В этой статье:

Парольная аутентификация

Интегрированная доменная аутентификация

Доменная аутентификация

Двухфакторная аутентификация

Встроенная авторизация

Внешние сервисы

Гостевой вход

Аутентификация в продукте «Форсайт. Аналитическая платформа»

В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности при настройке доступа к репозиторию.

Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».

Доступны следующие базовые типы аутентификации:

Доступность базовых типов аутентификации зависит от используемой СУБД:

Тип СУБД \ Тип аутентификации Парольная Интегрированная доменная Доменная
Oracle
Microsoft SQL Server
Microsoft SQL Server (ODBC)
PostgreSQL
SQLite
WEB Service

Условные обозначения:

- тип аутентификации доступен в ОС Linux и Windows;

- тип аутентификации доступен только в ОС Windows;

- тип аутентификации недоступен.

Дополнительно к базовым типам аутентификации доступны:

Помимо базовых типов аутентификации в веб-приложении доступны следующие методы аутентификации:

Парольная аутентификация

Аутентификация пользователя производится с использованием имени пользователя и пароля в явном виде.

  1. Пользователь вводит имя пользователя и пароль в окне регистрации «Форсайт. Аналитическая платформа»:

  1. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

Для использования парольной аутентификации настройте парольную политику в менеджере безопасности.

Интегрированная доменная аутентификация

Интегрированная доменная аутентификация аналогична доменной аутентификации, но для авторизации используется доменный пользователь, под которым был совершен вход в операционную систему.

Для СУБД PostrgreSQL интегрированная доменная аутентификация осуществляется с использованием механизма аутентификации Kerberos. Данный механизм может быть включён опционально в дополнительных параметрах подключения к репозиторию.

Для работы по протоколу Kerberos на клиентском компьютере необходимо установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).

  1. Пользователь вводит доменное имя и пароль при входе в операционную систему.

  2. Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.

  3. Операционная система передаёт указанные учётные данные и временный билет в «Форсайт. Аналитическая платформа». В окне регистрации не отображаются поля «Имя пользователя» и «Пароль»:

  1. «Форсайт. Аналитическая платформа» передаёт учётные данные и временный билет на сервер СУБД.

  2. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Для использования интегрированной доменной аутентификации должны быть добавлены доменные пользователи или группы в менеджере безопасности. При работе в веб-приложении настройте интегрированную доменную аутентификацию в зависимости от веб-сервера:

Доменная аутентификация

Аутентификация пользователя производится с использованием домена, имени пользователя и пароля в явном виде. Поддерживается работа с такими службами каталогов, как: Active Directory, OpenLDAP. Для получения подробной информации о механизме взаимодействия «Форсайт. Аналитическая платформа» со службами каталогов домена обратитесь к разделу «Механизм работы со службами каталогов». Доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos на стороне СУБД.

Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.

  1. Пользователь вводит доменное имя пользователя в формате «домен\имя» и пароль в окне регистрации «Форсайт. Аналитическая платформа»:

  1. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные в операционную систему.

  2. Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.

  3. Операционная система возвращает временный билет в «Форсайт. Аналитическая платформа».

  4. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные и временный билет на сервер СУБД.

  5. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Для использования доменной аутентификации должны быть добавлены доменные пользователи или группы в менеджере безопасности. При работе в веб-приложении настройте доменную аутентификацию в зависимости от веб-сервера:

Двухфакторная аутентификация

Аутентификация пользователя производится с использованием любого базового типа аутентификации и сертификата пользователя.

  1. Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

  3. Пользователь предоставляет «Форсайт. Аналитическая платформа» сертификат после запроса и получает доступ к репозиторию при совпадении сертификата.

Для использования двухфакторной аутентификации обратитесь к разделу «Настройка двухфакторной аутентификации».

Встроенная авторизация

Авторизация пользователя и доступ к данным СУБД производится под встроенным администратором и используется совместно с парольным типом аутентификации по умолчанию. Проверка прав пользователя осуществляется на уровне «Форсайт. Аналитическая платформа». Учётные данные администратора хранятся в зашифрованном виде.

  1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

  2. «Форсайт. Аналитическая платформа» проверяет разрешения пользователя и обращается к СУБД, используя учётные данные встроенного администратора.

Доступно совместное использование встроенной авторизации с доменной или интегрированной доменной аутентификацией при работе с СУБД PostgreSQL. Схема взаимодействия элементов встроенной авторизации аналогична схеме взаимодействия элементов с внешним сервисом.

Для использования встроенной авторизации обратитесь к разделу «Настройка встроенной авторизации».

Внешние сервисы

Аутентификация с использованием внешних сервисов доступна только в веб-приложении.

Аутентификация пользователя производится под учётной записью сервисов, поддерживающих протокол OAuth 2.0 или OpenID Connect.

Подключение к СУБД производится под технологической учётной записью.

Технологическая учётная запись - учётная запись, от имени которой происходит взаимодействие с СУБД. Для данной учётной записи в менеджере безопасности должен быть создан соответствующий пользователь, имеющий следующие привилегии:

Учётные данные пользователя должны быть сохранены с помощью утилиты PP.Util.

  1. Пользователь выбирает репозиторий, настроенный на работу с внешним сервисом:

  1. Происходит перенаправление пользователя на внешний сервис авторизации, где пользователь вводит логин и пароль.

  2. BI-сервер авторизуется на внешнем сервисе и получает необходимую информацию о пользователе.

  3. BI-сервер обращается к СУБД, используя предварительно сохранённую технологическую запись.

Для использования внешних сервисов, поддерживающих протокол OAuth или OpenID Connect, и ознакомления с расширенной схемой взаимодействия обратитесь к разделу «Настройка аутентификации через внешние сервисы».

Гостевой вход

Гостевой вход рекомендуется для ознакомительной работы с веб-приложением. Пользователь сможет войти под заранее созданной гостевой учётной записью, не указывая учётных данных. Гостевой вход доступен только в веб-приложении. При использовании гостевого входа рекомендуется ограничить права для гостевой учётной записи. Запуск веб-приложения должен осуществляться в изолированном контуре.

  1. Пользователь переходит по гостевой ссылке.

  2. BI-сервер обращается к СУБД, используя заранее введённые имя пользователя и пароль гостевой учётной записи.

Для использования гостевого входа обратитесь к разделу «Настройка гостевого входа».

См. также:

Установка и настройка продукта «Форсайт. Аналитическая платформа»