При использовании аутентификации на стороне сервера для менеджеров UI необходимо учитывать следующие замечания и ограничения.:
Примечания
Аутентификация интерфейса пользователя
Аутентификация на стороне сервера для менеджеров UI производится иначе, нежели для иных менеджеров, поэтому она используется только для менеджеров UI. Аутентификация других менеджеров, например распределенной архитектуры, резервирования или сценариев, не выполняется. Поэтому гарантируется, что в существующих или новых проектах не возникает ограничений для взаимодействия менеджеров.
Опция менеджера UI «-ssa»
Опция менеджера UI «-ssa» означает, что, при одновременном использовании с опцией «- server», загрузка файлов проекта и связанное с этим создание кэша проекта не выполняется. Эту опцию следует использовать, если все файлы, необходимые для запуска, уже находятся на клиенте, который используется для запуска пользовательского интерфейса.
Требования по безопасности
Обратите внимание, что использование аутентификации на стороне сервера для менеджеров пользовательского интерфейса не приведет к немедленному повышению безопасности вашего предприятия. Требования, описанные в руководстве «КАСКАД Цифра» Security Guideline, должны быть выполнены для поддержания надлежащего уровня безопасности.
Ограничения
Следует учитывать следующие ограничения:
Аутентификация на стороне сервера для менеджеров UI не поддерживается мобильными клиентами.
При использовании аутентификации на стороне сервера для менеджеров UI смена пользователя внутри иерархии панелей («Login as») невозможна.
Смена пользователя ультратонкого клиента требует перезапуска браузера. В противном случае смена пользователя невозможна.
Аутентификация на стороне сервера для менеджеров UI не поддерживается при использовании однократной идентификации (Single Sign On).
Обратите внимание, что проект c аутентификацией на стороне сервера для менеджеров UI также может быть создан с помощью панели администрирования проекта. См. раздел Создание проекта.
Конфигурация на стороне сервера
ВНИМАНИЕ
Пользователь «root» не может быть использован для входа в систему в проекте с аутентификацией на стороне сервера. Однако вы можете использовать всех других пользователей, например пользователя «para». Пользователи, созданные по умолчанию при создании проекта, описаны в разделе «Пользователи». Чтобы создать новых пользователей, см. раздел «Пользователи». Чтобы узнать, как установить права доступа пользователей, ознакомьтесь с разделом Группы.
ВНИМАНИЕ
Аутентификация на стороне сервера для менеджеров UI не поддерживается при использовании однократной идентификации (Single Sign On).
ПРИМЕЧАНИЕ
Добавьте записи в файл config, создайте менеджер сценариев с нужными опциями и запустите свой проект. Если проект уже запущен, требуется перезапуск проекта.
Управление устройствами – автоматическая разблокировка
Включите автоматическую разблокировку в управлении устройствами (Управление системой -> Настройки -> Управление устройствами) перед внесением записи «AccessControlPluginUser» в файл config (см. рисунок ниже). Запустите интерфейс пользователя один раз после включения аутентификации на стороне сервера для активации менеджеров UI. После этого снова отключите автоматическую разблокировку в «Управлении устройствами».
Рисунок: Управление устройствами
Конфигурация плагина управления доступом
Для успешной настройки аутентификации на стороне сервера для менеджеров UI необходимо внести 2 записи в файл config:
При использовании аутентификации на стороне сервера для менеджеров (не относящихся к интерфейсам пользователя) используйте запись в файле config [general] accessControlPlugin = «AccessControlPlugin»
Запись «accessControlPlugin» определяет, какой плагин используется для аутентификации на стороне сервера для менеджеров интерфейса пользователя или для остальных менеджеров. См. также Плагин управления доступом, Основы
[webClient] clientSideAuth = 0
Запись «clientSideAuth = 0» указывает, что используется аутентификация на стороне сервера для менеджеров пользовательского интерфейса.
Конфигурации веб-сервера
В файл config добавьте следующую запись в секцию [ui]:
[ui] httpServer = «https://localhost:443»
ВНИМАНИЕ
Если аутентификация на стороне сервера сейчас деактивирована, удалите текущее значение точки данных «_UIx.SessionToken» от имени пользователя «root». В противном случае, в интерфейсе пользователя, который был ранее уже открыт, панель входа в систему не отображается правильно, и пользователь, который вошел в систему автоматически, не имеет никаких полномочий.
Конфигурация на стороне клиента
Ниже представлен список типов клиентов с соответствующими им записями в файле config:
В случае высокой задержки сетевого соединения между клиентом и сервером может потребоваться увеличить время ожидания aliveTimeout для соединения менеджера БД и событий, например:
[data] aliveTimeout = -2
[event] aliveTimeout = -2
uiUsesMainServerAsFileServer
Запись «uiUsesMainServerAsFileServer = 0» необходима для предотвращения переадресации интерфейса пользователя на дополнительный веб-сервер для загрузки файлов проекта. В этом случае все файлы (панели, скрипты, …), которые необходимы для интерфейса пользователя, должны быть расположены внутри проекта, который используется для запуска сервера ULC UX.
[httpServer] uiUsesMainServerAsFileServer = 0
Пусковая панель
Чтобы указать стартовую панель при запуске интерфейса пользователя, используйте запись «rootPanel»:
[webClient]
rootPanel = «vision/login.pnl»
Также можно использовать запись «mobileRootPanel» для мобильного клиента:
[webClient]
mobileRootPanel = «vision/login.pnl»
Если эти записи в файле config не добавлены, то в качестве стартовой панели будет открыта панель «login.pnl».
Запуск серверного проекта.
Запустите проект на сервере. Добавьте опцию «-server», чтобы клиент мог подключиться к HTTP-серверу «КАСКАД Цифра», и добавьте в проект менеджер сценариев со скриптом webclient_http.ctl. См. рисунок ниже (в качестве сервера здесь используется локальный компьютер «localhost»):
Рисунок: серверный проект и опция «-server», а также сценарий webclient_http.ctl
Теперь вы можете запустить выбранный клиент, например, ULC UX через https://localhost/data/ulc/start.php
При использовании аутентификации на стороне сервера для менеджеров UI пользователь должен аутентифицировать себя в интерфейсе пользователя через HTTP-сервер. Связь между интерфейсом пользователя и ядром «КАСКАД Цифра» (менеджер БД / менеджер событий) возможна только в том случае, если регистрационные данные для входа в систему проверяются HTTP-сервером, а допуск обеспечивается с помощью специального токена интерфейса пользователя.
Аутентификация на стороне сервера для менеджеров UI обеспечивает повышенную безопасность, предотвращая доступ несанкционированных UI-клиентов.
Аутентификация на стороне сервера для менеджеров UI производится иначе, нежели для иных менеджеров, поэтому она используется только для менеджеров UI. Описание аутентификации на стороне сервера для остальных менеджеров см. раздел «Аутентификация на стороне сервера для менеджеров, Основы».
Связующая сессия
Связующая сессия снижает риск манипулирования сообщениями и несанкционированного доступа к системе «КАСКАД Цифра». Безопасность связи повышается, так как предотвращается доступ несанкционированных менеджеров. При использовании связующей сессии имя пользователя «КАСКАД Цифра» должно быть частью сертификата (информация о том, как создать сертификат с именем пользователя, см. в разделе «Создание SSL-сертификатов с помощью панели»).
Связующая сессия активируется при помощи аутентификации на стороне сервера для менеджеров UI. При загрузке плагина управления доступом связующая сессия автоматически активируется и не может быть деактивирована. По умолчанию в стандартном проекте связующая сессия деактивирована. Вы можете активировать связующую сессию независимо от Плагина управления доступом, используя запись в файле config «serverSideAuthentication=1» в секции [general].
Обзор разделов
Раздел
Описание
Аутентификация на стороне сервера для менеджеров UI: