Подключение доменной группы

Продукт «Форсайт. Аналитическая платформа» использует информацию из службы каталогов домена или глобального каталога для работы с доменными субъектами безопасности. Подключение доменной группы доступно при использовании следующих поддерживаемых СУБД: PostgreSQL, Oracle, Microsoft SQL Server.

Подключение доменной группы доступно пользователям, обладающим привилегиями «Изменение прав пользователей, раздача ролей, изменение политики», «Создание, удаление пользователей». При разделении ролей между администратором информационной безопасности и прикладным администратором подключение доменных групп доступно только администратору информационной безопасности.

Для СУБД PostgreSQL необходимо предварительно подготовить сервер PostgreSQL. Для СУБД Oracle требуются дополнительные настройки, при этом будет использоваться специальный механизм авторизации доменных пользователей.

Совет. Перед подключением доменных групп рекомендуется проверить идентичность настроек LDAP в файлах settings.xml, расположенных в различных окружениях.

Для подключения доменной группы пользователей в разделе «Группы»:

1. Выполните команду «Добавить доменную группу» в раскрывающемся меню кнопки «Группа» на панели инструментов. После выполнения действия будет открыто «Поиск пользователей и групп»:

2. Задайте параметры:

• Имя. Выберите в раскрывающемся списке способ поиска групп в домене и введите наименование группы в строке поиска;

• Домен. Выберите в раскрывающемся списке домен, в котором будет производиться поиск групп, и введите название домена в строке поиска.

3. Нажмите кнопку «Найти». После выполнения действия будет отображён список доменных групп, удовлетворяющих условиям поиска.

4. Выберите одну или несколько найденных групп в списке, зажав клавишу CTRL.

5. Нажмите кнопку «Добавить».

После выполнения действий будет открыто окно «Создание учетных записей»:

Создание группы на сервере БД

Раздача прав на уровне СУБД

По умолчанию установлен флажок «Применить во всех подобных случаях», для всех добавляемых доменных групп будут выполнены выбранные действия без дополнительных запросов.

Интегрированная доменная авторизация при работе с сервером СУБД PostgreSQL

При использовании интегрированной доменной аутентификации, определённой в параметрах подключения к репозиторию, доступен вход в систему через доменные группы. Права доменной группы распространяются на входящих в неё пользователей СУБД без явного добавления каждой учётной записи в менеджере безопасности.

Примечание. Поддержка доменных групп доступна, если на уровне СУБД содержатся группы в виде ролей и пользователи, входящие в эти роли.

Для входа в систему через доменную группу:

1. Убедитесь, что в СУБД PostgreSQL включена поддержка доменных групп. Субъекты безопасности базы данных синхронизируются с субъектами службы каталогов.

2. Подключите доменную группу в менеджере безопасности. В окне «Создание учетных записей» установите флажок «Раздать права на уровне СУБД».

3. Добавьте привилегии и настройте права доступа к объектам для доменной группы.

После выполнения действий будет доступен вход в систему пользователю, состоящему в доменной группе.

Доменная авторизация при работе с сервером СУБД Oracle

При работе с репозиторием на базе СУБД Oracle реализован специальный механизм авторизации доменных пользователей, которые не добавлены в менеджере безопасности. Данный механизм использует доменные группы и настроенные для них на уровне СУБД роли. Для включения возможности добавления доменных групп в менеджере безопасности репозитория необходимо включить режим совместимости для работы с доменными группами в СУБД Oracle через использование языка Fore. После этого в менеджере безопасности появится возможность подключения доменных групп.

Для дальнейшей настройки выполните следующие шаги:

1. На сервере СУБД создайте роль, для роли раздайте гранты CONNECT и RESOURCE.

2. На сервере СУБД добавьте доменного пользователя. Формат добавления зависит от настроек СУБД и должен соответствовать формату, используемому при подключении к репозиторию. Включите пользователя в созданную на первом шаге роль.

3. В менеджере безопасности на вкладке «Группы» добавьте доменную группу, в которую входит пользователь. В свойствах группы будет доступно поле «Роль СУБД Oracle». По умолчанию в качестве значения роли указывает наименование доменной группы. Укажите в этом поле роль, созданную на первом шаге.

4. Для добавленной доменной группы раздайте необходимые привилегии или включите доменную группу в какую-либо уже имеющуюся группу с настроенными правами доступа - ADMINISTRATORS, USERS или другую. Если в репозитории используется разграничение доступа по уровням, то определите для доменной группы необходимый уровень доступа.

Важно. Для каждой доменной группы должна быть создана только одна роль. Нельзя связывать разные группы с одной ролью. Также несколько ролей нельзя связывать с одной доменной группой.

После этого при подключении доменного пользователя, который отсутствует в менеджере безопасности репозитория, осуществляется проверка на вхождение этого пользователя в доменные группы, которые в свою очередь подключены в менеджере безопасности. Если пользователь входит в какую-либо доменную группу, то проверяется соответствие роли, заданной для группы, тем ролям, которые созданы на сервере СУБД. Если на сервере имеется указанная роль, то осуществляется подключение пользователя. При использовании разграничения доступа по уровням подключение пользователя осуществляется в соответствии с заданным для группы уровнем безопасности. Иначе выдаётся соответствующее сообщение об ошибке.

См. также:

Создание групп пользователей и работа с ними | Создание и редактирование группы пользователей

Копировать ссылку на страницу

Наверх

Нашли ошибку? Выделите текст с ошибкой и нажмите кнопку "Сообщить об ошибке" или CTRL+ENTER.

Справочная система на версию 10.11 LTS от 15/05/2026, © ООО «ФОРСАЙТ»,