В этой статье:
В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности.
Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».
Доступны следующие базовые типы аутентификации:
парольная;
интегрированная доменная;
доменная.
Доступность базовых типов аутентификации зависит от используемой СУБД:
Тип СУБД \ Тип аутентификации | Парольная | Интегрированная доменная | Доменная |
Oracle | |||
Microsoft SQL Server 2008 | |||
Microsoft SQL Server 2012\2014\2016 | |||
Microsoft SQL Server (ODBC) | |||
Teradata | |||
PostgreSQL | |||
SQLite | |||
WEB Service |
Условные обозначения:
- тип аутентификации доступен;
- тип аутентификации недоступен.
Дополнительно к базовым типам аутентификации доступны:
двухфакторная аутентификация. Используется совместно с любым базовым типом аутентификации;
встроенная аутентификация. Используется совместно только с парольным типом аутентификации.
Помимо базовых типов аутентификации в веб-приложении доступны следующие методы аутентификации:
внешние сервисы, поддерживающие протокол OAuth 2.0 или OpenID;
гостевой вход.
Аутентификация пользователя производится с использованием имени пользователя и пароля в явном виде.
Пользователь вводит имя пользователя и пароль в окне регистрации «Форсайт. Аналитическая платформа»:
«Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.
Для использования парольной аутентификации настройте парольную политику.
Интегрированная доменная аутентификация аналогична доменной аутентификации, но для авторизации используется доменный пользователь, под которым был совершен вход в операционную систему.
При работе с СУБД Teradata интегрированная доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos. Для СУБД PostrgreSQL данный механизм может быть включён опционально в дополнительных параметрах подключения к репозиторию.
Для работы по протоколу Kerberos на клиентском компьютере необходимо установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).
Пользователь вводит доменное имя и пароль при входе в операционную систему.
Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.
Операционная система передаёт указанные учётные данные и временный билет в «Форсайт. Аналитическая платформа». В окне регистрации не отображаются поля «Имя пользователя» и «Пароль»:
«Форсайт. Аналитическая платформа» передаёт учётные данные и временный билет на сервер СУБД.
СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.
Аутентификация пользователя производится с использованием домена, имени пользователя и пароля в явном виде. Поддерживается работа с такими службами каталогов, как: Active Directory, OpenLDAP. Для получения подробной информации о механизме взаимодействия «Форсайт. Аналитическая платформа» со службами каталогов домена обратитесь к разделу «Механизм работы с службами каталогов».
Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.
Пользователь вводит доменное имя пользователя в формате «Домен/имя» или «имя@домен» и пароль в окне регистрации «Форсайт. Аналитическая платформа»:
«Форсайт. Аналитическая платформа» передаёт указанные учётные данные в операционную систему.
Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.
Операционная система возвращает временный билет в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» передаёт указанные учётные данные и временный билет на сервер СУБД.
СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.
Для использования доменной аутентификации должны быть добавлены доменные пользователи или доменные группы в менеджере безопасности. При работе в веб-приложении настройте доменную аутентификацию в зависимости от веб-сервера:
если используется веб-сервер Apache HTTP Server обратитесь к разделу «Доменная аутентификация»;
если используется веб-сервер Internet Information Server обратитесь к разделу «Настройка доменной аутентификации на веб-сервере ASP.NET»;
если используется веб-сервер Apache Tomcat обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации при работе с Apache Tomcat».
Аутентификация пользователя производится с использованием любого базового типа аутентификации и сертификата пользователя.
Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.
Пользователь предоставляет «Форсайт. Аналитическая платформа» сертификат после запроса и получает доступ к репозиторию при совпадении сертификата.
Для использования двухфакторной аутентификации обратитесь к разделу «Настройка двухфакторной аутентификации».
Аутентификация пользователя и доступ к данным СУБД производится под встроенным администратором и используется совместно с парольным типом аутентификации. Проверка прав пользователя осуществляется на уровне «Форсайт. Аналитическая платформа». Учётные данные администратора хранятся в зашифрованном виде.
Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» проверяет разрешения пользователя и обращается к СУБД, используя учётные данные встроенного администратора.
Для использования встроенной аутентификации установите флажок «Использовать встроенную авторизацию» в менеджере безопасности и сохраните учётные данные встроенного администратора с помощью утилиты PP.Util.
Примечание. Доступно только в веб-приложении.
Аутентификация пользователя производится под учётной записью сервисов, поддерживающих протокол OAuth 2.0 или OpenID, например, Keycloak. Подключение к СУБД в этом случае производится под сохранёнными зашифрованными учётными данными выделенного пользователя, который создан в менеджере безопасности репозитория и имеет права на подключение.
Пользователь выбирает репозиторий и переходит на внешний сервис авторизации:
Пользователь вводит логин и пароль соответствующего сервиса.
Сервис передает BI-серверу подтверждение аутентификации пользователя.
BI-сервер обращается к СУБД, используя данные выделенного пользователя.
Для использования внешних сервисов, поддерживающих протокол OAuth или OpenID, обратитесь к разделу «Настройка входа через внешние сервисы».
Примечание. Доступно только в веб-приложении.
Для ознакомительной работы с веб-приложением возможна настройка гостевого входа. Пользователь сможет войти под заранее созданной гостевой учётной записью, не указывая учётных данных. При использовании гостевого входа рекомендуется ограничить права для гостевой учётной записи.
Пользователь переходит по гостевой ссылке.
BI-сервер обращается к СУБД, используя заранее введённые имя пользователя и пароль гостевой учётной записи.
Для использования гостевого входа обратитесь к разделу «Настройка гостевого входа».
См. также:
Установка и настройка продукта «Форсайт. Аналитическая платформа»