В этой статье:
Шаг 1. Подготовка доменного окружения
Шаг 2. Настройка доменной аутентификации
Шаг 3. Сохранение учётных данных для подключения к СУБД
Настройка доменной аутентификации со встроенной авторизацией
Для настройки доменной аутентификации со встроенной авторизацией выполните шаги, указанные ниже. Совместное использование доменной аутентификации со встроенной авторизацией доступно только при работе с СУБД PostgreSQL.
Важно. Настройка встроенной авторизации выполняется один раз при первичной настройке системы.
Шаг 1. Подготовка доменного окружения
«Форсайт. Аналитическая платформа» получает информацию о доменных субъектах безопасности из службы каталогов домена или глобального каталога, которые должны быть настроены в компьютерной сети. Взаимодействие со службой каталогов осуществляется по протоколу LDAP/LDAPS.
Если служба каталогов текущего домена (глобального каталога текущей сети) сформирована на базе Active Directory и работа с «Форсайт. Аналитическая платформа» осуществляется в ОС Windows, то для подключения к данной службе не требуются дополнительные настройки.
Если служба каталогов расположена на сервере с ОС Linux или необходимо подключиться к службе каталогов не текущей, а какой-либо другой сети (сервер с ОС Linux или Windows), то выполните следующие действия в зависимости от операционной системы:
Установите недостающие пакеты в зависимости от версии ОС Linux:
Debian-подобные дистрибутивы:
sudo apt install libldap-2.4-2 libsasl2-modules-gssapi-mit
RedHat-подобные дистрибутивы:
sudo yum install openldap openldap-clients
ALT Linux:
sudo apt-get install openldap-common
Скачайте и запустите инсталлятор OpenSSL. По умолчанию OpenSSL устанавливается в папку C:\Program Files\OpenSSL-Win64.
Добавьте в системную переменную PATH путь до папки bin - C:\Program Files\OpenSSL-Win64\bin.
Шаг 2. Настройка доменной аутентификации
Настройка доменной аутентификации отличается в зависимости от используемого приложения.
Для настройки доменной аутентификации в веб-приложении:
Настройте два подключения к репозиторию в файле Metabases.xml:
для администратора в параметрах подключения к репозиторию должен содержаться атрибут Authentication со значением «1»;
для доменных пользователей в параметрах подключения к репозиторию должен содержаться атрибут Authentication со значением «4».
Пример файла Metabases.xml:
<PP>
<Metabases>
<REPOSITORY_ID Name="WAREHOUSE" Authentication="1" Driver="POSTGRES" Package="STANDARDSECURITYPACKAGE">
<LogonData DATABASE="DATABASE_NAME" SERVER="SERVER_DATABASE" CASESENSITIVE="true"/>
</REPOSITORY_ID>
<REPOSITORY_ID_DOMAIN Name="WAREHOUSE_DOMAIN" Authentication="4" Driver="POSTGRES" Package="STANDARDSECURITYPACKAGE">
<LogonData DATABASE="DATABASE_NAME" SERVER="SERVER_DATABASE" CASESENSITIVE="true"/>
</REPOSITORY_ID_DOMAIN>
</Metabases>
</PP>
Задайте параметры сопоставления атрибутов службы каталогов и атрибутов субъектов безопасности «Форсайт. Аналитическая платформа», укажите учётные данные для подключения к службе каталогов в файле settings.xml. При необходимости для доменов или поддоменов подключите дополнительные контроллеры.
Добавьте доменных пользователей и/или группы в менеджере безопасности.
После выполнения действий будет настроена доменная аутентификация в веб-приложении.
Для настройки доменной аутентификации в настольном приложении:
Настройте два подключения к репозиторию с помощью окна «Настройка подключения к репозиторию»:
для администратора в параметрах подключения к репозиторию должен быть выбран тип аутентификации «Парольная» в раскрывающемся списке параметра «Тип аутентификации»;
для доменных пользователей в параметрах подключения к репозиторию должен быть выбран тип аутентификации «Доменная» в раскрывающемся списке параметра «Тип аутентификации».
Задайте параметры сопоставления атрибутов службы каталогов и атрибутов субъектов безопасности «Форсайт. Аналитическая платформа», укажите учётные данные для подключения к службе каталогов в файле settings.xml. При необходимости для доменов или поддоменов подключите дополнительные контроллеры.
Добавьте доменных пользователей и/или группы в менеджере безопасности.
После выполнения действий будет настроена доменная аутентификация в настольном приложении.
Примечание. Настройки конфигурации файла settings.xml для веб- и настольного приложения должны совпадать при одновременной работе в ОС Linux и Windows с одним репозиторием.
Шаг 3. Сохранение учётных данных для подключения к СУБД
При использовании встроенной авторизации подключение к СУБД выполняется под учётными данными технологической учётной записи. Убедитесь, что в менеджере безопасности создан пользователь, учётные данные которого будут использоваться в качестве технологической учётной записи.
Для сохранения учётных данных технологической учётной записи используйте утилиту PP.Util с параметром save_creds и указанием ключевого слова DBOWNER:
./PP.Util_start.sh /save_creds metabase_id login [password] DBOWNER
PP.Util.exe /save_creds metabase_id login [password] DBOWNER
После выполнения действия:
в ОС Linux учётные данные будут сохранены в файле Metabases.xml в разделе Credentials, соответствующем идентификатору репозитория;
в ОС Windows учётные данные будут сохранены в разделе реестра [HKLM\SOFTWARE\Foresight\Foresight Analytics Platform\10.0\Metabases\<идентификатор репозитория>\Credentials\Item0] и в файле Metabases.xml, если он используется.
В веб-приложении для применения настроек в файле Metabases.xml перезапустите BI-сервер.
Шаг 4. Использование встроенной авторизации
Для использования встроенной авторизации в менеджере безопасности установите флажок «Использовать встроенную авторизацию» на вкладке «Контроль доступа» в разделе «Редактор политик».
Шаг 5. Вход в систему
Для входа в систему выполните действия в окне регистрации:
Выберите репозиторий, предназначенный для доменных пользователей, введите доменное имя пользователя в формате «домен\имя» и пароль.
Нажмите кнопку «Войти».
После выполнения действий авторизация доменного пользователя будет выполняться средствами «Форсайт. Аналитическая платформа». Обращение к СУБД и соединение с репозиторием происходит с использованием сохранённых учётных данных технологической учётной записи.