Дополнительные настройки контроля доступа

При установленном флажке становится возможным создание для пользователей личных папок, доступ к которым по умолчанию имеет только пользователь, за которым закреплена личная папка.

По умолчанию флажок снят. После установки флажка появляется возможность предварительного просмотра отчётов, созданных с помощью инструментов «Аналитические панели», «Аналитические запросы (OLAP)», «Отчеты» и «Анализ временных рядов», в виде значков в навигаторе объектов.

Если данный флажок установлен, то возможность предварительного просмотра доступна даже для тех объектов, на которые у пользователя нет прав на открытие (то есть чтение данных), но есть права на чтение дескриптора (данное право необходимо, чтобы объект отобразился в навигаторе). При снятии флажка для таких объектов будет отображаться пиктограмма класса объекта.

Если установлены флажки «Использовать мандатный доступ» или «Использовать уровни безопасности», то возможность отображения объектов в виде значков недоступна.

Примечание. Установка/снятие флажка протоколируется.

При установке флажка становится возможным копирование в буфер обмена и копирование экрана. Снятие флажка блокирует данные возможности. По умолчанию флажок установлен.

При установленном флажке включается аудит копирования информации в буфер обмена. Запись фиксируется в протоколе доступа как операция «Экспорт». При снятом флажке «Разрешить копирование в буфер обмена и копирование экрана» будет осуществлен аудит неудачных операций по работе с буфером обмена.

Примечание. Копирование экрана не протоколируется.

По умолчанию флажок снят, информация о браузере, в котором открыто веб-приложение (User-Agent), не отображается в протоколе доступа.

Для отображения информации о браузере установите флажок. После чего при каждом входе в систему будет отображаться информация о браузере в столбце «Примечание» протокола доступа.

По умолчанию флажок установлен. Снятие данного флажка позволяет блокировать средства среды разработки в «Форсайт. Аналитическая платформа», при помощи которых опытные пользователи могут производить экспорт данных из репозитория. Будет заблокировано выполнение системной сборки Dal, класса File в системной сборке IO, компонента UIQuery. Также не будут выполнены методы:

• для интерфейса IFile:

• Open;

• AppendBinary;

• AppendText;

• OpenBinaryReader;

• OpenTextReader;

• OpenBinaryWriter;

• OpenTextWriter;

• для интерфейса IFileStream:

• Create;

• для интерфейса IFileInfo:

• Open;

• AppendBinary;

• AppendText;

• OpenBinaryReader;

• OpenTextReader;

• OpenBinaryWriter;

• OpenTextWriter.

Установка флажка позволяет освобождаемую память перезаписывать нулями.

Флажок «Использовать роль приложения» доступен, только если репозиторий создан на базе Microsoft SQL Server. Установите флажок для создания специальной роли на сервере СУБД. Специальная роль создается под владельцем схемы и получает полные права доступа к объектам БД.

При открытии соединения с БД через «Форсайт. Аналитическая платформа» выполняется активация специальной роли и текущая сессия получает полные права доступа к объектам БД. Прямое обращение к объектам БД без специальной роли недоступно.

Для управления правами доступа субъектов к объектам на уровне платформы настройте дискреционный метод.

Примечание. Использование роли приложения доступно, если создан служебный пользователь и не используется встроенная авторизация.

Установка флажка позволяет безопасно хранить пароли пользователей в СУБД. Созданные хэши будут храниться в специальной таблице, доступной только служебному пользователю. Также при создании соединения с базой данных будет хэшироваться пароль, указанный в настройках базы данных. По умолчанию флажок снят, при подключении к базе данных пароли передаются в открытом виде.

При установке данного флажка становится доступным флажок «Не хэшировать пароль администратора», который позволяет отменить хэширование пароля только для администратора.

Примечание. Под администратором (ADMIN) понимается владелец схемы.

Отмена хэширования пароля администратора может понадобиться:

• для использования пароля администратора при подключении к базе данных с помощью TOAD, PlsqlDev. Например, для создания пользователя на уровне СУБД;

• при указании пароля администратора в соединении веб-приложения (web.config).

После включения/отключения хэширования пароля при последующем подключении к базе данных будет проверено, захэширован ли пароль пользователя, если нет/да, то будет открыт диалог смены пароля.

Примечание. Флажок доступен, если не используется встроенная авторизация. Если установлен флажок «Использовать встроенную авторизацию», то хэширование паролей выполняется всегда.

При установке флажка будет использоваться авторизация средствами «Форсайт. Аналитическая платформа»: для доступа к данным СУБД происходит соединение под встроенным администратором (владельцем схемы в СУБД). Проверка прав и паролей осуществляется на уровне «Форсайт. Аналитическая платформа», не используется механизм раздачи грантов через сервер БД. Также при установке флажка становятся недоступными флажки «Использовать роль приложения», «Использовать хэширование паролей». При снятом флажке аутентификация выполняется только средствами СУБД.

Для сохранения логина и пароля владельца схемы СУБД в зашифрованном виде используется утилита PP.Util.

Примечание. Включенная встроенная авторизация не будет использоваться, если в настройках репозитория установлена интегрированная доменная или доменная аутентификация в СУБД.

Флажок доступен при активации режима разделения ролей между АИБ и ПА.

Флажок определяет, будет ли у пользователей, имеющих привилегию как у прикладного администратора, возможность открывать объекты репозитория. При установленном флажке игнорируется наличие у пользователя привилегии «Право чтения и открытия всех объектов», и при попытке открыть объект репозитория будет выдано сообщение о том, что недостаточно прав для выполнения операции.

Флажок становится доступным при активации режима разделения ролей между АИБ и ПА.

Если флажок установлен, то прикладной администратор (или пользователь с привилегией «Создание, удаление пользователей») не сможет удалить пользователя, который обладает какими-либо правами доступа на объекты репозитория. При попытке удаления будет выдано сообщение о том, что у пользователя есть права доступа. Для удаления такого пользователя потребуется снятие всех имеющихся прав доступа. При удалении пользователя проверяются только разрешения, запреты игнорируются, то есть пользователь, у которого есть только запреты, будет удалён.

Флажок доступен при отключенном режиме разделения ролей между АИБ и ПА.

После установки флажка и включении режима разделения ролей администратору информационной безопасности будет запрещено удалять группы с правами доступа на объекты репозитория.

По умолчанию флажок не установлен и становится доступным только при активированном режиме разделения ролей между АИБ и ПА.

Флажок отображается только для репозиториев, подключенных к Oracle.

При установке флажка происходит создание двух ролей, содержащих права на «Create user», «Drop User» и «Alter user»:

• первая роль включает в себя системные привилегии «Create user» и «Drop user»;

• вторая роль включает в себя системную привилегию «Alter user».

При снятии флажка происходит удаление обеих ролей. Также удаление ролей происходит при деактивации режима разделения ролей между прикладным администратором и администратором информационной безопасности.

Установка флажка позволяет задавать период, в течение которого запрещено повторное использование идентификаторов удаленных пользователей.

Установка флажка позволяет задавать период неактивности пользователя, по истечению которого пользователь блокируется.

Отложенная загрузка применяется при большом количестве пользователей, субъекты с признаком отложенной загрузки начнут загружаться после окончания загрузки обычных субъектов.

При установленном флажке все новые субъекты безопасности будут иметь признак отложенной загрузки.

По умолчанию, без использования отложенной загрузки, все субъекты будут загружаться одновременно.