Аутентификация в продукте «Форсайт. Аналитическая платформа»

В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности при настройке доступа к репозиторию.

Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».

Доступны следующие базовые типы аутентификации:

• парольная;

• интегрированная доменная;

• доменная.

Доступность базовых типов аутентификации зависит от используемой СУБД:

Тип СУБД \ Тип аутентификации	Парольная	Интегрированная доменная	Доменная
Oracle
Microsoft SQL Server 2008
Microsoft SQL Server 2012\2014\2016
Microsoft SQL Server (ODBC)
Teradata
PostgreSQL
SQLite
WEB Service

Условные обозначения:

- тип аутентификации доступен в ОС Linux и Windows;

- тип аутентификации доступен только в ОС Windows;

- тип аутентификации недоступен.

Дополнительно к базовым типам аутентификации доступны:

• двухфакторная аутентификация. Используется совместно с любым базовым типом аутентификации;

• встроенная аутентификация. Используется совместно только с парольной аутентификацией.

Помимо базовых типов аутентификации в веб-приложении доступны следующие методы аутентификации:

• внешние сервисы. Поддерживаются протоколы OAuth 2.0 и OpenID Connect;

• гостевой вход.

Парольная аутентификация

Аутентификация пользователя производится с использованием имени пользователя и пароля в явном виде.

1. Пользователь вводит имя пользователя и пароль в окне регистрации «Форсайт. Аналитическая платформа»:

2. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

Для использования парольной аутентификации настройте парольную политику в менеджере безопасности.

Интегрированная доменная аутентификация

Интегрированная доменная аутентификация аналогична доменной аутентификации, но для авторизации используется доменный пользователь, под которым был совершен вход в операционную систему.

При работе с СУБД Teradata интегрированная доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos. Для СУБД PostrgreSQL данный механизм может быть включён опционально в дополнительных параметрах подключения к репозиторию.

Для работы по протоколу Kerberos на клиентском компьютере необходимо установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).

1. Пользователь вводит доменное имя и пароль при входе в операционную систему.

2. Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.

3. Операционная система передаёт указанные учётные данные и временный билет в «Форсайт. Аналитическая платформа». В окне регистрации не отображаются поля «Имя пользователя» и «Пароль»:

4. «Форсайт. Аналитическая платформа» передаёт учётные данные и временный билет  на сервер СУБД.

5. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Для использования интегрированной доменной аутентификации должны быть добавлены доменные пользователи или группы в менеджере безопасности. При работе в веб-приложении настройте интегрированную доменную аутентификацию в зависимости от веб-сервера:

• если используется веб-сервер Apache2 обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Apache2»;

• если используется веб-сервер ASP.NET обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере ASP.NET»;

• если используется веб-сервер Java обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Java».

Доменная аутентификация

Аутентификация пользователя производится с использованием домена, имени пользователя и пароля в явном виде. Поддерживается работа с такими службами каталогов, как: Active Directory, OpenLDAP. Для получения подробной информации о механизме взаимодействия «Форсайт. Аналитическая платформа» со службами каталогов домена обратитесь к разделу «Механизм работы со службами каталогов». Доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos на стороне СУБД.

Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.

1. Пользователь вводит доменное имя пользователя в формате «домен\имя» и пароль в окне регистрации «Форсайт. Аналитическая платформа»:

2. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные в операционную систему.

3. Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.

4. Операционная система возвращает временный билет в «Форсайт. Аналитическая платформа».

5. «Форсайт. Аналитическая платформа» передаёт указанные учётные данные и временный билет на сервер СУБД.

6. СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.

Для использования доменной аутентификации должны быть добавлены доменные пользователи или группы в менеджере безопасности. При работе в веб-приложении настройте доменную аутентификацию в зависимости от веб-сервера:

• если используется веб-сервер Apache2 обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Apache2»;

• если используется веб-сервер ASP.NET обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере ASP.NET»;

• если используется веб-сервер Java обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Java».

Двухфакторная аутентификация

Аутентификация пользователя производится с использованием любого базового типа аутентификации и сертификата пользователя.

1. Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».

2. «Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.

3. Пользователь предоставляет «Форсайт. Аналитическая платформа» сертификат после запроса и получает доступ к репозиторию при совпадении сертификата.

Для использования двухфакторной аутентификации обратитесь к разделу «Настройка двухфакторной аутентификации».

Встроенная аутентификация

Аутентификация пользователя и доступ к данным СУБД производится под встроенным администратором и используется совместно с парольным типом аутентификации. Проверка прав пользователя осуществляется на уровне «Форсайт. Аналитическая платформа». Учётные данные администратора хранятся в зашифрованном виде.

1. Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».

2. «Форсайт. Аналитическая платформа» проверяет разрешения пользователя и обращается к СУБД, используя учётные данные встроенного администратора.

Для использования встроенной аутентификации установите флажок «Использовать встроенную авторизацию» в менеджере безопасности и сохраните учётные данные встроенного администратора с помощью утилиты PP.Util.

Внешние сервисы

Примечание. Доступно только в веб-приложении.

Аутентификация пользователя производится под учётной записью сервисов, поддерживающих протокол OAuth 2.0 или OpenID Connect. Протокол OpenID Connect доступен только для сервиса Google.

Подключение к СУБД производится под технологической учётной записью.

Технологическая учётная запись - учётная запись, от имени которой происходит взаимодействие с СУБД. Для данной учётной записи в менеджере безопасности должен быть создан соответствующий пользователь, имеющий следующие привилегии: «Вход в систему», «Изменение прав пользователей, раздача ролей, изменение политики», «Изменение метки безопасности и списка контроля доступа любого объекта. Просмотр всех объектов в навигаторе», «Право чтения и открытия всех объектов», «Просмотр протокола доступа», «Создание, удаление пользователей», «Применение прав пользователей на уровне СУБД», «Вход в навигатор объектов». Учётные данные пользователя должны быть сохранены с помощью утилиты PP.Util.

1. Пользователь выбирает репозиторий, настроенный на работу с внешним сервисом:

2. Происходит перенаправление пользователя на внешний сервис авторизации, где пользователь вводит логин и пароль.

3. BI-сервер авторизуется на внешнем сервисе и получает необходимую информацию о пользователе.

4. BI-сервер обращается к СУБД, используя предварительно сохранённую технологическую запись.

Для использования внешних сервисов, поддерживающих протокол OAuth или OpenID Connect, и ознакомления с расширенной схемой взаимодействия обратитесь к разделу «Настройка аутентификации через внешние сервисы».

Гостевой вход

Примечание. Доступно только в веб-приложении.

Для ознакомительной работы с веб-приложением возможна настройка гостевого входа. Пользователь сможет войти под заранее созданной гостевой учётной записью, не указывая учётных данных. При использовании гостевого входа рекомендуется ограничить права для гостевой учётной записи.

1. Пользователь переходит по гостевой ссылке.

2. BI-сервер обращается к СУБД, используя заранее введённые имя пользователя и пароль гостевой учётной записи.

Для использования гостевого входа обратитесь к разделу «Настройка гостевого входа».