4.7.2.Обеспечение безопасности сервисов. Обзор.
В следующем разделе приводится краткий обзор того, как осуществить безопасность для сервисов. Отдельные шаги рассматриваются более подробно в последующих разделах.
4.7.2.1.Установка защищённого сервиса
Чтобы установить защиту для конкретного сервиса, сначала необходимо создать защищённый сервис (пункт осуществления) для нужного сервиса в securityManager. Это можно сделать с использованием веб-сайта Администратора. Более подробно см. в разделе ‘Управление защищёнными сервисами’.
4.7.2.2.Блокирование прямого доступа
После того, как WSS был настроен таким образом, чтобы обеспечивать безопасный доступ к сервису, это не обязательно означает, что исходный URL сервиса был заблокирован.
Есть несколько способов защиты сервиса:
Путём установки сервиса на отдельном веб-сервере, который будет работать на сервере вне зависимости от прямого доступа в интернет, в то время как WSS будет работать на сервере с доступом в интернет и одновременным доступом к серверу внутренних сервисов.
Путём установки сервиса на отдельном веб-сервере, который будет работать на том же компьютере, что и WSS с доступом в интернет, но используя собственный порт. Этот порт заблокирован от доступа в интернет, поскольку была введена соответствующая сеть или настройки firewall.
Путём конфигурирования ограниченного доступа с помощью стандартных инструментов, доступных на соответствующем веб-сервере. Чтобы сделать это, важно убедиться в том, что WSS в любое время имеет неограниченный доступ к защищённому сервису, в то время как все другие процессы и пользователи (особенно в интернете) не имеют доступа.
4.7.2.3.Установка пользователей и ролей
Установка новых пользователей и ролей для защищённых сервисов не обязательна, так как можно использовать существующих пользователей (более подробно об использовании Администратора см. раздел 'Управление правами').
4.7.2.4.Установка прав
Для установки прав используется веб-приложение Администратор. В области Интеллектуальное управление для защищённых пользователей создаётся новая система правил. Вводимый источник – это URL сервиса, который будет защищён (более подробно об использовании Администратора см. также раздел 'Управление правами').
4.7.2.5.Доступ через securityGateway
securityGateway устанавливается в его собственном контексте Tomcat в процессе инсталляции. Чтобы получить доступ, откройте окно браузера и введите адрес securityGateway (например, https:///securityGateway). Затем введите следующие значения в диалоговые окна:
WSS-URL: URL of the WSS, который защищает сервис, для которого должна быть создан шлюз, например, https:///wss/service/brd_wms/WSS.
Имя пользователя и пароль: введите имя аккаунта, которому была присвоена роль и для которого были введены правила доступа в менеджере правил для этого сервиса.
Если регистрация прошла успешно, securityGateway устанавливает временный доступ, специфичный для аккаунта, для защищённого сервиса. URL результирующего шлюза можно ввести в любой совместимый клиент (например, mapClient из sdi.suite или ESRI ArcMap для secure WMS и т.д.). Из соображений безопасности временный доступ может быть ограничен внешне видимым IP-адресом компьютера, который вызвал диалоговое окно, с помощью которого был создан шлюз.
Шлюз также доступен всем пользователям с ролью sM_Administrator на закладке «Шлюзы» (Gates) интерфейса администратора securityManager. Здесь можно сконфигурировать как временные, так и постоянные шлюзы.
Существует несколько клиентов OGC, которые могут получить доступ к защищённый сервисам напрямую, без необходимости использовать securityGateway. Например, с помощью sdi.suite mapClient можно ввести адрес WSS напрямую.
4.7.3. Пользовательское управление 4.7.3.1.Администратор и администратор группы
Приложение Администратор securityManager, которое является частью securityManager Core Installation, используется для управления пользователями и политикой. Чтобы был доступен Администратор, необходимо войти в систему. Есть два типа Администраторов:
Администраторы с правами, которые применяются ко всем группам
Администраторы группы
Администраторы, которые могут управлять всеми группами, известны как 'Суперадминистраторы', ф соответствующая роль – 'sM_Administrator'. Пользователи, которым была присвоена эта роль, могут управлять всеми данными через securityManager.
При пользовательском управлении администраторы группы, с другой стороны, имеют ограниченные права (что касается интеллектуального управления, однако, администраторы группы имеют такие, же права, как суперадминистраторы). Администраторы группы могут только видеть пользователей и управлять ими в пределах их группы. Всякий раз, как создаются новые пользователи, они всегда будут членами группы, управляемой соответствующим администратором группы. Они не могут создать, удалить, отредактировать ни роли, ни группы. Соответствующей ролью является 'sM_GroupAdministrator'.
После инсталляции устанавливается пользователь по умолчанию с именем 'Administrator/Administrator', и роль 'sM_Administrator'. Это имя пользователя необходимо изменить сразу после установки. Все пользователи, которым была присвоена эта роль, уполномочены использовать Администратор.
4.7.3.2.Установка пользователей
Пользователи, группы и роли могут быть созданы under User Management. Ко всем трём можно получить доступ через три структуры, а также можно создать новую группу, роль или пользователя,
Щёлкнув на соответствующем узле. Если вы щёлкните непосредственно на группе, роли или имени пользователя, вы сможете удалить или изменить его.
Личные данные, которые сообщает пользователь, нужны только в информационных целях, они не играют никакой роли в процессах авторизации или аутентификации. В последних случаях это – административные пользовательские данные, которые имеют значимость. Имя пользователя и пароль требуются для входа пользователя в систему. Также возможно присвоить группу и роли 1…n. Присвоение группе является обязательным условием. Если ни одна группа не выбрана, используется значение по умолчанию 'Default'. Информация о группе отображается как часть пользовательской идентичности. Пользователями могут управлять суперадминистраторы, а также администраторы группы.
Роли – это центральные элементы для создания связей между пользователями и policies. В системе может быть задано любое количество policies. The policy manager может использоваться для присвоения (и тем самым предоставления) роли определённых разрешающих прав (~ привилегий). Пользователь, которому
Была присвоена такая роль, затем автоматически становится обладателем прав, которые были предоставлены для этой роли.
Чтобы добавить роли, поставьте отметку рядом с соответствующим именем роли.
4.7.3.3.Установка ролей
Чтобы установить роли, запустите Администратор securityManager и выберите закладку Пользовательское управление (User Management). Щёлкните на узле Роли (Roles), чтобы добавить новую роль.
Созданным в области Policy Management ролям могут быть присвоены собственные права. Обратите внимание, что имена полей впоследствии нельзя будет изменить. Если всё-таки нужно изменить имя, единственным способом будет удаление существующего имени и создание нового.
4.7.3.4.Установка групп
Группы можно создать с помощью Администратора securityManager через область Пользовательское управление (User Management). Информация о группе, как правило, используется для администрации группы, т.е. члены группы также могут управляться администратором группы.
Кроме того, информацию о группе можно включить как часть идентичности, например во время авторизации.
Можно просмотреть пользователей, принадлежащих группе, щёлкнув на кнопке «List Users».
Особые случаи и ограничения
- Группы или роли, начинающиеся с sM или tC, являются системными объектами, их нельзя ни изменить, ни удалить.
- Пользователь, вошедший в систему, не может удалить себя.
- Роли и группы могут быть удалены, только если они больше не присвоены какому-либо пользователю.
4.7.3.5.Опции для администраторов группы
После входа securityManager администраторы группы получают опции создания новых пользователей для своей группы. Нельзя выбрать другую
Группу или создать новые роли или группы. Соответственно, в дереве навигации отображаются только соответствующая группа плюс все роли за исключением sM_Administrator.
Администратор группы может только просматривать данные пользователей в своей группе; все остальные пользователи скрыты.
4.7.3.6.Создание и изменение пользователем своей учётной записи
Помимо управления пользователями с помощью специального Администратора, пользователям доступен также Администратор securityManager Administrator без привилегий изменять данные своего профиля или самостоятельно регистрироваться в качестве новых пользователей.
4.7.3.7.Саморегистрация
Саморегистрация используется для создания в базе данных нового пользователя с ранее определённой ролью ('NewUser') и группой ('Users'). Доступ такого пользователя будет заблокирован, пока он не активирует уникальный URL, который был создан для него и отправлен ему автоматически по электронной почте. Эта процедура проверки гарантирует, что у саморегистрирующегося пользователя, по крайней мере, корректный адрес электронной почты.
Диалоговое окно саморегистрации можно открыть через ссылку Register на странице регистрации securityManager:
Затем пользователь автоматически переходит к форме ввода данных.
После того, как вы введёте информацию о пользователе и щёлкните на Register, пользователю нужно будет подтвердить введённую информацию. После подтверждения информации о пользователе на его адрес электронной почты отправляется автоматическое сообщение с ссылкой подтверждения. Пользователь также создаётся в securityManager хотя на данном этапе он будет отключен.
Когда пользователь перейдёт по ссылке подтверждения, его учётная запись станет доступна, и он сможет войти в систему, введя имя пользователя и пароль.
4.7.3.8.Редактировать профиль (Edit Profile)
Все пользователи системы, за исключением пользователей с правами администратора или администратора группы, а также тех, которые вошли под именем 'Гость', могут редактировать свой профиль в специальном диалоговом окне.
Чтобы открыть диалоговое окно Редактировать профиль (Edit Profile), пользователь должен открыть страницу запуска licenseManager. и войти под своим именем пользователя и паролем. В случае гибридной конфигурации пользовательского управления, пользователь должен ввести своё имя, оканчивающееся именем домена (user@). В диалоговом окне входа в licenseManager есть окошко выбора с возможными именами доменов.
После входа в систему пользователь может выбирать из следующих опций:
Пользователь может открыть диалоговое окно Изменить (Change) через ссылку Данные моей учётной записи (My Account Data).
Если пользователь отредактировал данные своего профиля и перенёс изменения в систему, щёлкнув на "Редактировать", он получает подтверждение, что изменения прошли успешно. Тогда в системе будет доступна отредактированная информация.
Щёлкнув на „Изменить пароль“, пользователь откроет следующее диалоговое окно:
В этом диалоговом окне пользователь может изменить пароль. Вы должны подтвердить это изменение, введя текущий пароль.
|
