Плагин проверки полномочий позволяет устанавливать права доступа на уровне элементов точек данных (значений точек данных). Таким образом, только менеджеры и пользователи с соответствующими полномочиями могут получить доступ к определенным частям SCADA-системы. Права доступа устанавливаются через панель управления системой.

Дополнительные сведения см. в разделе Плагин проверки полномочий, Основы.

Существуют два внутренних типа точек данных для сохранения настроек плагина проверки полномочий:

• _AuthorizationCheck
• _AuthorizationCheckManager

Рисунок: внутренние типы точек данных «_AuthorizationCheck» и «_AuthorizationCheckManager»

Общие настройки сохраняются в точке данных «_AC_General“, а конкретные настройки менеджера – в ”_ACM_<тип менеджера>».

_AuthorizationCheck

Рисунок: структура внутреннего типа точек данных «_AuthorizationCheck»

Элемент точки данных	Тип	Описание
_AC_General.CNSUserDataKey	String	Данный ключ отвечает за сохранение авторизации плагина. Значение по умолчанию: «OA:ACP»  Ключ должен быть указан только один раз. Вы можете указать ключ на вкладке «Представления» плагина проверки полномочий в разделе «Глобальные настройки» — > «CNS-ключ».
_AC_General.DefaultDpPermission	Unsigned	Полномочия по умолчанию.Содержит настройки полномочий по умолчанию для всех точек данных, которые не были назначены узлу модели данных и не включены в список общедоступных точек данных. Данные полномочия устанавливается на вкладке «Представления» мастера по настройке плагина проверки авторизации. Можно выбрать три типа доступа.0 Блокировка1 Чтение2 Запись
Views.Names	Dyn_string	Эти представления используются для плагина.
Views.UserPermissionBitPattern	Dyn_string	Содержит список пользовательских битовых шаблонов для представлений на вкладке «Представления» мастера настройки плагина. Сведения о пользовательских битах см. в главе Уровни полномочий.ВНИМАНИЕ!Имена представлений, биты представлений и роли представлений должны содержать одинаковое количество значений. Особенно учитывайте это при изменении значений вручную через модуль PARA.
Views.Role	Dyn_string	Содержит роли, которые могут быть созданы и назначены в столбце «Роль» на вкладке «Представления» мастера настройки плагина.

_AuthorizationCheckManager

Рисунок: структура внутреннего типа точек данных _AuthorizationCheckManager

Рисунок: структура внутренней точки данных типа _AuthorizationCheckManager (Дополнительные точки данных для конкретных менеджеров)

Все точки данных менеджеров имеют одинаковую структуру. Эта структура описывается следующим образом:

Элемент точки данных	Тип	Описание
_ACM_Api.Blacklist.Hosts	Dyn_string	Имена хостов из черного списка. Устанавливаются на вкладке «Списки» мастера настройки плагина. ВНИМАНИЕ!Количество значений в «_ACM_Api.Blacklist.Hosts» и «_ACM_Api.Blacklist.Arguments» должно быть одинаково. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.Blacklist.Arguments	Dyn_string	Аргументы (опции) для менеджеров из черного списка, расположенного на вкладке «Списки» мастера настройки плагина. ВНИМАНИЕ!Количество значений в «_ACM_Api.Blacklist.Hosts» и «_ACM_Api.Blacklist.Arguments» должно быть одинаково. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.Whitelist.Hosts	Dyn_string	Имена хостов из белого списка. Устанавливаются на вкладке «Списки» мастера настройки плагина. ВНИМАНИЕ!Количество значений в «_ACM_Api.Whitelist.Hosts» и «_ACM_Api.Whitelist.Arguments» должно быть одинаково. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.Whitelist.Arguments	Dyn_string	Аргументы (опции) для менеджеров из белого списка, расположенного на вкладке «Списки» мастера настройки плагина. ВНИМАНИЕ!Количество значений в «_ACM_Api.Whitelist.Hosts» и «_ACM_Api.Whitelist.Arguments» должно быть одинаково. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.DpPermission.Block.Types	Dyn_string	Заблокированные типы точек данных на вкладке «DPE» мастера настройки плагина.  Данные типы точек данных не могут быть показаны. ВНИМАНИЕ!Количество элементов в столбцах «DPT» и «DPE» должно быть одинаковым. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.DpPermission.Block.Dps	Dyn_string	Заблокированные точки данных на вкладке «DPE» мастера настройки плагина.  Эти точки данных не могут быть показаны. ВНИМАНИЕ!Количество элементов в столбцах «DPT» и «DPE» должно быть одинаковым. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.DpPermission.Read.Types	Dyn_string	Список типов точек данных с правами на чтение. Задаётся на вкладке «DPE» мастера настройки плагина.   ВНИМАНИЕ!Количество элементов в столбцах «DPT» и «DPE» должно быть одинаковым. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.DpPermission.Read.Dps	Dyn_string	Список точек данных с правами на чтение. Задаётся на вкладке «DPE» мастера настройки плагина.    ВНИМАНИЕ!Количество элементов в столбцах «DPT» и «DPE» должно быть одинаковым. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.DpPermission.Write.Types	Dyn_string	Список типов точек данных с правами на запись. Задаётся на вкладке «DPE» мастера настройки плагина.    ВНИМАНИЕ!Количество элементов в столбцах «DPT» и «DPE» должно быть одинаковым. Учтите это при изменении значений этих точек данных вручную из модуля PARA.
_ACM_Api.DpPermission.Write.Dps	Dyn_string	Список точек данных с правами на запись. Задаётся на вкладке «DPE» мастера настройки плагина.    ВНИМАНИЕ!Количество элементов в столбцах «DPT» и «DPE» должно быть одинаковым. Учтите это при изменении значений этих точек данных вручную из модуля PARA.

В данном примере будет рассмотрена модель парка ветряков с двумя представлениями: «Windpark1» и «Windpark2» и четырьмя различными узлами «Turbine1», «Turbine2», «Turbine3» и «Turbine4». Прежде чем приступить к работе с этим примером, настройте проект для использования плагина проверки полномочий.

Данный пример состоит из следующих частей:

• Создание типов точек данных и точек данных в PARA
• Создание двух представлений и двух узлов в каждом с помощью редактора модели данных, а также назначение соответствующих точек данных
• Создание групп пользователей, установка пользовательских битов, создание пользователей, назначение пользователей через панель управления пользователями.
• Создание ролей с помощью мастера

Создание типов точек данных и точек данных в PARA

1. Создайте необходимые типы точек данных и точки данных в модуле PARA следующим образом: тип точки данных «Windpark1» с элементом «speed» типа int.

Рисунок: модуль PARA -> Тип точек данных «Windpark1»

• Далее создайте тип точек данных «Windpark2» с тремя различными элементами: «inOperation» (bool), «speed» (int), «current» (int).

Рисунок: модуль PARA — > Тип точек данных «Windpark2»

• Создайте следующие точки данных: w1_turbine1, w1_turbine2 (в первом типе), w2_turbine1, w2_turbine2, w2_turbine3 и w2_turbine4 (во втором типе)

Создание двух представлений и двух узлов в каждом с помощью редактора модели данных, а также назначение соответствующих точек данных

2. Создайте два представления «Windpark1» и «Windpark2» в редакторе модели данных. Представление «Windpark1» содержит узел «Turbine1».

Рисунок: редактор модели данных – представление «Windpark1»

• Назначьте точку данных «w1_turbine1.speed» узлу «Turbine1»

Рисунок: узел «Turbine1» и точка данных «w1_turbine1″.speed»

•  Назначьте точку данных «w1_turbine2.speed» узлу «Turbine2»
• Представление «Windpark2» содержит узлы «Turbine1», «Turbine2», «Turbine3″ и » Turbine4″. Назначьте соответствующие точки данных узлам, например, точку данных » w2_turbine1.inOperation» — узлу «Turbine1». Назначьте остальные точки данных узлам представлений. См. рисунок ниже.

Рисунок: Редактор модели данных – представление «Windpark2»

Рисунок: узел «Turbine1» и точка данных «w2_turbine1″.inOperation»

Создание групп пользователей, установка пользовательских битов, создание пользователей, назначение пользователей через панель управления пользователями.

3. С помощью панели «Управление системой -> Полномочия -> Управление пользователями» создайте три группы пользователей: Operator_Windpark, IT_Administrator, SCADA_Dev

• Откройте панель «Управление группами», нажав кнопку «Управление пользователями», а затем кнопку «Управление» в рамке «Группы». Добавьте группы Operator_Windpark, IT_Administrator и SCADA_Dev

Рисунок: управление группами – создание групп

• Установите пользовательские биты с помощью кнопки «разрешения» или двойным щелчком мыши на имени группы. Установите шестой бит для группы «SCADA_Dev», седьмой — для группы «IT_Administrator» и восьмой — для группы «Operator_Windpark».

• Создайте трёх пользователей для групп: jdoe, mmuster, jschmidt.
  Все пользователи принадлежат к группе «para». Помимо этого, пользователь John Doe (jdoe) принадлежит к группе «IT_Administrator» . Пользователь Max Mustermann (mmuster) принадлежит к группе «SCADA_Dev», а jschmidt (jschmidt) – к группе «Operator_Windpark».
  Благодаря членству в группе «PARA» созданные пользователи имеют первые 5 бит.
  Пользователь mmuster дополнительно имеет шестой бит благодаря группе SCADA_Dev.
  Пользователь jdoe дополнительно получает бит 7 из группы «IT_Administrator», а
  пользователь jschmidt – бит 8 из группы «Operator_Windpark».

Создание ролей с помощью мастера

4. Войдите в систему в качестве пользователя «para» (Опция UI-менеджера: -m para -server https://localhost:443 -ssa).

• Откройте мастер настройки плагина проверки полномочий с помощью Панели «Управление системой» -> «Полномочия»
  -> «Плагин проверки полномочий».
• В мастере создайте 3 роли:
• • 1. SCADA_Dev, 2. IT_Admin, 3. Operator_windpark.
    Для представления «Windpark1» у роли «SCADA_Dev» установите значение 1 для шестого бита, а значение битов 7 и 8 – в 0.
    Для роли «IT_Admin» установите 7 бит равным 1, а биты 6 и 8 – 0.
    Для роли «Operator_Windpark» установите 8 бит равным 1, а биты 6 и 7 – 0.
• Для роли «SCADA_Dev» для представления «Winpark1» установите права на «запись», так как это роль разработчика.

Рисунок: роль «SCADA_Dev», а также необходимые уровни полномочий и права доступа для представления «Windpark1»

• Для роли «IT_Admin», которая также является ролью разработчика, установите узлы «Turbine1» и «Turbine2» представления «Windpark1» в состояние заблокировано, так как эта роль не отвечает за представление «Windpark1».

Рисунок: роль «IT_Admin» , а также необходимые уровни полномочий и права доступа для представления «Windpark1»

• Роль «Operator_Windpark» имеет разрешение на запись для «Turbine1» и разрешение на чтение для «Turbine2» представления «Windpark1».

Рисунок: роль «Operator_Windpark» , а также необходимые уровни авторизации и права доступа для представления «Windpark1»

• «Windpark2» все еще разрабатывается и пока не работает, поэтому у оператора нет прав доступа. Для роли «Operator_Windpark» все турбины представления «Windpark2» блокируются

Рисунок: роль «Operator_Windpark» , а также необходимые уровни полномочий и права доступа для представления «Windpark2»

• Роли «SCADA_Dev» и «IT_Admin» обладают разрешением на запись для всех турбин, так как это роли разработчиков.

Рисунок: роль «SCADA_Dev» , а также необходимые уровни полномочий и права доступа для представления «Windpark2»

Рисунок: роль «IT_Admin» , а также необходимые уровни полномочий и права доступа для представления «Windpark2»

При подключении к клиенту плагина проверки полномочий можно настроить режим только для чтения. В этом случае в соответствии с настройками рабочей станции в плагине будут проверяться и применяться полномочия.

В том случае, если рабочая станция обладает сокращённым набором полномочий (данный набор определяется в списке рабочих станций «КАСКАД Цифра» в разделе «Управление Системой»), полномочия клиента только для чтения (присвоенные группам пользователей) будут сокращены. Данные полномочия интерпретируются в плагине проверки полномочий на стороне клиента.

Пример: для выбранной клиентской рабочей станции, где группа пользователей обычно имеет высокие права (например, права администрирования), полномочия настраиваются таким образом, что панели на таких рабочих станциях (с ограниченными полномочиями) можно только отображать.

Для принудительного применения настроек рабочей станции пользователь должен войти в систему через панель входа.

Конфигурация клиента только для чтения

• Установите полномочия по умолчанию на вкладке «Представления» мастера настройки плагина в положение «Чтение».

Рисунок: полномочия по умолчанию

• Создайте нужное представление с помощью редактора модели данных. В этом примере используются представления, созданные из примера плагина проверки полномочий.
• В этом примере в качестве примера используется группа пользователей «para». В данной группе для полномочий выделены первые пять битов.

Рисунок: биты полномочий группы «para»

• Откройте «Управление пользователями» и «Полномочия для рабочих станций» с помощью панели управления системой -> Полномочия -> Управление пользователями -> АРМ. Настройте полномочия рабочей станции, указав имя хоста рабочей станции и установив первые два бита в 1 всем группам пользователей (*). Установите остальные биты равными 0.

Рисунок: настройка полномочий рабочей станции

В данной конфигурации на рабочей станции с именем «BC1A10LN» два бита назначаются каждой группе пользователей. Это означает, что на рабочей станции «BC1A10LN» полномочия группы «para» были сокращены. Поскольку первые биты не были указаны для представлений с помощью мастера настройки плагина, этой рабочей станции не назначаются представления. Поэтому полномочия по умолчанию используется для каждой точки данных, а рабочая станция «BC1A10LN» является клиентом только для чтения. Также клиент «LN5D» сделан клиентом только для чтения.

Откройте мастер настройки плагина через панель «Управление системой» -> «Полномочия».

Мастер настройки плагина состоит из трех вкладок:

• Списки
• Представления
• DPE

Обратите внимание, что настройки на вкладках включены (онлайн) в системе «КАСКАД Цифра» сразу после настройки.

Списки

На вкладке «Списки» вы можете предоставить или запретить менеджеру доступ при помощи белого и черного списков.

Вкладка «Списки» включает в себя две области: «Обзор менеджеров» и «белый список/черный список».

Рисунок: Мастер настройки плагина – вкладка «Списки»

Обзор менеджеров

В данном столбце вы можете по количеству записей увидеть, какие ограничения/разрешения были добавлены для конкретных менеджеров.

Рисунок: Обзор менеджеров

В Обзоре менеджеров отображается общее количество настроенных полномочий.

Белый Список/Черный Список

Чтобы добавить запись (имя хоста и опции) в белый или черный список менеджера, выберите менеджер из области обзора (Шаг 1), затем введите имя хоста и разрешенные опции для менеджера (Шаг 2). Нажмите на кнопку «+», чтобы добавить менеджер. Чтобы изменить существующий менеджер, нажмите на кнопку (Шаг 3).

Имя хоста

Введите здесь имя хоста клиента, к которому менеджеры «КАСКАД Цифра» имеют доступ (белый список) или не имеют доступа (черный список). Если имя хоста существует в обоих списках, приоритетным считается черный список. Знак подстановки звездочка (*) можно использовать для всех клиентов системы «КАСКАД Цифра». Для каждого хоста выберите менеджер из области обзора (Шаг 1). Плагин проверки полномочий проверяется с помощью комбинации имени хоста, менеджера и опции менеджера.

Белый и черный списки с опциями менеджеров проверяются до того, как сервер (менеджер БД/событий) примет запрос на подключение от клиента (менеджера на определенном хосте).

Рисунок: связь клиент-сервер

 Опции

Здесь необходимо ввести опции для конкретного менеджера. Эти опции разрешаются или запрещаются при запуске менеджера. Опции менеджера проверяются перед тем, как сервер примет запрос клиента на подключение к серверу. Вы можете ввести опции для отдельных менеджеров в качестве аргументов.

Для белого и черного списков проверяются указанные опции, учитывая порядок их следования.

Если, например, опции «-num 4 -m para» указаны в белом списке, интерфейс пользователя не может быть запущен с опциями «-m para -num 4».

Подробное описание опций менеджера можно найти в главе «Опции менеджера, основы», а также в расширенных главах, таких как «WCCOAui».

На рисунке ниже на клиенте с именем хоста «ATPC10FA» интерфейс пользователя может запускать только модуль GEDI, но не модуль PARA.

ПРИМЕЧАНИЕ

Для структур данных, необходимых для работы «КАСКАД Цифра», можно задать глобальные настройки на вкладках «DPE» и «Представления».

Рисунок: клиент «ATPC10FA» и белый и черный списки

 Удалить один менеджер (строку) из таблицы белый список/черный список после его выбора

 Удалить все менеджеры из таблицы белый список/черный список.

ВНИМАНИЕ

Обратите внимание, что настройки в системе «КАСКАД Цифра» активируются (в реальном времени) немедленно.

Представления

Представления

Плагин проверки полномочий основан на настройках, сохраненных в модели данных предприятия. Перед использованием плагина проверки полномочий необходимо создать модель данных и ввести ее в редактор моделей данных.

Для большей наглядности в дальнейших примерах используется простая модель.

Представление «Windpark1» содержит узлы «Turbine1» и «Turbine2», а они обе, в свою очередь, узел «Speed».

Представление должно быть создано в Редакторе модели данных. В дальнейшем оно будет показано в плагине.

ВНИМАНИЕ

Обратите внимание, что, при назначении ролей представлению, в Редакторе модели данных создаются вспомогательные роли для этих представлений. Для каждой роли создается дополнительное представление.

Рисунок: одно и то же представление в Редакторе модели данных и окне настройки плагина проверки полномочий

На вкладке «Представления» вы можете просмотреть конкретные представления модели данных. Права назначаются для каждого представления. Пользователь должен обладать соответствующими правами. Права точек данных назначаются ролям, а роль – представлению.  При этом вы указываете, как пользователь может просматривать, считывать и записывать значения точек данных.

Вкладка «Представления» содержит следующие области: Представления, Роль, Требуемые уровни полномочий, Права доступа, Разрешения, а также Глобальные настройки.

Выберите представление из списка (Шаг 1) и назначьте роль представлению (Шаг 2). Установите биты полномочий, которые обеспечивают право доступа для представления и роли (Шаг 3). Сохраните конфигурацию для представления (Шаг 4).

Рисунок: Мастер настройки плагина проверки полномочий – вкладка «Представления»

ВНИМАНИЕ

Обратите внимание, что копии представления из модели данных не отображаются в Мастере.

Разрешения

Рядом с именем узла также отображается разрешение для узла – см. Описание разрешения.

Роли

Роли можно создавать с помощью кнопки «…» в соответствующем стобце и опции «Новая роль» («New Role») в выпадающем списке. .

На рисунке выше роль «SCADA_Dev» была назначена представлению «Windpark1». Роль «SCADA_Dev» имеет права на запись для точек данных: «windpark1_SCADA_Dev:turbine1.geschwindigkeit» и «windpark1_SCADA_Dev:turbine2.geschwindigkeit». Права точки данных назначаются роли.

ВНИМАНИЕ

Обратите внимание, что когда роли назначаются представлению, для ролей создаются представления в редакторе модели данных. Представление создается для каждой роли.

ПРИМЕЧАНИЕ

Например, когда имя узла изменяется в редакторе модели данных, сообщение отображается в мастере настройки плагина.

  С помощью этой кнопки вы можете проверить роли на наличие ошибок, а затем изменить их. Все записи в мастере настройки плагина проверки полномочий проверяются на наличие несогласованных изменений:

• Представления модели данных: узел был удален или новый узел был добавлен.
• Изменено соединение с точкой данных.
• Переименование узла отображается как ошибка «узел был удален и создан новый».

Необходимый уровень полномочий

Уровни полномочий в представлениях задаются с помощью наборов пользовательских битов. Подробное описание битов см. в главе уровни полномочий. Установите пользовательские биты для представления. Пользовательские биты также действительны для узлов представления. Чтобы установить биты, нужно выбрать представление. В битовой маске возможны следующие значения: 1, 0 или X. 1 – бит установлен (пользователь должен иметь соответствующий бит авторизации); 0 – бит снят (пользователь может не иметь бита). X означает, что бит не проверен (не важен).

Установленные здесь уровни полномочий сравниваются с уровнями полномочий группы пользователей. Если группа (и соответствующий пользователь) обладает тем же набором битов, что и представление, то пользователь имеет право доступа к точкам данных. В примере демонстрируется использование уровней полномочий (пользовательских битов).

ВНИМАНИЕ

Уровни полномочий (пользовательские биты), которые уже используются в «КАСКАД Цифра», могут быть не установлены для плагина и неактивны и установлены на X (см. диалоговое окно для уровней полномочий). В только что созданном проекте «КАСКАД Цифра» это, как минимум, биты 1-5.

Этот бит был назначен представлению с помощью мастера:

Пользователь Andreas имеет в «КАСКАД Цифра» биты:                          

Пользователь Hanna имеет в «КАСКАД Цифра» биты:                         

Пользователь Max имеет в «КАСКАД Цифра» биты:                                    

Пользователи Andreas и Max обладают тем же набором битов, что и представление. Пользователь Hanna – нет. Это означает, что пользователь Andreas и Max имеют доступ к данному представлению, а также к узлам и точкам данных представления.

Установка необходимого уровня полномочий (битов полномочий) для представления

Рисунок: Установка пользовательских битов для представления

Для роли «Operator_Windpark» установлен восьмой пользовательский бит.

ПРИМЕЧАНИЕ

Рассмотрим также общие уровни полномочий «КАСКАД Цифра».

Права доступа

• Унаследовать права от родительского узла – права наследуются от родительских (вышестоящих) узлов. Внимание: если нет родительского узла, то права не будут заданы (полномочия «удалены»).
• Установить только для этого узла – установленные права доступа действительны только для этого узла.
• Установить для этого узла и подузлов – установленные права доступа действительны для этого узла и всех подузлов.

• Блокировка: точки данных не отображаются пользователю.
• Чтение: значение может быть считано пользователем.
• Запись: пользователь имеет право на запись.

Для одной точки данных можно установить различные права доступа, например, в одном случае – доступ для чтения, в другом – доступ для записи. Разные права доступа могут быть назначены одной и той же точке данных через разные узлы представления. Если определены различные права доступа, то проверяются все права. Право доступа, находящееся выше, имеет приоритет.

Права доступа	Порядок обработки
Блокировка	0
Чтение	1
Запись	2

Если, например, точка данных «speed» была назначена узлу «Turbine1» с доступом на чтение и узлу «Turbine2» с доступом на запись, то приоритет будет иметь запись (порядок обработки 2).

Разрешения

В разделе «Разрешения» отображаются все узлы и точки данных представления после щелчка по нему. В столбце «Разрешение» показано право доступа для этой точки данных – см. описание прав доступа.

Рисунок: Представления и Полномочия

Рисунок: Разрешения для различных узлов представления

Общие настройки

Ключ CNS

Под этим ключом сохраняются все права плагина проверки полномочий. Пример: был настроен ключ «OA: ACP».  Информация о полномочиях сохраняется под этим ключом. Ключ может быть указан только один раз. Значение по умолчанию: «OA:ACP»

ВНИМАНИЕ

Этот ключ должен быть указан в проекте и не должен изменяться после настройки прав доступа.

Разрешение по умолчанию

В соответствующем столбце устанавливается разрешение по умолчанию для всех точек данных. Разрешение по умолчанию действительно для всех DPE, которые не назначены узлу модели данных на вкладке «Представления» и не включены в список общедоступных точек данных (на вкладке DPE).

Рисунок: Разрешение по умолчанию

DPE

На вкладке «DPE» можно установить глобальные полномочия для точек данных для менеджеров. Эти полномочия действительны для всего проекта «КАСКАД Цифра», независимо от пользователя.

На вкладке модуль обработки включает в себя следующие направления: Обзор менеджеров, DPT/DPE, Права доступа, Разрешения и Обзор DP/Предпросмотр DP.

Выберите менеджера из области обзора менеджеров (Шаг 1). Добавьте точку данных с помощью перетаскивания в поле «DPE» или тип точки данных в поле «DPT» (Шаги 2 и 3). Вы также можете добавить точку данных с помощью перетаскивания в таблицу (см. рисунок ниже). Установите права доступа для точек данных (Шаг 4) и сохраните конфигурацию (Шаг 5). Ниже представлены описания отдельных полей.

Рисунок: Мастер настройки плагина проверки полномочий – вкладка «DPE»

Обзор менеджеров

Выберите менеджер в области обзора менеджеров. Права доступа устанавливаются для выбранного менеджера.

Рисунок: Обзор менеджеров

Тип точки данных/Элемент точки данных

Вы можете настроить доступ к определенным точкам данных с помощью поля «DPT»или»DPE». Для элементов точек данных также можно использовать знак подстановки «*».

Права доступа

Следующие права доступа могут быть установлены глобально для менеджеров. Права действительны для всего проекта независимо от пользователя.

• Блокировка: точки данных не отображаются пользователю.
• Чтение: значение может быть считано пользователем.
• Запись: пользователь имеет право на запись.

Добавить системные DPE

Данная кнопка добавляет элементы точек данных, имеющие отношение к работе «КАСКАД Цифра», в таблицу «Разрешения» ниже.

Рисунок: Системные DPE

Разрешения

В таблице «Разрешения» отображаются настроенные типы точек данных и элементы точек данных, а также права доступа (блокировка, чтение, запись).

Обзор DP/Предпросмотр DP

В области обзора точек данных (область справа) можно выбрать типы точек данных и точки данных с помощью перетаскивания.

Рисунок: Обзор DP

Предпросмотр DP

С помощью кнопки  можно посмотреть, какие точки данных будут выбраны после использования указанных знаков подстановки. На рисунке ниже показан принцип работы предварительного просмотра. Укажите типы и элементы точек данных с помощью перетаскивания (Шаг 1) и посмотрите точки данных с помощью кнопки  (Шаг 2).

После нажатия на кнопку предпросмотра указанная точка данных отобразится в области предпросмотра. При использовании звездочки (*) для поля DPT отображаются все элементы точек данных указанного типа (не только те элементы, что выбраны с помощью перетаскивания, но и элементы указанного типа).

Рисунок: вкладка «DPE» и область предпросмотра DP – все элементы точек данных типа «Windpark1» показаны с помощью звездочки (*)

Рисунок: вкладка «DPE» и область предпросмотра DP – точка данных «w1_turbine2.speed» типа точек данных «Windpark1»

Требования

Плагин проверки полномочий поставляется вместе со стандартным пакетом установки «КАСКАД Цифра».

Установка

• Впишите строку accessControlPlugin = «AuthCheckPlugin» в файл config в раздел [general].
• Настройте полномочия для менеджеров на стороне сервера. См. раздел Аутентификация на стороне сервера для менеджеров – конфигурация. В зависимости от используемого клиентского решения рассмотрите настройки для толстого (Desktop UI) или для ультратонкого (ULC UX) клиента.
• Для настройки контроля доступа вам понадобятся права администратора в «КАСКАД Цифра». Права устанавливаются с помощью бита полномочий для администрирования (см. панель Управление системой -> Полномочия -> Системные разрешения). В случае стандартной установки нужен 4 бит полномочий.
• Откройте свой проект в консоли и выполните следующие действия:
  добавьте скрипт webclient_http.ctl в проект. См. рисунок ниже (здесь используется пример для локального компьютера).
• Настройка для опций пользовательского интерфейса «КАСКАД Цифра»: — server – опция для проекта, чтобы клиент мог установить соединение с сервером. Например, для запуска модуля GEDI на локальном ПК необходимы следующие параметры:
  — m gedi -server https://localhost:443 -ssa.

Рисунок: серверный проект и опция -server, а также сценарий webclient_http.ctl

Теперь запустите выбранный клиент, например ULC UX через https://<имя хоста>/data/ulc/start.php. Например: https://localhost/data/ulc/start.php.

Откройте плагин через панель Управления системой -> Полномочия -> Плагин проверки полномочий.

ПРИМЕЧАНИЕ

Значок мастера настройки плагина отображается только после включения плагина с помощью конфигурационной записи «accessControlPlugin».

Преимущества и Обзор возможностей

Плагин проверки полномочий позволяет устанавливать права доступа на уровне элементов точек данных (значений точек данных). Таким образом, только менеджеры и пользователи с соответствующими полномочиями могут получить доступ к определенным частям SCADA-системы. Права доступа устанавливаются через панель управления системой. Плагин предоставляет следующие возможности:

• Защита данных: для защиты данных только авторизованные пользователи с определенными правами (полномочиями) могут просматривать, считывать или записывать значения элементов точек данных. Права определяются через роли. Различные роли пользователей могут обладать различными правами для одних и тех же типов точек данных и точек данных.
• Исключение последствий: стандартные менеджеры «КАСКАД Цифра» могут, например, читать и записывать только те точки данных, которые важны для функциональности конкретного менеджера. Это защищает другие точки данных.
• Защита целостности проекта: параметры менеджера проверяются перед тем, как сервер принимает запрос клиента на подключение. Это гарантирует, что только пользователи с нужными полномочиями могут открывать пользовательский интерфейс в GEDI, PARA или расширенном режиме.

Инструкции по использованию плагина см. в главе «Требования и установка».