В этой статье:
Аутентификация в продукте «Форсайт. Аналитическая платформа»
В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности при настройке доступа к репозиторию.
Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».
Доступны следующие базовые типы аутентификации:
парольная. По умолчанию. Аутентификация пользователя производится с использованием имени пользователя и пароля в явном виде;
интегрированная доменная. Аутентификация пользователя производится с использованием доменного имени пользователя и пароля (текущей учётной записи ОС);
доменная. Аутентификация пользователя производится с использованием домена, имени пользователя и пароля в явном виде.
Доступность базовых типов аутентификации зависит от используемой СУБД:
| Тип СУБД \ Тип аутентификации | Парольная | Интегрированная доменная | Доменная |
| Oracle |  |
 |
|
| Microsoft SQL Server | |
|
|
| Microsoft SQL Server (ODBC) | |
|
|
| PostgreSQL | |
|
|
| SQLite |  |
|
|
| WEB Service | |
|
|
Условные обозначения:
- тип аутентификации доступен в ОС Linux и Windows;
- тип аутентификации доступен только в ОС Windows;
- тип аутентификации недоступен.
Дополнительно к базовым типам аутентификации доступны:
двухфакторная аутентификация. Используется совместно с любым базовым типом аутентификации;
встроенная авторизация. Используется совместно с любым базовым типом аутентификации. Совместное использование встроенной авторизации с доменной или интегрированной доменной аутентификацией доступно только при работе с СУБД PostgreSQL.
Помимо базовых типов аутентификации в веб-приложении доступны следующие методы аутентификации:
внешние сервисы. Поддерживаются протоколы OAuth 2.0 и OpenID Connect;
гостевой вход. Используется для ознакомительной работы с веб-приложением.
Парольная аутентификация
Аутентификация пользователя производится с использованием имени пользователя и пароля в явном виде.
Пользователь вводит имя пользователя и пароль в окне регистрации «Форсайт. Аналитическая платформа»:
«Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.
Для использования парольной аутентификации настройте парольную политику в менеджере безопасности.
Интегрированная доменная аутентификация
Интегрированная доменная аутентификация аналогична доменной аутентификации, но для авторизации используется доменный пользователь, под которым был совершен вход в операционную систему.
Для СУБД PostrgreSQL интегрированная доменная аутентификация осуществляется с использованием механизма аутентификации Kerberos. Данный механизм может быть включён опционально в дополнительных параметрах подключения к репозиторию.
Для работы по протоколу Kerberos на клиентском компьютере необходимо установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).
Пользователь вводит доменное имя и пароль при входе в операционную систему.
Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.
Операционная система передаёт указанные учётные данные и временный билет в «Форсайт. Аналитическая платформа». В окне регистрации не отображаются поля «Имя пользователя» и «Пароль»:
«Форсайт. Аналитическая платформа» передаёт учётные данные и временный билет на сервер СУБД.
СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.
Для использования интегрированной доменной аутентификации должны быть добавлены доменные пользователи или группы в менеджере безопасности. При работе в веб-приложении настройте интегрированную доменную аутентификацию в зависимости от веб-сервера:
если используется веб-сервер Apache2 обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Apache2»;
если используется веб-сервер ASP.NET обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере ASP.NET»;
если используется веб-сервер Java обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Java».
Доменная аутентификация
Аутентификация пользователя производится с использованием домена, имени пользователя и пароля в явном виде. Поддерживается работа с такими службами каталогов, как: Active Directory, OpenLDAP. Для получения подробной информации о механизме взаимодействия «Форсайт. Аналитическая платформа» со службами каталогов домена обратитесь к разделу «Механизм работы со службами каталогов». Доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos на стороне СУБД.
Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.
Пользователь вводит доменное имя пользователя в формате «домен\имя» и пароль в окне регистрации «Форсайт. Аналитическая платформа»:
«Форсайт. Аналитическая платформа» передаёт указанные учётные данные в операционную систему.
Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.
Операционная система возвращает временный билет в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» передаёт указанные учётные данные и временный билет на сервер СУБД.
СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.
Для использования доменной аутентификации должны быть добавлены доменные пользователи или группы в менеджере безопасности. При работе в веб-приложении настройте доменную аутентификацию в зависимости от веб-сервера:
если используется веб-сервер Apache2 обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Apache2»;
если используется веб-сервер ASP.NET обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере ASP.NET»;
если используется веб-сервер Java обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Java».
Двухфакторная аутентификация
Аутентификация пользователя производится с использованием любого базового типа аутентификации и сертификата пользователя.
Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.
Пользователь предоставляет «Форсайт. Аналитическая платформа» сертификат после запроса и получает доступ к репозиторию при совпадении сертификата.
Для использования двухфакторной аутентификации обратитесь к разделу «Настройка двухфакторной аутентификации».
Встроенная авторизация
Авторизация пользователя и доступ к данным СУБД производится под встроенным администратором и используется совместно с парольным типом аутентификации по умолчанию. Проверка прав пользователя осуществляется на уровне «Форсайт. Аналитическая платформа». Учётные данные администратора хранятся в зашифрованном виде.
Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» проверяет разрешения пользователя и обращается к СУБД, используя учётные данные встроенного администратора.
Доступно совместное использование встроенной авторизации с доменной или интегрированной доменной аутентификацией при работе с СУБД PostgreSQL. Схема взаимодействия элементов встроенной авторизации аналогична схеме взаимодействия элементов с внешним сервисом.
Для использования встроенной авторизации обратитесь к разделу «Настройка встроенной авторизации».
Внешние сервисы
Аутентификация с использованием внешних сервисов доступна только в веб-приложении.
Аутентификация пользователя производится под учётной записью сервисов, поддерживающих протокол OAuth 2.0 или OpenID Connect.
Подключение к СУБД производится под технологической учётной записью.
Технологическая учётная запись - учётная запись, от имени которой происходит взаимодействие с СУБД. Для данной учётной записи в менеджере безопасности должен быть создан соответствующий пользователь, имеющий следующие привилегии:
вход в систему;
изменение прав пользователей, раздача ролей, изменение политики;
изменение метки безопасности и списка контроля доступа любого объекта. Просмотр всех объектов в навигаторе;
право чтения и открытия всех объектов;
просмотр протокола доступа;
создание, удаление пользователей;
применение прав пользователей на уровне СУБД;
вход в навигатор объектов.
Учётные данные пользователя должны быть сохранены с помощью утилиты PP.Util.
Пользователь выбирает репозиторий, настроенный на работу с внешним сервисом:
Происходит перенаправление пользователя на внешний сервис авторизации, где пользователь вводит логин и пароль.
BI-сервер авторизуется на внешнем сервисе и получает необходимую информацию о пользователе.
BI-сервер обращается к СУБД, используя предварительно сохранённую технологическую запись.
Для использования внешних сервисов, поддерживающих протокол OAuth или OpenID Connect, и ознакомления с расширенной схемой взаимодействия обратитесь к разделу «Настройка аутентификации через внешние сервисы».
Гостевой вход
Гостевой вход рекомендуется для ознакомительной работы с веб-приложением. Пользователь сможет войти под заранее созданной гостевой учётной записью, не указывая учётных данных. Гостевой вход доступен только в веб-приложении. При использовании гостевого входа рекомендуется ограничить права для гостевой учётной записи. Запуск веб-приложения должен осуществляться в изолированном контуре.
Пользователь переходит по гостевой ссылке.
BI-сервер обращается к СУБД, используя заранее введённые имя пользователя и пароль гостевой учётной записи.
Для использования гостевого входа обратитесь к разделу «Настройка гостевого входа».