При использовании аутентификации на стороне сервера для менеджеров UI необходимо учитывать следующие замечания и ограничения.:

Примечания

Аутентификация интерфейса пользователя

Аутентификация на стороне сервера для менеджеров UI производится иначе, нежели для иных менеджеров, поэтому она используется только для менеджеров UI. Аутентификация других менеджеров, например распределенной архитектуры, резервирования или сценариев, не выполняется. Поэтому гарантируется, что в существующих или новых проектах не возникает ограничений для взаимодействия менеджеров.

Опция менеджера UI «-ssa»

Опция менеджера UI «-ssa» означает, что, при одновременном использовании с опцией «- server», загрузка файлов проекта и связанное с этим создание кэша проекта не выполняется. Эту опцию следует использовать, если все файлы, необходимые для запуска, уже находятся на клиенте, который используется для запуска пользовательского интерфейса.

Требования по безопасности

Обратите внимание, что использование аутентификации на стороне сервера для менеджеров пользовательского интерфейса не приведет к немедленному повышению безопасности вашего предприятия. Требования, описанные в руководстве «КАСКАД Цифра» Security Guideline, должны быть выполнены для поддержания надлежащего уровня безопасности.

Ограничения

Следует учитывать следующие ограничения:

• Аутентификация на стороне сервера для менеджеров UI не поддерживается мобильными клиентами.
• При использовании аутентификации на стороне сервера для менеджеров UI смена пользователя внутри иерархии панелей («Login as») невозможна.
• Смена пользователя ультратонкого клиента требует перезапуска браузера. В противном случае смена пользователя невозможна.
• Аутентификация на стороне сервера для менеджеров UI не поддерживается при использовании однократной идентификации (Single Sign On).

Для успешной настройки авторизации на стороне сервера для менеджеров UI необходимо выполнить следующие действия.

Конфигурация на стороне сервера

1. Активация автоматической разблокировки в системе управления устройствами
2. Определение используемого Плагина управления доступом
3. Определение веб-сервера

Конфигурация на стороне клиента

1. Выполнение настройки конкретного клиента, например, удаленного пользовательского интерфейса или ультралегкого клиента
2. Проведение дополнительных необязательных настроек
3. Запуск серверного проекта с опцией «-ssa» и сценария webclient_http.ctl.

ВНИМАНИЕ

Обратите внимание, что проект c аутентификацией на стороне сервера для менеджеров UI также может быть создан с помощью панели администрирования проекта. См. раздел Создание проекта.

Конфигурация на стороне сервера

ВНИМАНИЕ

Пользователь «root» не может быть использован для входа в систему в проекте с аутентификацией на стороне сервера. Однако вы можете использовать всех других пользователей, например пользователя «para». Пользователи, созданные по умолчанию при создании проекта, описаны в разделе «Пользователи». Чтобы создать новых пользователей, см. раздел «Пользователи». Чтобы узнать, как установить права доступа пользователей, ознакомьтесь с разделом Группы.

ВНИМАНИЕ

Аутентификация на стороне сервера для менеджеров UI не поддерживается при использовании однократной идентификации (Single Sign On).

ПРИМЕЧАНИЕ

Добавьте записи в файл config, создайте менеджер сценариев с нужными опциями и запустите свой проект. Если проект уже запущен, требуется перезапуск проекта.

Управление устройствами – автоматическая разблокировка

Включите автоматическую разблокировку в управлении устройствами (Управление системой -> Настройки -> Управление устройствами) перед внесением записи «AccessControlPluginUser» в файл config (см. рисунок ниже).
Запустите интерфейс пользователя один раз после включения аутентификации на стороне сервера для активации менеджеров UI. После этого снова отключите автоматическую разблокировку в «Управлении устройствами».

Рисунок: Управление устройствами

Конфигурация плагина управления доступом

Для успешной настройки аутентификации на стороне сервера для менеджеров UI необходимо внести 2 записи в файл config:

[general]
accessControlPlugin = «AccessControlPluginUser»

ВНИМАНИЕ

При использовании аутентификации на стороне сервера для менеджеров (не относящихся к интерфейсам пользователя) используйте запись в файле config
[general]
accessControlPlugin = «AccessControlPlugin»

Запись «accessControlPlugin» определяет, какой плагин используется для аутентификации на стороне сервера для менеджеров интерфейса пользователя или для остальных менеджеров. См. также Плагин управления доступом, Основы

[webClient]
clientSideAuth = 0

Запись «clientSideAuth = 0» указывает, что используется аутентификация на стороне сервера для менеджеров пользовательского интерфейса.

Конфигурации веб-сервера

В файл config добавьте следующую запись в секцию [ui]:

[ui]
httpServer = «https://localhost:443»

ВНИМАНИЕ

Если аутентификация на стороне сервера сейчас деактивирована, удалите текущее значение точки данных «_UIx.SessionToken» от имени пользователя «root». В противном случае, в интерфейсе пользователя, который был ранее уже открыт, панель входа в систему не отображается правильно, и пользователь, который вошел в систему автоматически, не имеет никаких полномочий.

Конфигурация на стороне клиента

Ниже представлен список типов клиентов с соответствующими им записями в файле config:

Конфигурация Удаленного UI / Толстого клиента (Desktop UI)

При использовании удаленного UI или толстого клиента должны быть добавлены следующие записи в файл config вашего серверного проекта:

[general]
accessControlPlugin = «AccessControlPluginUser»

Чтобы использовать аутентификацию HTTP-сервера, добавьте запись «httpAuth=1″ и записи «httpsPort» и «httpPort» в секцию [webClient] файла config.

[webClient]

httpAuth=1

httpsPort = 443
httpPort = 0

Конфигурация ультралегкого клиента

Активируйте аутентификацию на стороне сервера для ультралегкого клиента, добавив следующие записи в файл config вашего серверного проекта:

[httpServer]
uiArguments = «-p vision/login.pnl -centered -iconBar -menuBar -ssa»

Дополнительный вариант конфигурации

aliveTimeout

В случае высокой задержки сетевого соединения между клиентом и сервером может потребоваться увеличить время ожидания aliveTimeout для соединения менеджера БД и событий, например:

[data]
aliveTimeout = -2

[event]
aliveTimeout = -2

uiUsesMainServerAsFileServer

Запись «uiUsesMainServerAsFileServer = 0» необходима для предотвращения переадресации интерфейса пользователя на дополнительный веб-сервер для загрузки файлов проекта. В этом случае все файлы (панели, скрипты, …), которые необходимы для интерфейса пользователя, должны быть расположены внутри проекта, который используется для запуска сервера ULC UX.

[httpServer]
uiUsesMainServerAsFileServer = 0

Пусковая панель

Чтобы указать стартовую панель при запуске интерфейса пользователя, используйте запись «rootPanel»:

[webClient]

rootPanel = «vision/login.pnl»

Также можно использовать запись «mobileRootPanel» для мобильного клиента:

[webClient]

mobileRootPanel = «vision/login.pnl»

Если эти записи в файле config не добавлены, то в качестве стартовой панели будет открыта панель «login.pnl».

Запуск серверного проекта.

Запустите проект на сервере. Добавьте опцию «-server», чтобы клиент мог подключиться к HTTP-серверу «КАСКАД Цифра», и добавьте в проект менеджер сценариев со скриптом webclient_http.ctl. См. рисунок ниже (в качестве сервера здесь используется локальный компьютер «localhost»):

Рисунок: серверный проект и опция «-server», а также сценарий webclient_http.ctl

Теперь вы можете запустить выбранный клиент, например, ULC UX через https://localhost/data/ulc/start.php