Настройка входа через OAuth

В этой статье:

Шаг 1. Настройка подключения к репозиторию

Шаг 2. Настройка параметров для протоколов OAuth

Шаг 3. Подготовка BI-сервера

Шаг 4. Логирование сообщений

Шаг 5. Подготовка и открытие веб-приложения

Для авторизации пользователей при подключении к репозиторию в веб-приложении доступно использование протоколов OAuth версии 1.1 и OAuth версии 2.0.

Протокол OAuth 1.1 позволяет авторизоваться под учётной записью сервиса Twitter, протокол OAuth 2.0 - под учётными записями других сервисов, поддерживающих данный протокол, например, Google.

Для настройки входа в систему с одновременным использованием протоколов OAuth 1.1 и OAuth 2.0 выполните шаги, указанные ниже.

Шаг 1. Настройка подключения к репозиторию

Для подключения к репозиторию под конкретным пользователем, который проходил авторизацию на внешнем сервере, необходимо выполнить описанные в данном шаге настройки для каждого пользователя и для каждого репозитория. При этом в качестве имени пользователя указывается логин, используемый этим пользователем на внешнем сервере. Данный шаг повторите на всех рабочих узлах кластера.

Для настройки подключения к репозиторию:

  1. Добавьте в реестр параметр Alg:

В ОС Windows запустите редактор реестра с помощью файла regedit.exe, расположенного по пути C:\Windows:

1.2.  Перейдите в раздел HKEY_CURRENT_USER\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\Debug\Crypt, в котором хранится закрытый ключ сертификата безопасности.

1.3.  Создайте строковый параметр Alg:

    1. В контекстном меню раздела выполните команду «Создать > Строковый параметр».

    2. Параметр будет создан, его наименование будет переведено в режим редактирования. Введите наименование Alg и нажмите клавишу ENTER.

Примечание. Если параметр Alg уже существует, то пропустите данный шаг.

1.4.  Установите значение «GOST» для параметра Alg:

    1. Дважды щелкните основной кнопкой мыши по параметру Alg или выполните команду «Изменить» в контекстном меню параметра.

    2. В открывшемся окне «Изменение строкового параметра» в поле «Значение» введите значение «GOST».

    3. Нажмите кнопку «OK».

В ОС Linux откройте файл registry.reg, в котором хранятся настройки реестра, и выберите один из способов:

  • вручную добавьте параметр Alg со значением «GOST» в разделе реестра HKEY_CURRENT_USER\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\Debug\Crypt;

  • экспортируйте раздел реестра ОС Windows с добавленным параметром Alg в файл и импортируйте его в ОС Linux.

Для получения подробной информации о настройках реестра в ОС Linux обратитесь к разделу «Конфигурация и настройка».

  1. Запустите утилиту PP.Util, расположенную в папке с установленным продуктом «Форсайт. Аналитическая платформа», с помощью командной строки от имени администратора.

2.1.  Убедитесь, что для пула веб-приложения задана учётная запись операционной системы.

2.2.  Сохраните зашифрованный пароль для входа в репозиторий:

PP.Util /save_creds "идентификатор репозитория" /dc "имя пользователя репозитория"

После выполнения действия будет запрошен пароль для подключения к репозиторию. Введите пароль, после чего будет выведено сообщение «Password for metabase 'идентификатор репозитория' and login 'имя пользователя' saved».

2.3.  Для настройки подключения к репозиторию понадобятся закрытый ключ и сертификат, представляющие собой личную цифровую подпись пользователя. Закрытый ключ и сертификат генерируются в формате PEM при помощи специальных программных средств, например, OpenSSL. Выполните предварительные настройки OpenSSL:

Для ОС Windows используйте последнюю версию OpenSSL. Распакуйте или установите OpenSSL.

Для ОС Linux используйте версию OpenSSL для ОС Linux.

Для установки OpenSSL в Ubuntu/Debian/Astra Linux выполните команду:

sudo apt-get install openssl

Для установки OpenSSL в Ubuntu/Debian/Astra Linux выполните команду:

sudo yum install openssl

2.4. Создайте файл openssl.cnf, содержащий вспомогательную информацию. Конфигурация файла одинакова для ОС Windows и ОС Linux:

[ req ]
default_md = sha1
distinguished_name = req_distinguished_name
 
[ req_distinguished_name ]
countryName = Country
countryName_default = RU
countryName_min = 2
countryName_max = 2
localityName = Locality
localityName_default = Russia
organizationName = Organization
organizationName_default = Foresight
commonName = Common Name
commonName_max = 64
 
[ certauth ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
basicConstraints = CA:true
crlDistributionPoints = @crl
 
[ server ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment,
dataEncipherment
extendedKeyUsage = serverAuth
nsCertType = server
crlDistributionPoints = @crl
 
[ client ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment,
dataEncipherment
extendedKeyUsage = clientAuth
nsCertType = client
crlDistributionPoints = @crl
 
[ crl ]
URI=http://testca.local/ca.crl
 

2.5. Выполните команду для создания корневого сертификата (команда может быть использована как в ОС Windows, так и в ОС Linux):

openssl req -config ./openssl.cnf -newkey rsa:2048 -nodes -keyform PEM -keyout ca.key -x509 -days 3650 -extensions certauth -outform PEM -out ca.cer

При выполнении команды будут запрошены дополнительные данные: PEM пароль и пользовательские данные о владельце сертификата. При запросе «Common name» укажите название выпускаемого удостоверяющего центра, например, «Test CA».

2.6. Выполните команду для генерации ключа для серверного сертификата (команда может быть использована как в ОС Windows, так и в ОС Linux):

openssl genrsa -out server.key 2048

Создайте запрос на подпись серверного сертификата (команда может быть использована как в ОС Windows, так и в ОС Linux):

openssl req -config ./openssl.cnf -new -key server.key -out server.req

Выполните команду для выпуска серверного сертификата сроком действия 1 год (команда может быть использована как в ОС Windows, так и в ОС Linux):

openssl x509 -req -in server.req -CA ca.cer -CAkey ca.key -set_serial 100 -extfile openssl.cnf -extensions server -days 365 -outform PEM -out server.cer

Если требуется изменить срок действия сертификата, исправьте параметр -days перед выпуском сертификата.

Сертификат будет сгенерирован в файл с расширением *.cer, закрытый ключ будет сгенерирован в файл c расширением *.key. Наименования сертификата и ключа могут быть любыми, например, client.cer и client.key.

2.7.  Сохраните сгенерированный сертификат с расширением *.cer в репозиторий:

PP.Util /save_cert "путь до сертификата" <идентификатор репозитория> <имя пользователя>

После выполнения действия будет запрошен пароль указанного пользователя. Полученные учетные данные будут использоваться для подключения к репозиторию. При удачной авторизации и сохранении сертификата будет выведено сообщение «Certificate from file 'путь до сертификата' with identifier 'идентификатор сертификата' saved to metabase 'идентификатор репозитория'».

2.8.  Сохраните сгенерированный закрытый ключ c расширением *.key в реестре:

PP.Util /save_private_key "путь до файла ключа" <идентификатор сертификата> <алгоритм 

шифрования := gos|pro, если не указан, то pro>

Идентификатор сертификата, необходимый для выполнения команды, указан в выводе предыдущей команды.

После выполнения действия будет выведено сообщение «Certificate from file 'путь до ключа' with identifier 'идентификатор сертификата' saved».

После выполнения действий будет настроено подключение к репозиторию.

Шаг 2. Настройка параметров для протоколов OAuth

Для протоколов OAuth в редакторе реестра ОС Windows или в файле registry.reg в ОС Linux добавьте подразделы с именами OAuth-серверов и задайте соответствующие настройки реестра в разделе реестра HKLM\SOFTWARE\Foresight\Foresight Analytics Platform\9.0\PP\BIS\System\OAuth, или сформируйте раздел System в файле settings.xml:

При настройке подключения к репозиторию под конкретным пользователем, который проходил авторизацию на внешнем сервере, значения в параметрах UserIdAttr и UserNameAttr могут совпадать.

Значения, указываемые в параметрах ConsumerKey и ConsumerSecret, могут будут получены после регистрации разрабатываемого приложения на необходимом OAuth-сервере. Данные параметры необходимы, чтобы после авторизации на OAuth-сервере BI-сервер смог проверить и авторизовать соответствующего пользователя в репозитории.

Если параметры ConsumerKey и ConsumerSecret не указаны, то используются внутренние настройки BI-сервера, при этом на OAuth-сервере должно быть зарегистрировано приложение на базе веб-приложения «Форсайт. Аналитическая платформа».

После выполнения действий будут заданы параметры для протоколов OAuth.

Примечание. Для конструктора бизнес-приложений можно настроить автоматическую переадресацию на авторизацию пользователей через протокол OAuth 2.0 при входе в веб-приложение. Для этого в файле DBA.config.json задайте значение «OAuth2» в поле authentication и укажите сервис авторизации, заданный при настройке параметров для протоколов OAuth, в поле autoStartOauthProvider.

Шаг 3. Подготовка BI-сервера

Для подготовки BI-сервера проверьте наличие интернета на сервере, где установлен BI-сервер, и убедитесь, что доступ к сайтам сервисов открыт.

Если интернет-соединение осуществляется через прокси-сервер, то создайте системные переменные CURLOPT_PROXY и CURLOPT_PROXYUSERPWD:

В ОС Windows откройте дополнительные параметры системы с помощью контекстного меню компьютера «Свойства > Дополнительные параметры системы»:

  1. На вкладке «Дополнительно» диалогового окна «Свойства системы» нажмите кнопку «Переменные среды».

  2. В разделе «Системные переменные» диалогового окна «Переменные среды» нажмите кнопку «Создать»:

В ОС Linux добавьте переменные окружения в файл envvars, расположенный по пути /etc/opt/Foresight/fp9.2-biserver. В файле содержатся переменные окружения, которые считываются при старте BI-сервера с экземпляром Apache2.

Добавьте переменные:

Переменные добавляются в файл в формате:

export <имя переменной>=<значение>

Для получения подробной информации о добавлении переменных окружения ОС Linux обратитесь к разделу «Конфигурация и настройка».

После выполнения действий будет подготовлен BI-сервер.

Шаг 4. Логирование сообщений

При настройке и отладке работы веб-приложения могут возникать различные ошибки. Для отслеживания выполняемых действий и получения отладочной информации включите логирование. Для этого в файле /etc/opt/Foresight/fp9.2-biserver/envvars добавьте переменные окружения PP_LOG и CURLOPT_VERBOSE. Более подробно читайте в статье «Конфигурация и настройка».

Шаг 5. Подготовка и открытие веб-приложения

Для подготовки веб-приложения:

  1. В файле PP.xml задайте значение «OAuth» для атрибута authentication в разделе <metabase> и значение true для атрибута enabled в разделе <oAuthService>. Для атрибута use_default_user_oauth укажите значение true, если подключение к репозиторию будет выполняться под пользователем по умолчанию, или значение false для подключения к репозиторию под конкретным пользователем, который проходил авторизацию на внешнем сервере:

<pp>

    <metabase authentication="OAuth" id="идентификатор репозитория"/>
    <oAuthService enabled="true" use_default_user_oauth="true"/>

</pp>
  1. Перезапустите BI-сервер.

  2. Откройте веб-приложение.

После выполнения действий на странице login.html будут доступны кнопки авторизации для входа в систему с использованием протоколов OAuth:

Выберите репозиторий и нажмите кнопку одного из сервисов авторизации без ввода имени пользователя и пароля. После чего будет осуществлен переход на страницу учетной записи соответствующего сервиса, например, Twitter или Google. Введите имя пользователя и пароль на странице сервиса и нажмите кнопку «Авторизоваться». При успешной авторизации будет открыта стартовая страница веб-приложения.

См. также:

Вопросы и ответы | Настройка входа через SAML