В Prognoz Platform 8 доступно несколько методов аутентификации. Метод аутентификации подбирается в зависимости от требуемых мер безопасности.
Проверка учетных данных может производиться на сервере СУБД и/или в Prognoz Platform 8.
В настольном приложении доступны следующие базовые типы аутентификации:
парольная;
ролевая;
доменная;
интегрированная доменная.
Дополнительно доступны:
двухфакторная аутентификация;
встроенная аутентификация.
Доступность базовых методов аутентификации зависит от используемой СУБД.
Аутентификация производится с использованием логина и пароля. Доступна настройка парольной политики.
Пользователь вводит логин и пароль в Prognoz Platform 8.
Prognoz Platform 8 обращается к СУБД, используя предоставленные данные.
Ролевая аутентификация аналогична парольной, производится с использованием логина и пароля. Доступ к объектам определяется по присвоенным пользователю ролям на сервере СУБД, которые совпадают с группами в Prognoz Platform 8.
Пользователь вводит логин и пароль в Prognoz Platform 8.
Prognoz Platform 8 обращается к СУБД, используя предоставленные данные.
СУБД возвращает список ролей пользователя. Список ролей сопоставляется со списком групп Prognoz Platform 8. Пользователь получает права, соответствующие группам.
При доменной аутентификации пользователь подключается с использованием данных указанного доменного пользователя.
Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.
Пользователь вводит доменное имя и пароль в Prognoz Platform 8.
Prognoz Platform 8 обращается к доменному контроллеру. Доменный контроллер проверяет правильность указанных данных и делегирует Prognoz Platform 8 право на подключение от имени доменного пользователя с использованием временного билета.
Prognoz Platform 8 обращается к СУБД, используя предоставленные данные.
Интегрированная доменная аутентификация аналогична обычной доменной аутентификации, но для авторизации будет использован доменный пользователь, под которым был совершен вход в систему. Интегрированная доменная аутентификация может быть настроена через разные методы аутентификации.
Пользователь вводит доменное имя и пароль при входе в операционную систему.
Prognoz Platform 8 обращается к доменному контроллеру. Доменный контроллер проверяет правильность указанных данных и делегирует Prognoz Platform 8 право на подключение от имени доменного пользователя с использованием временного билета.
Prognoz Platform 8 обращается к СУБД, используя предоставленные данные.
Пользователь вводит доменное имя и пароль при входе в операционную систему.
Prognoz Platform 8 направляет запрос на подключение к СУБД, содержащий учетные данные пользователя.
СУБД проверяет статус аутентификации пользователя у доменного контроллера. В случае успешной проверки СУБД предоставляет доступ пользователю.
Двухфакторная аутентификация - это метод аутентификации пользователя при помощи запроса аутентификационных данных двух разных типов.
В Prognoz Platform 8 двухфакторная аутентификация в качестве первого типа аутентификации использует любой базовый тип аутентификации, в качестве второго - сертификат пользователя.
Пользователь выполняет базовую аутентификацию в Prognoz Platform 8.
После запроса пользователь предоставляет Prognoz Platform 8 сертификат.
При совпадении сертификата Prognoz Platform 8 обращается к СУБД, используя предоставленные данные.
При встроенной аутентификации доступ к данным СУБД происходит под встроенным администратором. Проверка прав пользователя осуществляется на уровне Prognoz Platform 8. Учетные данные администратора хранятся в зашифрованном виде. Встроенная аутентификация настраивается через контроль доступа.
Пользователь вводит логин и пароль в Prognoz Platform 8.
Prognoz Platform 8 проверяет разрешения пользователя и обращается к СУБД, используя учетные данные встроенного администратора.
Для веб-приложения доступны все варианты аутентификации настольного приложения, при этом роль настольного приложения выполняет BI-сервер.
Примечание. Для настройки интегрированной доменной аутентификации необходимы дополнительные настройки.
Дополнительно для веб-приложения доступны следующие методы аутентификации:
OAuth (только Twitter);
SAML;
гостевой вход.
Примечание. Данные методы также доступны для настольного приложения с помощью использования встроенного языка Fore.
Аутентификация через OAuth позволяет пользователю авторизироваться используя аккаунт Twitter. Подключение к СУБД в этом случае будет производиться под сохраненными зашифрованными учетными данными администратора.
Пользователь вводит логин и пароль от Twitter аккаунта.
Поставщик данных (Twitter.com) передает BI-серверу подтверждение аутентификации пользователя.
BI-сервер обращается к СУБД, используя данные встроенного администратора.
Протокол SAML позволяет совершать обмен аутентификационными данными между поставщиком аутентификации и Prognoz Platform 8. Подключение к СУБД в этом случае будет производиться под сохраненными зашифрованными учетными данными администратора.
Пользователь предоставляет логин и пароль поставщику аутентификации.
Поставщик аутентификации передает Prognoz Platform 8 результат проверки данных пользователя.
Prognoz Platform 8 обращается к СУБД, используя данные встроенного администратора.
Для ознакомительной работы с веб-приложением возможна настройка гостевого входа. Пользователь сможет войти под заранее созданной гостевой учетной записью, не указывая учетных данных. При использовании гостевого входа рекомендуется ограничить права для гостевой учетной записи.
Пользователь переходит по гостевой ссылке.
BI-сервер обращается к СУБД, используя заранее введенные логин и пароль от гостевой учетной записи.
В мобильном приложении используется парольная аутентификация. При использовании мобильного приложения пользователь получает копии отчетов и не может изменить их на сервере.
Пользователь вводит логин и пароль в мобильном приложении Prognoz Platform 8.
Мобильное приложение передает данные BI-серверу для проверки.
BI-сервер проверяет данные и обращается к серверу мобильного приложения за доступными объектами.