Настройка аутентификации пользователей
Rapid SCADA поддерживает три способа аутентификации пользователей:
- На основе имени и пароля, которые хранятся в базе конфигурации.
- На основе Active Directory.
- Комбинированный способ.
При выполнении аутентификации клиентская программа, например, Коммуникатор или Вебстанция, отправляет запрос приложению Сервер, которое выполняет проверку корректности имени и пароля, определяет роль пользователя и сообщает её клиентской программе.
Стандартные роли пользователя и их возможности перечислены в следующей таблице.
| Идентификатор | Наименование | Описание |
|---|---|---|
| 0 | Отключен | Доступ к системе заблокирован |
| 1 | Администратор | Полный доступ ко всем функциям и объектам системы |
| 2 | Диспетчер | Просмотр информации по всем объектам и телеуправление |
| 3 | Гость | Просмотр информации по всем объектам |
| 4 | Приложение | Взаимодействие с программой Сервер |
Чтобы использовать возможности Rapid SCADA по разграничению прав на объекты интерфейса (табличным представлениям, схемам и т.д.), необходимо в таблице Роли базы конфигурации создать новые пользовательские роли, а затем в таблице Права настроить права доступа.
Если программный комплекс функционирует в локальной сети, построенной на основе Active Directory, то в целях безопасности рекомендуется использовать 2-й или 3 й способ аутентификации, которые далее рассматриваются подробнее.
Чтобы служба Сервера имела возможность взаимодействия с Active Directory, необходимо в настройках Сервера на странице Общие параметры указать адрес контроллера домена и установить соответствующую галочку, а на странице Модули активировать модуль ModActiveDirectory.dll.
2-й способ аутентификации используется, если разграничение прав доступа не предусматривает индивидуальную настройку прав на объекты интерфейса системы. Преимущество данного способа заключается в том, что для управления доступом достаточно инструментария работы с Active Directory, не требуется изменений базы конфигурации и перезапуска службы Сервера.
В Active Directory необходимо создать глобальные группы безопасности, предназначенные для определения ролей пользователей:
- ScadaDisabled - пользователь отключен;
- ScadaAdmin - администратор;
- ScadaDispatcher - диспетчер;
- ScadaGuest - гость;
- ScadaApp - приложение.
Членство пользователя (или группы, в которую он входит) в соответствующей группе безопасности определяет его роль в системе SCADA.
3-й способ объединяет возможности 1-го и 2-го способов. Проверка корректности имени и пароля производится с использованием Active Directory, а роль пользователя определяется по таблице Пользователи базы конфигурации. В этом случае таблице Пользователи указывается идентификатор, имя и роль пользователя, а его пароль остаётся пустым.
Допускается одновременное использование всех вышеперечисленных способов аутентификации.