Управление пользователями «КАСКАД Цифра» имеет чрезвычайно важное значение для реализации одного из важнейших принципов обеспечения безопасности, а именно предоставления пользователям доступа только к тем данным, которые необходимы пользователям для выполнения их служебных обязанностей. Функциональность управления пользователями системы «КАСКАД Цифра» позволяет обеспечить эффективное использование ресурсов системы без возможности причинения ей непреднамеренного или любого другого ущерба.
В системе «КАСКАД Цифра» поддерживается создание, изменение и удаление пользователей, групп, а также групповых полномочий.
В зависимости от существующей на стороне заказчика концепции администрирования пользователей, пользователи могут входить в состав одной или нескольких различных групп. При этом члены группы наследуют полномочия, присвоенные данной группе. Предоставление полномочий группе (и, соответственно, входящим в данную группу пользователям) осуществляется при помощи битов полномочий. Биты соответствуют уровням полномочий. Существуют пять предопределенных уровней полномочий (например, уровень 1, соответствующий полномочиям визуализации). Также могут быть определены дополнительные 27 уровней.
1-5 предопределенные уровни полномочий используются в «КАСКАД Цифра», например, для STD_Symbols и для управления пользователями, где уровни могут меняться. Уровни полномочий могут также использоваться в иерархии панелей и для авторизации системы, где уровни не изменяются. Более подробная информация приведена в разделе «Уровни полномочий».
Участки (Areas) представляют собой логические или географические области, например, фабрики или установки. В состав участков могут входить группы. Уровни полномочий, настроенные для пар «Участок-Группа пользователей», могут быть проверены в дальнейшем средствами языка CTRL. На основании считанных уровней полномочий, на программном уровне могут быть приняты решения о допустимости выполнения пользователем тех или иных действий (например, открытие панели).
Также имеется возможность управления полномочиями на уровне рабочих станций. Полномочия для рабочей станции могут использоваться только для ограничения полномочий, ранее предоставленных пользователям на уровне групп. Предоставление дополнительных полномочий на уровне рабочих станций невозможно. Например, при помощи полномочий для рабочих станций, уровень полномочий пользователя, являющегося администратором в диспетчерском зале, может быть ограничен до уровня визуализации в пределах офиса.
При предоставлении комбинации различных полномочий на уровне групп, участков и рабочих станций, результирующие полномочия определяются следующим образом: (Группа1 && Участок(Группа1) && Рабочая станция (Группа1) || (Группа2 && Участок(Группа2) && Рабочая станция(Группа2)).
То есть результирующие полномочия определяются на основании полномочий, заданных для групп, участков и рабочих станций. Пользователь, принадлежащий к Группе1, наследует полномочия, присвоенные данной группе. Также пользователь наследует полномочия, настроенные для рабочей станции. Дополнительно пользователь может наследовать полномочия, заданные для участка. Более детальная информация о полномочиях для групп, участков и рабочих станций представлена в последующих разделах.
Пользователям, группам или рабочим станциям в системе «КАСКАД Цифра» также могут быть присвоены Индивидуальные свойства (то есть некоторые дополнительные уникальные значения). При помощи индивидуальных свойств для пользователей могут быть заданы, например, индивидуальные задержки реакции на неактивность или индивидуально установлена видимость определенных слоев.
Управление избранным позволяет создавать виды (наборы имен панелей с указанием их позиций на экранах). При помощи Избранного желаемый вид может быть открыт во время выполнения программы в любой момент времени. Дополнительная информация представлена в разделах «Управление индивидуальными свойствами» и «Настройки для работы с несколькими мониторами».
Для проверки уровня полномочий пользователя используется функция «getUserPermission». Например, при помощи данной функции перед открытием панели может быть осуществлена проверка наличия у пользователя полномочий на открытие данной панели. Функция языка Control «getUserPermissionForArea()» позволяет осуществить проверку наличия у пользователя интересующего уровня полномочий для интересующего участка. Дополнительная информация представлена в разделе «getUserPermissionForArea()».
В качестве альтернативы Управлению пользователями на уровне системы «КАСКАД Цифра» может применяться Управление пользователями на базе операционной системы. При этом пользователи и группы пользователей «наследуются» из Active Directory Windows или Linux. Полномочия групп всегда определяются на уровне приложения «КАСКАД Цифра». Более детальная информация представлена в разделе «Группы». При управлении пользователями на базе ОС (Windows или Linux) (в отличие от управления пользователями на уровне системы «КАСКАД Цифра») возможность добавления или удаления пользователей или групп на уровне «КАСКАД Цифра» отсутствует.
«КАСКАД Цифра» также поддерживает функциональность однократной идентификации (Single Sign On). Активация данной функциональности совместно с активацией управления пользователями на базе ОС позволяет (при запуске менеджера пользовательского интерфейса, открывающего панель входа в систему) обеспечить автоматический вход в систему «КАСКАД Цифра» с учетными данными пользователя из Active Directory. При этом ввод имени пользователя и пароля не требуется. При выходе из системы «КАСКАД Цифра» без закрытия / перезапуска интерфейса пользователя и последующем входе в систему требуется ввод имени пользователя и пароля. Таким образом, управление пользователями в «КАСКАД Цифра» и ОС может осуществляться отдельно.
В последующих разделах представлена детальная информация об управлении пользователями «КАСКАД Цифра», в том числе процедуры создания и управления пользователями, группами и участками, а также описания используемых для этих целей различных панелей.
| Глава | Описание |
| Управление пользователями, основы | Введение в управление пользователями «КАСКАД Цифра». |
| Панель управления пользователями | Описание панели управления пользователями, используемой для создания, изменения и удаления пользователей, групп и участков. |
| Уровни полномочий | Вводная информация о пяти стандартных уровнях полномочий. |
| Участки | Описание участков, представляющих собой логические или географические зоны (например, туннеля). Уровни полномочий, настроенные для пар «Участок-Группа пользователей», могут быть в дальнейшем проверены средствами языка CTRL. На основании считанных уровней полномочий, на программном уровне могут быть приняты решения о допустимости выполнения пользователем тех или иных действий (например, открытие панели). |
| Группы | Описание групп пользователей «КАСКАД Цифра», а также панелей, используемых для управления группами. |
| Пользователи | Описание процедур создания и удаления пользователей, а также описание процедур управления членством пользователей в группах. |
| Полномочия для рабочих станций | Уровни полномочий могут быть также заданы на уровне рабочих станций. В разделе приводится описание способов использования полномочий для рабочих станции, а также способов настройки данных полномочий. |
| Управление индивидуальными свойствами | Описание процедуры настройки индивидуальных свойств пользователей, групп и рабочих станций в системе «КАСКАД Цифра». |
| Системные полномочия | Описание способа настройки уровней полномочий, необходимых для создания, изменения и удаления типов точек данных, точек данных и псевдонимов. |
| Администрирование пользователей на уровне ОС | Описание механизма управления пользователями, при котором основным источником информации о пользователях и группах является Active Directory. Данный механизм можно использовать как в Windows, так и в Linux. |
| Функции для управления пользователями на базе AD | Описание функций языка Control для управления пользователями на базе AD. |