Настройка аутентификации через внешние сервисы

Для авторизации пользователей при подключении к репозиторию в веб-приложении доступно использование протокола OAuth 2.0 или OpenID Connect. Аутентификация пользователя производится под учётной записью сервисов, поддерживающих данный протокол.

Для настройки входа в систему выполните шаги, указанные ниже.

При необходимости ознакомьтесь с расширенной схемой взаимодействия веб-приложения с внешним сервисом.

Шаг 1. Настройка подключения к репозиторию

Для подключения к репозиторию, необходимо выполнить описанные в данном шаге настройки для каждого репозитория. Повторите данный шаг на всех рабочих узлах кластера, кроме пункта 5.

Для настройки подключения к репозиторию:

1. Запустите приложение PP.Util, расположенное в папке установки продукта «Форсайт. Аналитическая платформа», с помощью командной строки от имени администратора. Ниже приведены команды для настройки подключения к репозиторию. Вместо PP.Util используйте PP.Util_start.sh для выполнения команды в ОС Linux, PP.Util.exe для ОС Windows.

Примечание. В ОС Linux при сохранении зашифрованного пароля технологической учётной записи запрашивается единица лицензирования AnalyticsPlatform. Ознакомьтесь со способами указания системной переменной LSFORCEHOST или LSHOST перед выполнением PP.Util_start.sh.

2. Сохраните зашифрованный пароль технологической учётной записи для подключения к СУБД:

• если предполагается аутентификация на сервере базы данных под одной учётной записью для всех пользователей внешнего сервера, то в менеджере безопасности не обязательно добавлять всех внешних пользователей, но обязательно должен быть добавлен пользователь, учётные данные которого используются для подключения к СУБД. В этом случае учётные данные одного пользователя должны быть сохранены с помощью команды:

PP.Util /save_creds /ALG gos "идентификатор репозитория" /DC "имя пользователя репозитория"

• если предполагается аутентификация на сервере базы данных под пользователем, соответствующим пользователю, который проходил авторизацию на внешнем сервере, то в менеджере безопасности должны быть добавлены все пользователи, учетные данные которых используются для подключения к СУБД. Учётные данные каждого пользователя должны быть сохранены с помощью команды:

PP.Util /save_creds /ALG gos "идентификатор репозитория" "имя пользователя репозитория"

После выполнения действия будет запрошен пароль для подключения к репозиторию. Введите пароль, после чего будет выведено сообщение «Password for metabase 'идентификатор репозитория' and login 'имя пользователя' saved».

3. Для настройки подключения к репозиторию понадобятся закрытый ключ и сертификат, представляющие собой цифровую подпись BI-сервера. Закрытый ключ и сертификат генерируются в формате PEM при помощи специальных программных средств, например, OpenSSL. Распакуйте или установите OpenSSL.

Для установки OpenSSL в ОС Linux выполните команду:

• для Debian-подобных дистрибутивов и ALT Linux:

sudo apt-get install openssl

• для RedHat-подобных дистрибутивов:

sudo yum install openssl

Сертификат генерируется и сохраняется в базу данных репозитория, а ключ для данного сертификата хранится на рабочем узле кластера.

4. Создайте файл openssl.cnf, содержащий вспомогательную информацию:

[ req ]
default_md = sha1
distinguished_name = req_distinguished_name
 
[ req_distinguished_name ]
countryName = Country
countryName_default = RU
countryName_min = 2
countryName_max = 2
localityName = Locality
localityName_default = Russia
organizationName = Organization
organizationName_default = Foresight
commonName = Common Name
commonName_max = 64
 
[ certauth ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
basicConstraints = CA:true
crlDistributionPoints = @crl
 
[ server ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
nsCertType = server
crlDistributionPoints = @crl
 
[ crl ]
URI=http://testca.local/ca.crl

5. Создайте корневой сертификат с помощью команды:

openssl req -config ./openssl.cnf -newkey rsa:2048 -nodes -keyform PEM -keyout ca.key -x509 -days 3650 -extensions certauth -outform PEM -out ca.cer

При выполнении команды будут запрошены дополнительные данные: PEM пароль и пользовательские данные о владельце сертификата. При запросе «Common name» укажите название выпускаемого удостоверяющего центра, например, «Test CA».

6. Сгенерируйте ключ для серверного сертификата с помощью команды:

openssl genrsa -out server.key 2048

Создайте запрос на подпись серверного сертификата:

openssl req -config ./openssl.cnf -new -key server.key -out server.req

Выпустите серверный сертификат сроком действия 1 год:

openssl x509 -req -in server.req -CA ca.cer -CAkey ca.key -set_serial 100 -extfile openssl.cnf -extensions server -days 365 -outform PEM -out server.cer

Если требуется изменить срок действия сертификата, измените значение параметра days перед выпуском сертификата.

Сертификат будет сгенерирован в файл с расширением *.cer, закрытый ключ будет сгенерирован в файл c расширением *.key. Наименования сертификата и ключа могут быть любыми, например, server_name.cer и server_name.key.

Примечание. Наименования сертификатов и ключей должны быть уникальными для каждого рабочего узла кластера.

7. Сохраните сгенерированный сертификат с расширением *.cer в репозиторий:

PP.Util /save_cert "путь до сертификата" <идентификатор репозитория> <имя пользователя>

После выполнения действия будет запрошен пароль указанного пользователя. Полученные учетные данные будут использоваться для подключения к репозиторию. При удачной авторизации и сохранении сертификата будет выведено сообщение «Certificate from file 'путь до сертификата' with identifier 'идентификатор сертификата' saved to metabase 'идентификатор репозитория'».

8. Сохраните сгенерированный закрытый ключ c расширением *.key в реестре:

PP.Util /save_private_key "путь до файла ключа" <идентификатор сертификата> <алгоритм 
шифрования := gos|pro, если не указан, то pro>

Идентификатор сертификата, необходимый для выполнения команды, указан в выводе предыдущей команды.

После выполнения действия будет выведено сообщение «Certificate from file 'путь до ключа' with identifier 'идентификатор сертификата' saved».

После выполнения действий будет настроено подключение к репозиторию.

Шаг 2. Настройка параметров для протокола OAuth/OpenID Connect

При аутентификации через внешние сервисы должно быть настроено соединение между клиентом и BI-сервером по протоколу HTTPS. По умолчанию выполняется проверка параметра state для защиты от потенциальных атак типа CSRF при получении кода авторизации. Если соединение между клиентом и BI-сервером настроено по протоколу HTTP, то создайте параметр StateCheckOff со значением «1» в разделе реестра [HKLM\SOFTWARE\Foresight\Foresight Analytics Platform\10.0\PP\BIS\System\OAuth] или в соответствующем разделе файла settings.xml для отключения проверки.

Для протокола OAuth или OpenID Connect добавьте подразделы с наименованиями сервисов и задайте соответствующие настройки реестра в разделе [HKLM\SOFTWARE\Foresight\Foresight Analytics Platform\10.0\PP\BIS\System\OAuth\<наименование сервиса>] или в соответствующем разделе файла settings.xml со следующими параметрами:

Пример заполнения параметров представлен в разделе System для файла settings.xml.

Примечание. Для конструктора бизнес-приложений можно настроить автоматическую переадресацию на авторизацию пользователей через протокол OAuth/OpenID Connect при входе в веб-приложение. Для этого в файле DBA.config.json задайте значение «OAuth» в поле authentication и укажите сервисы авторизации, заданные при настройке параметров для протокола OAuth или OpenID Connect, в поле allowOauthProviders.

Шаг 3. Подготовка BI-сервера

Взаимодействие BI-сервера с внешними сервисами осуществляется через стороннюю библиотеку libcurl. С её назначением, возможностями и ограничениями можно ознакомиться на официальном сайте https://curl.haxx.se/libcurl/. Работа BI-сервера должна осуществляться по протоколу HTTPS.

Для подготовки BI-сервера проверьте наличие сети Интернет на сервере, где установлен BI-сервер, и убедитесь, что доступ к сайтам сервисов открыт.

Если интернет-соединение осуществляется через прокси-сервер, то создайте системные переменные:

• CURLOPT_PROXY. Задайте переменной значение «proxy.sever.ru:8080», в котором содержится адрес прокси-сервера и порт, через который осуществляется подключение;

• CURLOPT_PROXYUSERPWD. Задайте переменной значение «login:password», в котором содержится имя пользователя и пароль для подключения к интернету.

В ОС Linux переменные окружения содержатся в файле /opt/foresight/fp10.x-biserver/etc/envvars и добавляются в формате: <имя переменной>=<значение>.

Переменные окружения считываются при старте BI-сервера с экземпляром Apache2. Для получения подробной информации о добавлении переменных окружения в ОС Linux обратитесь к разделу «Конфигурация и настройка».

Примечание. При необходимости для отслеживания выполняемых действий и получения отладочной информации создайте переменные окружения PP_LOG и CURLOPT_VERBOSE со значением «1».

Если внешний сервис доступен по протоколу HTTPS, то используйте сертификат безопасности в формате PEM:

• в ОС Linux выполните одно из действий:

• добавьте содержимое сертификата в файл /etc/ssl/certs/ca-certificates.crt;

• добавьте сертификат с расширением *.pem в папку /etc/ssl/certs;

• в ОС Windows:

1. Запустите встроенное приложение «Управление сертификатами компьютеров».

2. Добавьте сертификат в папку «Доверенные корневые центры сертификации > Сертификаты».

Шаг 4. Подготовка и открытие веб-приложения

Работа веб-приложения должна осуществляться по протоколу HTTPS. Для подготовки веб-приложения используйте файл Metabases.xml, добавьте атрибут Authentication со значением «7» и заполните раздел OAuthService с атрибутами:

• Providers. Массив наименований сервисов авторизации, учётные записи которых можно использовать для входа в веб-приложение. Допустимые значения определяются тем, какие сервисы заданы при настройке параметров для протокола OAuth/OpenID Connect, и указываются через точку с запятой. Обязательный атрибут;

• AutoStartProvider. Порядковый номер сервиса авторизации, указанного в массиве атрибута Providers. На выбранный сервис будет выполняться автоматическая переадресация при попытке входа в веб-приложение с использованием протокола OAuth/OpenID Connect. Необязательный атрибут.

Если в качестве значения атрибута используется сервис, который не содержится в атрибуте Providers, то автоматическая переадресация выполняться не будет;

• UseDefaultUser. Признак, который определяет, под какими учётными данными выполняется подключение к СУБД при авторизации через протокол OAuth/OpenID Connect:

• 1. По умолчанию. Подключение к СУБД выполняется под одной технологической учётной записью для всех пользователей внешнего сервера. Учётные данные должны быть сохранены с помощью утилиты PP.Util с параметром /DC;

Примечание. При входе в систему выполняется проверка имени пользователя, полученного от внешнего сервиса с учётом формата, заданного в параметре PPUserNameFormat. Если пользователь с указанным именем не найден в менеджере безопасности, то создаётся временный пользователь в группе «Пользователи». Временный пользователь обладает привилегиями группы «Пользователи» и удаляется по истечении времени жизни текущей сессии. При этом подключение к базе данных СУБД выполняется под одной технологической учётной записью.

• 0. Подключение к СУБД выполняется под технологической учётной записью, соответствующей пользователю, который проходил авторизацию на внешнем сервере. Учётные данные каждого пользователя должны быть сохранены с помощью утилиты PP.Util без параметра /DC.

Необязательный атрибут.

Пример файла Metabases.xml:

<PP>
    <Metabases>
        <REPOSITORY_ID Name="REPOSITORY_ID" Authentication="7" Package="STANDARDSECURITYPACKAGE" DebugMode="1">
            <OAuthService AutoStartProvider="1" Providers="Google" UseDefaultUser="1"/>
            <LogonData DATABASE="DATABASE_NAME" CASESENSITIVE="true" SERVER="SERVER_DATABASE"/>
        </REPOSITORY_ID>
    </Metabases>
</PP>

Альтернативным способом подготовки веб-приложения является добавление аналогичных параметров в раздел реестра:

• [HKEY_CURRENT_USER\SOFTWARE\Foresight\Foresight Analytics Platform\10.0\Metabases\<идентификатор репозитория>] - настройки конкретного репозитория для текущего пользователя, не зависимо от разрядности системы;

• [HKEY_LOCAL_MACHINE\SOFTWARE\Foresight\Foresight Analytics Platform\10.0\Metabases\<идентификатор репозитория>] - настройки конкретного репозитория в случае, когда разрядность «Форсайт. Аналитическая платформа» совпадает с разрядностью операционной системы. Для всех пользователей.

После изменений перезапустите BI-сервер и откройте веб-приложение. В окне регистрации будут доступны кнопки авторизации для входа в систему с использованием протокола OAuth или OpenID Connect:

Выберите репозиторий и нажмите кнопку одного из сервисов авторизации. После чего будет осуществлен переход на страницу учётной записи соответствующего сервиса, например, Google. Введите имя пользователя и пароль на странице сервиса. При успешной авторизации в веб-приложении будет открыт навигатор объектов.

Расширенная схема взаимодействия веб-приложения с внешним сервисом

Схема взаимодействия веб-приложения с внешним сервисом:

1. Пользователь выбирает репозиторий, настроенный на работу с внешним сервисом:

BI-сервер обрабатывает запрос на передачу настроек внешних сервисов и отображения соответствующих кнопок в окне регистрации.

2. Пользователь нажимает кнопку соответствующего внешнего сервиса в окне регистрации и переходит на страницу авторизации. Вводит логин и пароль.

При успешной аутентификации происходит перенаправление пользователя в веб-приложение и клиент получает код подтверждения авторизации. Переадресация пользователя выполняется с помощью параметра RequestCallbackParam.

3. Клиент отправляет запрос BI-серверу на получение токена авторизации внешнего сервиса. В запросе передаётся код подтверждения авторизации и адрес веб-приложения.

4. BI-сервер отправляет запрос внешнему сервису на получение токена авторизации. Запрос выполняется через адрес сервиса авторизации, указанный в параметре RequestTokenUrl. Внешний сервис обрабатывает запрос по коду подтверждения авторизации и возвращает данные:

• access_token. Токен авторизации;

• id_token. Идентификационный токен, если в параметре AuthUrl задан дополнительный параметр scope для протокола OpenID Connect;

• refresh_token. Токен для периодического обновления токена авторизации;

• expires_in. Время жизни токена авторизации. Во время открытой сессии с репозиторием будет выполняться запрос на обновление access_token и refresh_token по истечении времени жизни токена авторизации. Если на внешнем сервисе сессия пользователя неактивна или сервер недоступен, то соединение с репозиторием будет прервано.

Полученные данные определяют текущее состояние авторизации. В качестве хранилища состояний авторизации используется:

• сервер состояний. Сохранённые данные автоматически удаляются по истечении времени хранения записей на сервере;

• оперативная память BI-сервера. Сохранённые данные автоматически удаляются при перезапуске BI-сервера.

5. BI-сервер создаёт в хранилище уникальный ключ текущего состояния авторизации и передаёт его на клиент. Клиент отправляет запрос BI-серверу на подключение к репозиторию. В запросе передаётся уникальный ключ текущего состояния авторизации.

6. BI-сервер отправляет запрос внешнему сервису на получение данных авторизованного пользователя. Внешний сервис обрабатывает запрос по значению параметра UserDataUrl и возвращает информацию о пользователе, в том числе имя пользователя, которое будет отображаться в навигаторе объектов и менеджере безопасности.

7. Выполняется проверка закрытого ключа и сертификата, представляющих собой цифровую подпись BI-сервера. Если закрытый ключ не соответствует сертификату в базе данных или не найден, то BI-сервер возвращает ошибку и подключение к репозиторию прерывается. Если закрытый ключ соответствует сертификату, то выполняется подключение к СУБД под учётными данными, которые определяются с помощью атрибута UseDefaultUser.

8. BI-сервер возвращает на клиент моникёр сессии. Происходит перенаправление пользователя в навигатор объектов.