В этой статье:

Парольная аутентификация

Интегрированная доменная аутентификация

Доменная аутентификация

Двухфакторная аутентификация

Встроенная аутентификация

Внешние сервисы

Гостевой вход

Аутентификация в продукте «Форсайт. Аналитическая платформа»

В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности.

Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».

Доступны следующие базовые типы аутентификации:

Доступность базовых типов аутентификации зависит от используемой СУБД:

Тип СУБД \ Тип аутентификации Парольная Интегрированная доменная Доменная
Oracle
Microsoft SQL Server 2008
Microsoft SQL Server 2012\2014\2016
Microsoft SQL Server (ODBC)
Teradata
PostgreSQL
SQLite
WEB Service

Условные обозначения:

- тип аутентификации доступен;

- тип аутентификации недоступен.

Дополнительно к базовым типам аутентификации доступны:

Помимо базовых типов аутентификации в веб-приложении доступны следующие методы аутентификации:

Парольная аутентификация

Аутентификация пользователя производится с использованием имени пользователя и пароля в явном виде.

  1. Пользователь вводит имя пользователя и пароль в окне регистрации «Форсайт. Аналитическая платформа»:

  1. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

Для использования парольной аутентификации настройте парольную политику.

Интегрированная доменная аутентификация

Интегрированная доменная аутентификация аналогична доменной аутентификации, но для авторизации используется доменный пользователь, под которым был совершен вход в операционную систему.

Метод аутентификации Kerberos

При работе с СУБД Teradata интегрированная доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos. Для СУБД PostrgreSQL данный механизм может быть включён опционально в дополнительных параметрах подключения к репозиторию.

Для работы по протоколу Kerberos на клиентском компьютере необходимо установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).

  1. Пользователь вводит доменное имя и пароль при входе в операционную систему.

  2. Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.

  3. Операционная система передаёт указанные учётные данные и временный билет в «Форсайт. Аналитическая платформа». В окне регистрации не отображаются поля «Имя пользователя» и «Пароль»:

  1. «Форсайт. Аналитическая платформа» передаёт учётные данные и временный билет  на сервер СУБД.

  2. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Доменная аутентификация

Аутентификация пользователя производится с использованием домена, имени пользователя и пароля в явном виде. Поддерживается работа с такими службами каталогов, как: Active Directory, OpenLDAP. Для получения подробной информации о механизме взаимодействия «Форсайт. Аналитическая платформа» со службами каталогов домена обратитесь к разделу «Механизм работы с службами каталогов».

Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.

  1. Пользователь вводит доменное имя пользователя в формате «Домен/имя» или «имя@домен» и пароль в окне регистрации «Форсайт. Аналитическая платформа»:

  1. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные в операционную систему.

  2. Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.

  3. Операционная система возвращает временный билет в «Форсайт. Аналитическая платформа».

  4. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные и временный билет на сервер СУБД.

  5. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Для использования доменной аутентификации должны быть добавлены доменные пользователи или доменные группы в менеджере безопасности. При работе в веб-приложении настройте доменную аутентификацию в зависимости от веб-сервера:

Двухфакторная аутентификация

Аутентификация пользователя производится с использованием любого базового типа аутентификации и сертификата пользователя.

  1. Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

  3. Пользователь предоставляет «Форсайт. Аналитическая платформа» сертификат после запроса и получает доступ к репозиторию при совпадении сертификата.

Для использования двухфакторной аутентификации обратитесь к разделу «Настройка двухфакторной аутентификации».

Встроенная аутентификация

Аутентификация пользователя и доступ к данным СУБД производится под встроенным администратором и используется совместно с парольным типом аутентификации. Проверка прав пользователя осуществляется на уровне «Форсайт. Аналитическая платформа». Учётные данные администратора хранятся в зашифрованном виде.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» проверяет разрешения пользователя и обращается к СУБД, используя учётные данные встроенного администратора.

Для использования встроенной аутентификации установите флажок «Использовать встроенную авторизацию» в менеджере безопасности и сохраните учётные данные встроенного администратора с помощью утилиты PP.Util.

Внешние сервисы

Примечание. Доступно только в веб-приложении.

Аутентификация пользователя производится под учётной записью сервисов, поддерживающих протокол OAuth 2.0 или OpenID, например, Keycloak. Подключение к СУБД в этом случае производится под сохранёнными зашифрованными учётными данными выделенного пользователя, который создан в менеджере безопасности репозитория и имеет права на подключение.

  1. Пользователь выбирает репозиторий и переходит на внешний сервис авторизации:

  1. Пользователь вводит логин и пароль соответствующего сервиса.

  2. Сервис передает BI-серверу подтверждение аутентификации пользователя.

  3. BI-сервер обращается к СУБД, используя данные выделенного пользователя.

Для использования внешних сервисов, поддерживающих протокол OAuth или OpenID, обратитесь к разделу «Настройка входа через внешние сервисы».

Гостевой вход

Примечание. Доступно только в веб-приложении.

Для ознакомительной работы с веб-приложением возможна настройка гостевого входа. Пользователь сможет войти под заранее созданной гостевой учётной записью, не указывая учётных данных. При использовании гостевого входа рекомендуется ограничить права для гостевой учётной записи.

  1. Пользователь переходит по гостевой ссылке.

  2. BI-сервер обращается к СУБД, используя заранее введённые имя пользователя и пароль гостевой учётной записи.

Для использования гостевого входа обратитесь к разделу «Настройка гостевого входа».

См. также:

Установка и настройка продукта «Форсайт. Аналитическая платформа»