Аутентификация в продукте «Форсайт. Аналитическая платформа»

В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности.

Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».

Доступны следующие базовые типы аутентификации:

Доступность базовых методов аутентификации зависит от используемой СУБД:

Тип СУБД \ Тип аутентификации Парольная Интегрированная доменная Доменная
Oracle
Microsoft SQL Server 2008
Microsoft SQL Server 2012\2014\2016
Microsoft SQL Server (ODBC)
Teradata
PostgreSQL
SQLite
WEB Service

Условные обозначения:

- тип аутентификации доступен в ОС Linux и Windows;

- тип аутентификации доступен только в ОС Windows;

- тип аутентификации недоступен.

Дополнительно к базовым типам аутентификации доступны:

Помимо базовых типов аутентификации в веб-приложении доступны следующие методы аутентификации:

Парольная аутентификация

Аутентификация производится с использованием логина и пароля. Доступна настройка парольной политики.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

Интегрированная доменная аутентификация

Интегрированная доменная аутентификация аналогична обычной доменной аутентификации, но для авторизации будет использован доменный пользователь, под которым был совершен вход в операционную систему.

Метод аутентификации Kerberos

При работе с СУБД Teradata интегрированная доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos. Для СУБД PostrgreSQL данный механизм может быть включён опционально в дополнительных параметрах соединения с репозиторием.

Для работы по протоколу Kerberos на клиентском компьютере необходимо установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).

  1. Пользователь вводит доменное имя и пароль при входе в операционную систему.

  2. Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.

  3. Операционная система передаёт указанные учётные и временный билет в «Форсайт. Аналитическая платформа».

  4. «Форсайт. Аналитическая платформа» передаёт учётные данные и временный билет  на сервер СУБД.

  5. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Доменная аутентификация

При доменной аутентификации пользователь подключается с использованием данных указанного доменного пользователя.

Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.

  1. Пользователь вводит доменное имя и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные в операционную систему.

  3. Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.

  4. Операционная система возвращает временный билет в «Форсайт. Аналитическая платформа».

  5. «Форсайт. Аналитическая платформа» передаёт указанные учётные и временный билет на сервер СУБД.

  6. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Двухфакторная аутентификация

Двухфакторная аутентификация - это метод аутентификации пользователя при помощи запроса аутентификационных данных двух разных типов.

В «Форсайт. Аналитическая платформа» двухфакторная аутентификация в качестве первого типа аутентификации использует любой базовый тип аутентификации, в качестве второго  - сертификат пользователя.

  1. Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

  3. Пользователь предоставляет «Форсайт. Аналитическая платформа» сертификат после запроса и получает доступ к репозиторию при совпадении сертификата.

Встроенная аутентификация

При встроенной аутентификации доступ к данным СУБД происходит под встроенным администратором. Проверка прав пользователя осуществляется на уровне платформы. Учётные данные администратора хранятся в зашифрованном виде. Встроенная аутентификация настраивается через контроль доступа.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» проверяет разрешения пользователя и обращается к СУБД, используя учётные данные встроенного администратора.

Внешние сервисы

Аутентификация через протокол OAuth 2.0 позволяет пользователю авторизоваться под учётной записью сервиса Google и других. Подключение к СУБД в этом случае будет производиться под сохранёнными зашифрованными учётными данными выделенного пользователя, который создан в менеджере безопасности репозитория и имеет права на подключение.

  1. Пользователь вводит логин и пароль соответствующего сервиса.

  2. Поставщик данных (сервис) передает BI-серверу подтверждение аутентификации пользователя.

  3. BI-сервер обращается к СУБД, используя данные выделенного пользователя.

Гостевой вход

Для ознакомительной работы с веб-приложением возможна настройка гостевого входа. Пользователь сможет войти под заранее созданной гостевой учётной записью, не указывая учётных данных. При использовании гостевого входа рекомендуется ограничить права для гостевой учётной записи.

  1. Пользователь переходит по гостевой ссылке.

  2. BI-сервер обращается к СУБД, используя заранее введённые логин и пароль от гостевой учётной записи.

См. также:

Планирование установки