Дополнительные настройки контроля доступа

При установленном флажке становится возможным создание для пользователей личных папок, доступ к которым по умолчанию имеет только пользователь, за которым закреплена личная папка.

По умолчанию флажок снят. После установки флажка появляется возможность предварительного просмотра отчетов, созданных с помощью инструментов «Аналитические панели», «Аналитические запросы (OLAP)», «Отчеты» и «Анализ временных рядов», в виде огромных значков в навигаторе объектов.

Если данный флажок установлен, то возможность предварительного просмотра доступна даже для тех объектов, на которые у пользователя нет прав на открытие (то есть чтение данных), но есть права на чтение дескриптора (данное право необходимо, чтобы объект отобразился в навигаторе). При снятии флажка для таких объектов будет отображаться пиктограмма класса объекта.

Если установлены флажки «Использовать мандатный доступ» или «Использовать уровни безопасности», то возможность отображения объектов в виде огромных значков недоступна.

Примечание. Установка/снятие флажка протоколируется.

При установке флажка становится возможным копирование в буфер обмена и копирование экрана. Снятие флажка блокирует данные возможности. По умолчанию флажок установлен.

При установленном флажке включается аудит копирования информации в буфер обмена. Запись фиксируется в протоколе доступа как операция «Экспорт». При снятом флажке «Разрешить копирование в буфер обмена и копирование экрана» будет осуществлен аудит неудачных операций по работе с буфером обмена.

Примечание. Копирование экрана не протоколируется.

По умолчанию флажок установлен. Снятие данного флажка позволяет блокировать средства среды разработки в «Форсайт. Аналитическая платформа», при помощи которых опытные пользователи могут производить экспорт данных из хранилища «Форсайт. Аналитическая платформа». Будет заблокировано выполнение системной сборки Dal, класса File в системной сборке IO, компонента UIQuery. Также не будут выполнены методы:

• для интерфейса IFile:

• Open;

• AppendBinary;

• AppendText;

• OpenBinaryReader;

• OpenTextReader;

• OpenBinaryWriter;

• OpenTextWriter;

• для интерфейса IFileStream:

• Create;

• для интерфейса IFileInfo:

• Open;

• AppendBinary;

• AppendText;

• OpenBinaryReader;

• OpenTextReader;

• OpenBinaryWriter;

• OpenTextWriter.

Установка флажка позволяет освобождаемую память перезаписывать нулями.

Флажок «Использовать роль приложения» доступен, только если репозиторий создан на базе Microsoft SQL Server. Установите флажок для создания специальной роли на сервере СУБД. Все права на уровне СУБД для работы с репозиторием будут раздаваться на специальную роль.

Специальная роль раздает права пользователям при входе в репозиторий без доступа к системным объектам: чтение, изменение, удаление и т.д.

Примечание. Использование роли приложения доступно, если создан служебный пользователь «p4audit».

Установка флажка позволяет применять хэширование пароля. Также при создании соединения с базой данной будет хэшироваться пароль, указанный в настройках базы данных. По умолчанию флажок снят.

При установке данного флажка становится доступным флажок «Не хэшировать пароль администратора», который позволяет отменить хэширование пароля только для администратора.

Примечание. Под администратором (ADMIN) понимается владелец схемы.

Отмена хэширования пароля администратора может понадобиться:

• для использования пароля администратора при подключении к базе данных с помощью TOAD, PlsqlDev. Например, для создания пользователя на уровне СУБД;

• при указании пароля администратора в соединении веб-приложения (web.config).

После включения/отключения хэширования пароля при последующем подключении к базе данных будет проверено, захэширован ли пароль пользователя, если нет/да, то будет открыт диалог смены пароля.

При установке флажка будет использоваться авторизация средствами «Форсайт. Аналитическая платформа»: для доступа к данным СУБД происходит соединение под встроенным администратором (владельцем схемы в СУБД). Проверка прав и паролей осуществляется на уровне «Форсайт. Аналитическая платформа», не используется механизм раздачи грантов через сервер БД. При снятом флажке используется только авторизация средствами СУБД.

Для сохранения логина и пароля владельца схемы СУБД в зашифрованном виде используется утилита PP.Util.exe.

Данный тип авторизации используется в конфигурации работы «Форсайт. Аналитическая платформа» через сервер безопасности.

Примечание. Включенная встроенная авторизация не будет использоваться, если в настройках репозитория установлена интегрированная доменная, доменная или ролевая аутентификация в СУБД.

Флажок доступен при активации режима разделения ролей между АИБ и ПА.

Флажок определяет, будет ли у пользователей, имеющих привилегию как у прикладного администратора, возможность открывать объекты репозитория. При установленном флажке игнорируется наличие у пользователя привилегии «Право чтения и открытия всех объектов», и при попытке открыть объект репозитория будет выдано сообщение о том, что недостаточно прав для выполнения операции.

Флажок становится доступным при активации режима разделения ролей между АИБ и ПА.

Если флажок установлен, то прикладной администратор (или пользователь с привилегией «Создание, удаление пользователей») не сможет удалить пользователя, который обладает какими-либо правами доступа на объекты репозитория. При попытке удаления будет выдано сообщение о том, что у пользователя есть права доступа. Для удаления такого пользователя потребуется снятие всех имеющихся прав доступа. При удалении пользователя проверяются только разрешения, запреты игнорируются, то есть пользователь, у которого есть только запреты, будет удалён.

Флажок доступен при отключенном режиме разделения ролей между АИБ и ПА.

После установки флажка и включении режима разделения ролей администратору информационной безопасности будет запрещено удалять группы с правами доступа на объекты репозитория.

По умолчанию флажок не установлен и становится доступным только при активированном режиме разделения ролей между АИБ и ПА.

Флажок отображается только для репозиториев, подключенных к Oracle.

При установке флажка происходит создание двух ролей, содержащих права на «Create user», «Drop User» и «Alter user»:

• первая роль включает в себя системные привилегии «Create user» и «Drop user»;

• вторая роль включает в себя системную привилегию «Alter user».

При снятии флажка происходит удаление обеих ролей. Также удаление ролей происходит при деактивации режима разделения ролей между прикладным администратором и администратором информационной безопасности.

Установка флажка позволяет задавать период, в течение которого запрещено повторное использование идентификаторов удаленных пользователей.

Установка флажка позволяет задавать период неактивности пользователя, по истечению которого пользователь блокируется.

Отложенная загрузка применяется при большом количестве пользователей, субъекты с признаком отложенной загрузки начнут загружаться после окончания загрузки обычных субъектов.

При установленном флажке все новые субъекты безопасности будут иметь признак отложенной загрузки.

По умолчанию, без использования отложенной загрузки, все субъекты будут загружаться одновременно.