Дополнительные настройки контроля доступа

При установленном флажке становится возможным создание для пользователей личных папок, доступ к которым по умолчанию имеет только пользователь, за которым закреплена личная папка.

По умолчанию флажок снят. После установки флажка появляется возможность предварительного просмотра отчётов, созданных с помощью инструментов «Аналитические панели», «Аналитические запросы (OLAP)» и «Отчеты», в виде значков в навигаторе объектов.

Если данный флажок установлен, то возможность предварительного просмотра доступна даже для тех объектов, на которые у пользователя нет прав на открытие (то есть чтение данных), но есть права на чтение дескриптора (данное право необходимо, чтобы объект отобразился в навигаторе). При снятии флажка для таких объектов будет отображаться пиктограмма класса объекта.

Если установлены флажки «Использовать мандатный доступ» или «Использовать уровни безопасности», то возможность отображения объектов в виде значков недоступна.

Примечание. Установка/снятие флажка протоколируется.

При установке флажка становится возможным копирование в буфер обмена и копирование экрана. Снятие флажка блокирует данные возможности. По умолчанию флажок установлен.

При установленном флажке включается аудит копирования информации в буфер обмена. Запись фиксируется в протоколе доступа как операция «Экспорт». При снятом флажке «Разрешить копирование в буфер обмена и копирование экрана» будет осуществлен аудит неудачных операций по работе с буфером обмена.

Примечание. Копирование экрана не протоколируется.

По умолчанию флажок снят, информация о браузере, в котором открыто веб-приложение (User-Agent), не отображается в протоколе доступа.

Для отображения информации о браузере установите флажок. После чего при каждом входе в систему будет отображаться информация о браузере в столбце «Примечание» протокола доступа.

По умолчанию флажок установлен. Снятие данного флажка позволяет блокировать средства среды разработки в «Форсайт. Аналитическая платформа», при помощи которых опытные пользователи могут производить экспорт данных из репозитория. Будет заблокировано выполнение системной сборки Dal, класса File в системной сборке IO, компонента UIQuery. Также не будут выполнены методы:

• для интерфейса IFile:

• Open;

• AppendBinary;

• AppendText;

• OpenBinaryReader;

• OpenTextReader;

• OpenBinaryWriter;

• OpenTextWriter;

• для интерфейса IFileStream:

• Create;

• для интерфейса IFileInfo:

• Open;

• AppendBinary;

• AppendText;

• OpenBinaryReader;

• OpenTextReader;

• OpenBinaryWriter;

• OpenTextWriter.

Установка флажка позволяет освобождаемую память перезаписывать нулями.

Флажок «Использовать роль приложения» доступен, только если репозиторий создан на базе Microsoft SQL Server. Установите флажок для создания специальной роли на сервере СУБД. Специальная роль создается под владельцем схемы и получает полные права доступа к объектам БД.

При открытии соединения с БД через «Форсайт. Аналитическая платформа» выполняется активация специальной роли и текущая сессия получает полные права доступа к объектам БД. Прямое обращение к объектам БД без специальной роли недоступно.

Для управления правами доступа субъектов к объектам на уровне платформы настройте дискреционный метод.

Примечание. Использование роли приложения доступно, если создан служебный пользователь и не используется встроенная авторизация.

Установка флажка позволяет заменять пароли пользователей на их хеши и передавать полученные хеши для подключения к СУБД и входа в систему. Таким образом, пользователю недоступно подключение к СУБД напрямую, без использования «Форсайт. Аналитическая платформа». Также при подключении к базе данных будет хешироваться пароль, указанный в настройках базы данных. По умолчанию флажок снят, при подключении к базе данных пароли передаются в неизменном виде.

Важно. Если в СУБД используется несколько репозиториев, то при хешировании паролей убедитесь, что выполняются следующие условия: в СУБД содержатся уникальные пользователи, которые не пересекаются между репозиториями; в менеджере безопасности установлен флажок «Не хешировать пароль администратора».

При установке данного флажка становится доступным флажок «Не хешировать пароль администратора», который позволяет отменить хеширование пароля владельца схемы ADMIN. По умолчанию флажок установлен.

Отмена хеширования пароля владельца схемы ADMIN актуальна для использования пароля при подключении к базе данных с помощью внешних инструментов администрирования СУБД, например, pgAdmin или psql.

После включения/отключения хеширования пароля при последующем подключении к базе данных будет проверено, захеширован ли пароль пользователя, если нет/да, то будет открыт диалог смены пароля.

Примечание. Флажок «Использовать хеширование паролей» доступен, если не используется встроенная авторизация. При использовании встроенной авторизации подключение к СУБД производится под технологической учётной записью.

По умолчанию флажок снят, аутентификация пользователей выполняется только средствами СУБД. При установке флажка будет использоваться авторизация средствами «Форсайт. Аналитическая платформа»: для доступа к репозиторию метаданных в СУБД происходит соединение под технологической учётной записью. Проверка прав и паролей осуществляется на уровне «Форсайт. Аналитическая платформа», не используется механизм раздачи грантов через сервер БД. Также выполняется хеширование паролей для сравнения хеша, сгенерированного при открытии репозитория, с хешем, сохранённым в специальной таблице репозитория, на уровне СУБД.

При установке данного флажка становятся недоступными флажки «Использовать роль приложения», «Использовать хеширование паролей».

Для настройки встроенной авторизации обратитесь к разделу «Настройка встроенной авторизации».

Важно. Настройка встроенной авторизации выполняется один раз при первичной настройке системы.

Флажок доступен при активации режима разделения ролей между АИБ и ПА.

Флажок определяет, будет ли у пользователей, имеющих привилегию как у прикладного администратора, возможность открывать объекты репозитория. При установленном флажке игнорируется наличие у пользователя привилегии «Право чтения и открытия всех объектов», и при попытке открыть объект репозитория будет выдано сообщение о том, что недостаточно прав для выполнения операции.

Флажок становится доступным при активации режима разделения ролей между АИБ и ПА.

Если флажок установлен, то прикладной администратор (или пользователь с привилегией «Создание, удаление пользователей») не сможет удалить пользователя, который обладает какими-либо правами доступа на объекты репозитория. При попытке удаления будет выдано сообщение о том, что у пользователя есть права доступа. Для удаления такого пользователя потребуется снятие всех имеющихся прав доступа. При удалении пользователя проверяются только разрешения, запреты игнорируются, то есть пользователь, у которого есть только запреты, будет удалён.

Флажок доступен при отключенном режиме разделения ролей между АИБ и ПА.

После установки флажка и включении режима разделения ролей администратору информационной безопасности будет запрещено удалять группы с правами доступа на объекты репозитория.

По умолчанию флажок не установлен и становится доступным только при активированном режиме разделения ролей между АИБ и ПА.

Флажок отображается только для репозиториев, подключенных к Oracle.

При установке флажка происходит создание двух ролей, содержащих права на «Create user», «Drop User» и «Alter user»:

• первая роль включает в себя системные привилегии «Create user» и «Drop user»;

• вторая роль включает в себя системную привилегию «Alter user».

При снятии флажка происходит удаление обеих ролей. Также удаление ролей происходит при деактивации режима разделения ролей между прикладным администратором и администратором информационной безопасности.

Установка флажка позволяет задавать период, в течение которого запрещено повторное использование идентификаторов удаленных пользователей.

Установка флажка позволяет задавать период неактивности пользователя, по истечению которого пользователь блокируется.

Установка флажка актуальна, если в системе содержится более двухсот субъектов безопасности. Субъекты с признаком отложенной загрузки загружаются после окончания загрузки обычных субъектов.

При установленном флажке новые субъекты безопасности создаются с признаком отложенной загрузки.

По умолчанию флажок снят, субъекты безопасности не имеют признака отложенной загрузки и загружаются одновременно.