB_IRISSYS:R: 直接またはセキュリティAPI経由で、セキュリティグローバルを読み取り可能
%DB_IRISSYS:RW: セキュリティグローバルを読み書き可能
%DB_IRISSYS:RW および Admin_Secure:U: セキュリティAPI経由で、セキュリティを管理可能

InterSystems IRIS 2025.2 では以下のようになります。

ユーザはセキュリティグローバルに直接アクセスできなくなります。
%DB_IRISSYS:R と %Admin_Secure:U の両方とも、(提供されたセキュリティAPIを経由して) セキュリティデータにアクセスするため、かつ、セキュリティクラスを通してセキュリティを管理するための、必要最小限の権限になります。
一般的なセキュリティ管理には、新しい %SecurityAdministrator ロールをご利用いただけます。
セキュリティデータへの読み取り専用アクセス (これまでは %DB_IRISSYS:R が相当) が削除されました。

グローバルデータのロケーション

InterSystems IRIS 2025.2 では、以下のセキュリティグローバルデータが、IRISSYS から、IRISSECURITY に格納される ^SECURITY グローバルに移動されました。

^SYS("SECURITY")
^OAuth2.*
^PKI.*
^SYS.TokenAuthD

移動した重要なグローバルは以下のとおりです。関連セキュリティクラス、以前のロケーション、新しいロケーションを掲載しております。

セキュリティクラス	以前のロケーション (IRISSYS)	新しいロケーション (IRISSECURITY)
N/A	^SYS("Security","Version")	^SECURITY("Version")
Security.Applications	^SYS("Security","ApplicationsD")	^SECURITY("ApplicationsD")
Security.DocDBs	^SYS("Security","DocDBsD")	^SECURITY("DocDBsD")
Security.Events	^SYS("Security","EventsD")	^SECURITY("EventsD")
Security.LDAPConfigs	^SYS("Security","LDAPConfigsD")	^SECURITY("LDAPConfigsD")
Security.KMIPServers	^SYS("Security","KMIPServerD")	^SECURITY("KMIPServerD")
Security.Resources	^SYS("Security","ResourcesD")	^SECURITY("ResourcesD")
Security.Roles	^SYS("Security","RolesD")	^SECURITY("RolesD")
Security.Services	^SYS("Security","ServicesD")	^SECURITY("ServicesD")
Security.SSLConfigs	^SYS("Security","SSLConfigsD")	^SECURITY("SSLConfigsD")
Security.System	^SYS("Security","SystemD")	^SECURITY("SystemD")
Security.Users	^SYS("Security","UsersD")	^SECURITY("UsersD")
%SYS.PhoneProviders	^SYS("Security","PhoneProvidersD")	^SECURITY("PhoneProvidersD ")
%SYS.X509Credentials	^SYS("Security","X509CredentialsD")	^SECURITY("X509CredentialsD ")
%SYS.OpenAIM.IdentityServices	^SYS("Security","OpenAIMIdentityServersD")	^SECURITY("OpenAIMIdentityServersD")
OAuth2.AccessToken	^OAuth2. AccessTokenD	^SECURITY("OAuth2.AccessToken ")
OAuth2.Client	^OAuth2.ClientD	^SECURITY("OAuth2.Client")
OAuth2.ServerDefinition	^OAuth2.ServerDefinitionD	^SECURITY("OAuth2.ServerDefinitionD")
OAuth2.Client.MetaData	^OAuth2.Client.MetaDataD	^SECURITY("OAuth2.Client.MetaDataD")
OAuth2.Server.AccessToken	^OAuth2.Server.AccessTokenD	^SECURITY("OAuth2.Server.AccessTokenD")
OAuth2.Server.Client	^OAuth2.Server.ClientD	^SECURITY("OAuth2.Server.ClientD")
OAuth2.Server.Configuration	^OAuth2.Server.ConfigurationD	^SECURITY("OAuth2.Server.ConfigurationD")
OAuth2.Server.JWTid	^OAuth2.Server.JWTidD	^SECURITY("OAuth2.Server.JWTidD")
OAuth2.Server.Metadata	^OAuth2.Server.MetadataD	^SECURITY("OAuth2.Server.MetadataD")
PKI.CAClient	^PKI.CAClientD	^SECURITY("PKI.CAClient")
PKI.CAServer	^PKI.CAServerD	^SECURITY("PKI.CAServer")
PKI.Certificate	^PKI.CertificateD	^SECURITY("PKI.Certificate")
%SYS.TokenAuth	^SYS.TokenAuthD	^SECURITY("TokenAuthD")

OAuth2 グローバルマッピング

これまでは OAuth2 グローバルを別のデータベースにマッピングし、OAuth2 設定をミラーリングすることが出来ました。

InterSystems IRIS 2025.2 では、OAuth2 グローバルをマッピングできなくなりました。また IRISSECURITY はミラーリングできません。そのため現在 OAuth2 情報をミラーリングされていた場合、以下のいずれかの回避策をご利用ください。

プライマリとフェイルオーバの両方で手動で変更する
プライマリから設定をエクスポートし、フェイルオーバ側にインポートします。

OAuth2 構成データのエクスポート

set items = $name(^|"^^:ds:IRISSECURITY"|SECURITY("OAuth2"))_".gbl"
set filename = "/home/oauth2data.gbl"
do $SYSTEM.OBJ.Export(items,filename)

OAuth2 構成データのインポート

do $SYSTEM.OBJ.Import(filename)

SQL Security

これまでは、SQL セキュリティは CPF パラメータ DBMSSecurity によって制御されていました。もし DBMSSecurity が無効であれば、SQL権限のあるユーザは、データベース内のすべてのセキュリティテーブルに任意のクエリを実行できました。

InterSystems IRIS 2025.2 では以下のようになります。

CPF パラメータ DBMSSecurity は、以下のシステムワイドの SQL セキュリティプロパティに置き換わりました。 (管理ポータル > システム管理 > セキュリティ > システム・セキュリティ > システムワイドセキュリティパラメータ > SQLセキュリティを有効にする)
セキュリティ・テーブルは、詳細および一覧を取得する API を通じてのみアクセス可能となります。APIを利用するには、SQLセキュリティが無効になっている場合でも %DB_IRISSYS:R と %Admin_Secure:U の両方の権限が必要となります。

たとえば、ロールの一覧を取得するには、Security.Roles テーブルに直接クエリを実行できなくなります。代わりに、以下のように Security.Roles_List() クエリを使用します。

SELECT Name, Description FROM Security.Roles_List()

IRISSECURITY の暗号化

IRISSECURITY を暗号化する手順は以下のとおりです。

暗号化キーを作成します。管理ポータル > システム管理 > 暗号化 > 新しい暗号化キーファイルを作成
- キーファイル – 暗号化キーファイル名
- 管理者名 – 管理者の名前
- パスワード – キーファイルのパスワード
暗号化キーをアクティベートします。管理ポータル > システム管理 > 暗号化 > データベース暗号化 > キー有効 から、上記で作成した キーファイル、管理者名、パスワード を指定します。
管理ポータル > システム管理 > 暗号化 > データベース暗号化 > 起動設定構成
起動時にキー有効化 ドロップダウンメニューから、キー有効化メソッドを選択します。「インタラクティブ」キー有効を強くお勧めします。
IRISSECURITY データベース暗号 ドロップダウンから「はい」を選択します。
暗号化を有効にするため、システムを再起動します。

%クラスへのアクセスルール

InterSystems IRIS の以前のバージョンでは、ウェブ・アプリケーション用の%クラスにアクセスするには、セキュリティグローバルに値をセットする必要がありました。InterSystems IRIS 2025.2 では、管理ポータルまたは ^SECURITY ルーチンを利用して、この設定を行うことができます。

管理ポータル

管理ポータルを使って %クラスへのアクセスルールを設定する手順は以下のとおりです。

管理ポータル > システム管理 > セキュリティ > アプリケーション > ウェブ・アプリケーション
設定したいアプリケーションを選択
パーセントクラスアクセス タブから以下のオプションを設定
- タイプ: このルールを、指定した%クラス (AllowClass) だけに対するアクセスに適用するか、指定した接頭辞を含むすべてのクラス (AllowPrefix) へのアクセスに適用するか
- クラス名: アプリケーションにアクセスさせる %クラスまたは接頭辞
- アクセス許可: 指定された %クラスまたはパッケージへのアクセスをアプリケーションに与えるかどうか
- すべてのアプリケーションへのアクセスを追加: すべてのアプリケーションにこのルールを適用するか

^SECURITY

^SECURITY ルールを使ってクラスへのアクセスルールを設定する手順は以下のとおりです。

%SYS ネームスペースで ^SECURITY ルーチンを実行
```
DO ^SECURITY
```
オプション 5, 1, 8 を順に選択し、1 を選択して class access rule プロンプトに入る
以下のように指定
- Application? – アプリケーション名
- Allow type? – このルールを、特定のクラスにアクセスできるよう適用するか (AllowClass)、指定した接頭辞を含むすべてのクラスに適用するか (AllowPrefix)
- Class or package name? – アプリケーションにアクセスさせるクラスまたは接頭辞
- Allow access? – 指定クラスまたはパッケージへのアクセスをアプリケーションに許可するかどうか

Discussão (0)0

Entre ou crie uma conta para continuar

InterSystems Oficial

Claire Zheng · Jul. 21

#Segurança #InterSystems IRIS #InterSystems IRIS for Health #InterSystems Oficial

在 InterSystems，我们相信负责任地披露最近发现的安全漏洞。我们向客户提供及时的信息，同时防止信息落入可能滥用信息的人之手。我们还了解每个客户在解决安全问题方面都有不同的要求。

从 2023 年开始，我们对安全漏洞修复方法进行了两项重大更改，我想强调一下：

安全漏洞补丁将包含在每个版本中
改进客户通知

每个版本中的安全漏洞补丁
现在，每个版本都可能包含针对安全漏洞的补丁，而不是等待在安全版本中提供补丁。我们改进的发布节奏将及时向现场提供补丁。

改进客户通知
中低影响项目（通常包括侦察攻击或跨站点脚本攻击等漏洞）将包含在每个版本中，并在产品发布说明中进行描述。

更高严重性项目的修复也将包含在每个版本中，因为它们已准备就绪，但有关修复的信息将被禁运，直到补丁包含在所有受支持的版本中。

当所有受支持的版本中都已修复这些问题时，将针对高严重性和严重性问题发布安全警报。

为什么 InterSystems 做出这些改变？
我们相信这些改进将：

更快地为我们的客户获取安全补丁
帮助专注于最严重的修复
在某些情况下，可以将安全修复程序作为补丁而不是完整的工具包提供
通过按安全影响对漏洞进行分组，提高安全漏洞管理方式的透明度
允许系统管理员根据他们的需要和要求应用更多修复

当然，随着维护版本和持续交付版本的概念，这个过程变得更加复杂。为了帮助客户了解他们何时以及如何获得安全修复，我们发布了包含更详细信息的漏洞处理政策。

我期待到 2023 年，我们可以继续改善您与我们的安全和漏洞管理计划相关的体验。

Discussão (0)1

Entre ou crie uma conta para continuar

Resumo

Anastasia Dyubaylo · Jul. 21

#Developer Community Oficial #Resumo

Articles

#InterSystems IRIS

Hosting a Flask REST API on InterSystems IRIS using WSGI

By Liam Evans

Composing an OpenAPI 2.0 specification.

By Raef Youssef

Massive Scalability with InterSystems IRIS Data Platform

By Developer Community Admin

Introduction to Python Programming in an IRIS context

By Guillaume Rongier

No More Local Limits: Exposing InterSystems IRIS with ngrok

By Vishal Pallerla

Python tool for exporting/importing InterSystems API Manager configurations

By Sylvain Guilbaud

#Developer Community Official

Guidelines for using Generative AI when writing posts on Developer Community

By Anastasia Dyubaylo

How to Delete Your Developer Community Account

By Anastasia Dyubaylo

#Open Exchange

Reviews on Open Exchange - #53

By Robert Cemper

#InterSystems IRIS for Health

InterSystems IRIS JSON

By Ashok Kumar T

Optimizing Performance of Apache Web Server and Web Gateway

By Patrick Jamieson

Announcements

#InterSystems IRIS

[Demo Video] Care Compass – InterSystems IRIS powered RAG AI assistant for Care Managers

By Brad Nissenbaum

Advisory for IRISSECURITY in InterSystems IRIS 2025.2

By Kevin Xu

[Video] InterSystems IRIS: Easy to Consume and Easy to Use

By Anastasia Dyubaylo

Discover what's new in Deltanji at our upcoming User Group

By Laurel James (GJS)

Reminder: Beta Testers Needed for Our Upcoming InterSystems IRIS SQL Professional Certification Exam

By Celeste Canzano

[Demo Video] The Ultimate 3D Industrial Simulation powered by a Game Engine with InterSystems IRIS

By Stephan Mohr

InterSystems Early Access Programs (EAPs)

By Anastasia Dyubaylo

[Video] July Developer Meetup Recording - Building and Evaluating Agentic Generative Retrieval Systems

By Derek Gervais

[Video] From Idea to Impact: The InterSystems Approach

By Anastasia Dyubaylo

#InterSystems IRIS for Health

Demo games Entry (cross post)

By Andrew Wardly

#IRIS contest

Technology Bonuses for the InterSystems Developer Tools Contest 2025

By Evgeny Shvarov

#Job Opportunity

MUMPS DTM to InterSystems IRIS Database Conversion Expert

By Dwain Bowline

#Caché

Opportunity for Cache Object Script Developers

By Parwez Wahid

#Other

[Video] Agentic AI in Action: Building a Decision-Making Loop with LLMs

By Anastasia Dyubaylo

#TrakCare

Feedback needed for a new CCR Certification Exam for TrakCare Application Specialists!

By Ben Spead

Questions

#InterSystems IRIS

Any plans for ODBC 3.8 support?

By Yuri Marx

Use of FHIRPath.API not returning results as expected

By Scott Roth

I think I am getting an error with a CSP Page, "Invalid action", what does this mean?

By Ronaldo Nascimento

Exposing HealthInsight Dashboards on Internet via CSP Web App – 404 Not Found issue

By Riccardo Villa

Websocket client failing to return data

By Touggourt

HTML tag in IRIS

By Touggourt

How to handle a TCP/IP Response without terminator character using EnsLib.TCP.TextLineOutboundAdapter

By Enrico Moreschi

How to create a user via ObjectScript for the instance and specify roles and namespace?

By Ronaldo Nascimento

Login error

By Touggourt

#HealthShare

Read-Only Role for HealthShare Messaging and Production Monitoring, to assign it to a new user.

By Yone Moreno Jiménez

Request for suggestions on how to efficiently replicate a test environment in production

By Elisa Pischedda

#InterSystems IRIS for Health

Create a local copy of a linked table

By Mark OReilly

Disable Inactivity Timeout in Health Connect 2025.1

By Neil Thaiss

Fire-and-forget async/background non-blocking tasks

By Dmitrii Baranov

Start Production with a SQL Trigger

By Unai Pujol

Issue Injecting OAuth Secrets (client_id/client_secret) into IRIS Productions in Docker

By TAZ.R

IRIS 2024.1 Community License Renewal

By Ashok Kumar T

Creating Json Array for API Call

By PhoebeK

DTL AI EAP

By Gary M Lusso

#Caché

what permissions in linux do i need to print from cache?

By Paul Coviello

Error when connecting via CacheExtreme

By Mark Lierman

Anúncio

Liubov Zelenskaia · Jul. 21

#Eventos #Encontros #InterSystems IRIS

Join our next in-person Developer Meetup in Boston to explore the latest trends, tools, and features for innovating on data.
This time we will dive into AI / Agentic AI.

Talk 1
Building Agentic Orchestration Systems
Speaker: @Jayesh Gupta, Solutions Developer, InterSystems

Talk 2
From Research to Production: Building Reliable Multi-LLM Systems for Financial Document Analysis
Speaker: @Nicholai Mitchko, Solution Partner Sales Engineering, InterSystems

>> Register here >>

⏱ Day and Time: August 20, 5:30 p.m. to 7:30 p.m.
📍Amazon Boston Office, 55 Pier 4 Blvd, Boston, MA 02210

Save your seat now!

Food, beverages, and networking opportunities will be provided as always.
Join our Discord channel to connect with developers from the InterSystems developer ecosystem.

Discussão (0)1

Entre ou crie uma conta para continuar

Anúncio

Irène Mykhailova · Jul. 21

#IRIS contest #Portal de ideias da InterSystems

Bonjour, la Communauté !

Notre 💡 Concours d'idées 💡est terminé. 26 nouvelles idées, conformes à la structure requise, ont été retenues !

Elles visent toutes à améliorer InterSystems IRIS et les produits associés, en mettant en avant les avantages concrets pour les développeurs une fois les idées mises en œuvre.

Et maintenant, annonçons les gagnants…

Prix des experts

🥇 La 1re place revient à l'idée Extending an open source LLM to support efficient code generation in InterSystems technology de @Yuri Marx
Le gagnant recevra 🎁 une machine à expresso et à cappuccino Stilosa Barista.

🥈 La 2e place revient à l'idée Streaming JSON Parsing Support de @Ashok Kumar T
Le gagnant recevra 🎁 Osmo Mobile 7.

🥉 La 3e place revient à l'idée Auto-Scaling for Embedded Python Workloads in IRIS de @diba
Le gagnant recevra 🎁 Smart Mini Projector XGODY Gimbal 3.

Tirage au sort

À l'aide de la Roue des Noms, nous avons tiré au sort un heureux gagnant :

🏆 Un prix tiré au sort revient à l'idée Do not include table statistics when exporting Production for deployment de @Enrico Parisi
Le gagnant recevra 🎁 Smart Mini Projector XGODY Gimbal 3.

Voici l'enregistrement du tirage au sort.

🔥 De plus, tous les participants recevront un cadeau spécial : un support multimédia en aluminium.

FÉLICITATIONS À TOUS LES GAGNANTS ET PARTICIPANTS !

Merci pour l'attention que vous portez au Concours d'idées et pour les efforts que vous consacrez au portail officiel de commentaires d'InterSystems 💥

Remarque importante : Les prix sont en cours de production. Nous contacterons tous les participants dès qu'ils seront prêts à être expédiés. Pour toute question, veuillez contacter @Liubka Zelenskaia

Discussão (0)1

Entre ou crie uma conta para continuar

IRIS 2025.2 から導入される IRISSECURITY データベースについて

アップグレード前に

グローバルアクセス

グローバルデータのロケーション

OAuth2 グローバルマッピング

SQL Security

IRISSECURITY の暗号化

管理ポータル

^SECURITY

更新漏洞处理策略

InterSystems Developers Publications, Week July 14 - 20, 2025, Digest

Boston Developer Meetup - AI / Agentic AI

Gagnants du 4e concours d'idées InterSystems

Prix des experts

Tirage au sort