Аутентификация в продукте «Форсайт. Аналитическая платформа»

В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности.

Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».

Настольное приложение

В настольном приложении доступны следующие базовые типы аутентификации:

Дополнительно доступны:

Доступность базовых методов аутентификации зависит от используемой СУБД:

Тип СУБД \ Тип аутентификации

Парольная

Ролевая

Доменная

Интегрированная доменная

Oracle

Microsoft SQL Server 2008

Microsoft SQL Server 2012\2014\2016

Microsoft SQL Server (ODBC)

Teradata

PostgreSQL

SQLite

WEB Service

Условные обозначения:

- тип аутентификации доступен;

- тип аутентификации недоступен.

Парольная аутентификация

Аутентификация производится с использованием логина и пароля. Доступна настройка парольной политики.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

Ролевая аутентификация

Ролевая аутентификация аналогична парольной, производится с использованием логина и пароля. Доступ к объектам определяется по присвоенным пользователю ролям на сервере СУБД, которые совпадают с группами в «Форсайт. Аналитическая платформа».

Примечание. Ролевая аутентификация доступна только при использовании СУБД Microsoft SQL Server.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

  3. СУБД возвращает список ролей пользователя. Список ролей сопоставляется со списком групп платформы. Пользователь получает права, соответствующие группам.

Доменная аутентификация

При доменной аутентификации пользователь подключается с использованием данных указанного доменного пользователя.

Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.

  1. Пользователь вводит доменное имя и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные на сервер СУБД.

  3. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Интегрированная доменная аутентификация

Интегрированная доменная аутентификация аналогична обычной доменной аутентификации, но для авторизации будет использован доменный пользователь, под которым был совершен вход в операционную систему.

Метод аутентификации Kerberos:

При работе с СУБД Teradata интегрированная доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos. Для СУБД PostrgreSQL данный механизм может быть включён опциально в дополнительных параметрах соединения с репозиторием.

Для работы по протоколу Kerberos на клиентском компьютере необходимо установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).

  1. Пользователь вводит доменное имя и пароль при входе в операционную систему.

  2. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные на сервер СУБД.

  3. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Двухфакторная аутентификация

Двухфакторная аутентификация - это метод аутентификации пользователя при помощи запроса аутентификационных данных двух разных типов.

В «Форсайт. Аналитическая платформа» двухфакторная аутентификация в качестве первого типа аутентификации использует любой базовый тип аутентификации, в качестве второго  - сертификат пользователя.

  1. Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».

  2. После запроса пользователь предоставляет «Форсайт. Аналитическая платформа» сертификат.

  3. При совпадении сертификата «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

Встроенная аутентификация

При встроенной аутентификации доступ к данным СУБД происходит под встроенным администратором. Проверка прав пользователя осуществляется на уровне платформы. Учётные данные администратора хранятся в зашифрованном виде. Встроенная аутентификация настраивается через контроль доступа.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» проверяет разрешения пользователя и обращается к СУБД, используя учётные данные встроенного администратора.

Веб-приложение

Для веб-приложения доступны все варианты аутентификации настольного приложения, при этом роль настольного приложения выполняет BI-сервер.

Примечание. Для использования доменной/интегрированной доменной аутентификации необходимы дополнительные настройки.

Дополнительно для веб-приложения доступны следующие методы аутентификации:

OAuth

Аутентификация через протоколы OAuth 1.1 и 2.0 позволяет пользователю авторизоваться под учётной записью сервиса Twitter, Google и других. Подключение к СУБД в этом случае будет производиться под сохраненными зашифрованными учётными данными администратора.

  1. Пользователь вводит логин и пароль соответствующего сервиса.

  2. Поставщик данных (сервис) передает BI-серверу подтверждение аутентификации пользователя.

  3. BI-сервер обращается к СУБД, используя данные встроенного администратора.

SAML

Протокол SAML позволяет совершать обмен аутентификационными данными между поставщиком аутентификации и «Форсайт. Аналитическая платформа». Подключение к СУБД в этом случае будет производиться под сохраненными зашифрованными учётными данными администратора.

  1. Пользователь предоставляет логин и пароль поставщику аутентификации.

  2. Поставщик аутентификации передает «Форсайт. Аналитическая платформа» результат проверки данных пользователя.

  3. «Форсайт. Аналитическая платформа» обращается к СУБД, используя данные встроенного администратора.

Гостевой вход

Для ознакомительной работы с веб-приложением возможна настройка гостевого входа. Пользователь сможет войти под заранее созданной гостевой учётной записью, не указывая учётных данных. При использовании гостевого входа рекомендуется ограничить права для гостевой учётной записи.

  1. Пользователь переходит по гостевой ссылке.

  2. BI-сервер обращается к СУБД, используя заранее введённые логин и пароль от гостевой учётной записи.