Установка и настройка продукта «Форсайт. Аналитическая платформа» > Аутентификация в продукте
В этой статье:
В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности при настройке доступа к репозиторию.
Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».
Доступны следующие базовые типы аутентификации:
парольная. По умолчанию. Аутентификация пользователя производится с использованием имени пользователя и пароля в явном виде;
интегрированная доменная. Аутентификация пользователя производится с использованием доменного имени пользователя и пароля (текущей учётной записи ОС);
доменная. Аутентификация пользователя производится с использованием домена, имени пользователя и пароля в явном виде.
Доступность базовых типов аутентификации зависит от используемой СУБД:
| Тип СУБД \ Тип аутентификации | Парольная | Интегрированная доменная | Доменная |
| Oracle |  |
 |
|
| Microsoft SQL Server | |
|
|
| Microsoft SQL Server (ODBC) | |
|
|
| PostgreSQL | |
|
|
| SQLite |  |
|
|
| WEB Service | |
|
|
Условные обозначения:
- тип аутентификации доступен в ОС Linux и Windows;
- тип аутентификации доступен только в ОС Windows;
- тип аутентификации недоступен.
Дополнительно к базовым типам аутентификации доступны:
двухфакторная аутентификация. Используется совместно с любым базовым типом аутентификации;
встроенная авторизация. Используется совместно с любым базовым типом аутентификации. Совместное использование встроенной авторизации с доменной или интегрированной доменной аутентификацией доступно только при работе с СУБД PostgreSQL.
Помимо базовых типов аутентификации в веб-приложении доступны следующие методы аутентификации:
внешние сервисы. Поддерживаются протоколы OAuth 2.0 и OpenID Connect;
гостевой вход. Используется для ознакомительной работы с веб-приложением.
Аутентификация пользователя производится с использованием имени пользователя и пароля в явном виде.
Пользователь вводит имя пользователя и пароль в окне регистрации «Форсайт. Аналитическая платформа»:
«Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.
Для использования парольной аутентификации настройте парольную политику в менеджере безопасности.
Интегрированная доменная аутентификация аналогична доменной аутентификации, но для авторизации используется доменный пользователь, под которым был совершен вход в операционную систему.
Для СУБД PostrgreSQL интегрированная доменная аутентификация осуществляется с использованием механизма аутентификации Kerberos. Данный механизм может быть включён опционально в дополнительных параметрах подключения к репозиторию.
Для работы по протоколу Kerberos на клиентском компьютере необходимо установить MIT Kerberos (не входит в комплект поставки «Форсайт. Аналитическая платформа»).
Пользователь вводит доменное имя и пароль при входе в операционную систему.
Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.
Операционная система передаёт указанные учётные данные и временный билет в «Форсайт. Аналитическая платформа». В окне регистрации не отображаются поля «Имя пользователя» и «Пароль»:
«Форсайт. Аналитическая платформа» передаёт учётные данные и временный билет на сервер СУБД.
СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.
Для использования интегрированной доменной аутентификации должны быть добавлены доменные пользователи или группы в менеджере безопасности. При работе в веб-приложении настройте интегрированную доменную аутентификацию в зависимости от веб-сервера:
если используется веб-сервер Apache2 обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Apache2»;
если используется веб-сервер ASP.NET обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере ASP.NET»;
если используется веб-сервер Java обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Java».
Аутентификация пользователя производится с использованием домена, имени пользователя и пароля в явном виде. Поддерживается работа с такими службами каталогов, как: Active Directory, OpenLDAP. Для получения подробной информации о механизме взаимодействия «Форсайт. Аналитическая платформа» со службами каталогов домена обратитесь к разделу «Механизм работы со службами каталогов». Доменная аутентификация всегда осуществляется с использованием механизма аутентификации Kerberos на стороне СУБД.
Для конечного пользователя доменная аутентификация не отличается от парольной, но упрощает администрирование пользователей при использовании доменных контроллеров.
Пользователь вводит доменное имя пользователя в формате «домен\имя» и пароль в окне регистрации «Форсайт. Аналитическая платформа»:
«Форсайт. Аналитическая платформа» передаёт указанные учётные данные в операционную систему.
Операционная система обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и возвращает временный билет в операционную систему.
Операционная система возвращает временный билет в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» передаёт указанные учётные данные и временный билет на сервер СУБД.
СУБД обращается к доменному контроллеру, доменный контроллер проверяет правильность указанных данных и делегирует «Форсайт. Аналитическая платформа» право на подключение от имени доменного пользователя с использованием временного билета.
Для использования доменной аутентификации должны быть добавлены доменные пользователи или группы в менеджере безопасности. При работе в веб-приложении настройте доменную аутентификацию в зависимости от веб-сервера:
если используется веб-сервер Apache2 обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Apache2»;
если используется веб-сервер ASP.NET обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере ASP.NET»;
если используется веб-сервер Java обратитесь к разделу «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Java».
Аутентификация пользователя производится с использованием любого базового типа аутентификации и сертификата пользователя.
Пользователь выполняет базовую аутентификацию в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» обращается к СУБД, используя предоставленные данные.
Пользователь предоставляет «Форсайт. Аналитическая платформа» сертификат после запроса и получает доступ к репозиторию при совпадении сертификата.
Для использования двухфакторной аутентификации обратитесь к разделу «Настройка двухфакторной аутентификации».
Авторизация пользователя и доступ к данным СУБД производится под встроенным администратором и используется совместно с парольным типом аутентификации по умолчанию. Проверка прав пользователя осуществляется на уровне «Форсайт. Аналитическая платформа». Учётные данные администратора хранятся в зашифрованном виде.
Пользователь вводит логин и пароль в «Форсайт. Аналитическая платформа».
«Форсайт. Аналитическая платформа» проверяет разрешения пользователя и обращается к СУБД, используя учётные данные встроенного администратора.
Доступно совместное использование встроенной авторизации с доменной или интегрированной доменной аутентификацией при работе с СУБД PostgreSQL. Схема взаимодействия элементов встроенной авторизации аналогична схеме взаимодействия элементов с внешним сервисом.
Для использования встроенной авторизации обратитесь к разделу «Настройка встроенной авторизации».
Аутентификация пользователя производится под учётной записью сервисов, поддерживающих протокол OAuth 2.0 или OpenID Connect. Использование внешних сервисов доступно только в веб-приложении.
Подключение к СУБД производится под технологической учётной записью. Технологическая учётная запись - учётная запись, от имени которой происходит взаимодействие с СУБД при аутентификации пользователя через внешние сервисы. В менеджере безопасности должен быть создан один или несколько пользователей, которые будут использоваться в качестве технологических учётных записей. Учётные данные каждой технологической учётной записи должны быть сохранены с помощью утилиты PP.Util.
Пользователь выбирает репозиторий, настроенный на работу с внешним сервисом:
Происходит перенаправление пользователя на внешний сервис авторизации, где пользователь вводит логин и пароль.
BI-сервер авторизуется на внешнем сервисе и получает необходимую информацию о пользователе.
BI-сервер обращается к СУБД, используя предварительно сохранённую технологическую учётную запись.
Для использования внешних сервисов, поддерживающих протокол OAuth или OpenID Connect, и ознакомления с расширенной схемой взаимодействия веб-приложения с внешним сервисом обратитесь к разделу «Настройка аутентификации через внешние сервисы».
Гостевой вход доступен только в веб-приложении и рекомендуется:
для ознакомительной работы с веб-приложением. Пользователь сможет войти под заранее созданной гостевой учётной записью, не указывая учётных данных;
при интеграции с системами класса IDM (Identity Management, управление учётными данными) для обеспечения взаимодействия асинхронным обменом сообщений по HTTP:
если управление доступом в «Форсайт. Аналитическая платформа» осуществляется внешней централизованной системой;
при интеграции с шиной данных (системами класса ESB, Enterprise service bus) при построении архитектуры высоконагруженных систем.
При использовании гостевого входа рекомендуется ограничить права для гостевой учётной записи. Запуск веб-приложения должен осуществляться в изолированном контуре.
Пользователь переходит по гостевой ссылке.
BI-сервер обращается к СУБД, используя заранее введённые имя пользователя и пароль гостевой учётной записи.
Для использования гостевого входа обратитесь к разделу «Настройка гостевого входа».
См. также:
Установка и настройка продукта «Форсайт. Аналитическая платформа»
