Инструмент поддерживает интерфейс продукта «Форсайт. Аналитическая платформа» версий 9 и ранее.
При необходимости используйте разделение ролей между администратором информационной безопасности (АИБ) и прикладным администратором (ПА):
администратор информационной безопасности несет ответственность за изменение прав пользователей, раздачу привилегий, изменение политики, очистку протокола доступа и может осуществлять вход только в менеджер безопасности.
Для АИБ будут доступны все разделы, но в разделе «Пользователи» будут недоступны операции создания, обновления (если флажок «АИБ имеет права на применение прав пользователей на уровне СУБД» был снят) и удаления пользователей.
прикладной администратор осуществляет создание и удаление пользователей, просмотр протокола доступа.
При разделении ролей в менеджере безопасности для прикладного администратора будут доступны только разделы «Протокол доступа» и «Пользователи», причем будут недоступны операции отключения подключенного пользователя и смены пароля пользователя.
Примечание. При разделении ролей администраторов механизм личных папок пользователей не доступен. При активации режима разделения ролей администраторов будет выведено сообщение об отключении механизма личных папок.
При активации режима разделения ролей привилегии раздаются следующим образом:
для АИБ будут даны следующие привилегии:
изменение прав пользователей, раздача ролей, изменение политики;
изменение метки безопасности и списка контроля доступа любого объекта. Просмотр всех объектов в навигаторе;
очистка протокола доступа;
отключение пользователей, подключение доменной группы;
просмотр протокола доступа.
При этом из первых четырех привилегий все остальные субъекты исключаются;
для прикладного администратора будут даны привилегии:
право чтения и открытия всех объектов;
просмотр протокола доступа;
создание, удаление пользователей;
применение прав пользователей на уровне СУБД. Данная привилегия будет отдана АИБ, если до активации был установлен флажок «АИБ имеет права на применение прав пользователей на уровне СУБД».
Флажок «АИБ имеет права на применение прав пользователей на уровне СУБД» определяет, будет ли разрешено АИБ производить обновление пользователей и обновление групп пользователей:
при снятом флажке обновление пользователей сможет производить только прикладной администратор, при установленном флажке оба администратора;
при снятом флажке обновление групп пользователей сможет производить только прикладной администратор, при установленном флажке только АИБ.
Для активации режима разделения ролей между администратором информационной безопасности (АИБ) и прикладным администратором нажмите кнопку «Активировать» или «Активировать режим» на вкладке «Общая политика» редактора политик.
Примечание. При активации или деактивации АИБ и при наличии несохраненных изменений в политике безопасности будет выдан запрос на их применение.
Если в схеме существует пользователь с учетной записью *_ISA ( где * - ИМЯСХЕМЫ), то он будет использован в качестве администратора информационной безопасности и в случае успешной активации будет выдано информационное сообщение.
Если в схеме нет такого пользователя, то будет открыт диалог «Свойства пользователя» в настольном приложении или боковая панель «Свойства» в веб-приложении менеджера безопасности для создания пользователя с учетной записью *_ISA ( где * - ИМЯСХЕМЫ), после создания которого будет запущен процесс активации.
После нажатия кнопки «ОК» или «Сохранить» в диалоге подтверждения изменения вступят в силу, режим считается активированным. Вход в систему стандартным образом будет осуществляться только под именем прикладного администратора, под именем администратора информационной безопасности зайти в систему нельзя. Рабочим местом администратора информационной безопасности является менеджер безопасности, запущенный в виде отдельного приложения.
Примечание. Разделение ролей между АИБ и прикладным администратором недоступно при работе в репозитории на базе СУБД SQLite.
Для деактивации режима запустите менеджер безопасности. В окне регистрации укажите учетную запись администратора информационной безопасности и введите его пароль. В открывшемся окне менеджера безопасности перейдите в раздел «Редактор политик» и нажмите кнопку «Деактивировать». Будет открыт диалог подтверждения выполняемых действий. В случае успешного завершения будет выдано информационное сообщение. После закрытия сообщения окно менеджера безопасности будет закрыто и режим разделения ролей между администратором информационной безопасности и прикладным администратором считается деактивированным.
Активация не будет выполнена, если в процессе активации возникли проблемы, связанные с созданием пользователя (ISA) или раздачей прав на системные таблицы для него, будет выдано сообщение о том, что произошла ошибка при активации администратора информационной безопасности. Следует повторить активацию администратора информационной безопасности;
Активация или деактивация может быть выполнена с ошибками. Например, если возникли проблемы при перераспределении прав пользователей, будет выдано сообщение, что не произошла раздача прав на уровне СУБД. Для корректной работы обновите пользователей на уровне СУБД.
См. также:
Общие настройки политики | Экспорт политики безопасности и прав доступа