Базовый сервис Управление пользователями
О базовом сервисе
Базовый сервис Управление пользователями отвечает за настройку общих параметров политики безопасности пользователей во всех объектах Платформы.
В данном базовом сервисе настраиваются верхнеуровневые правила, применимые ко всем пользователям Платформы.
Создание ролей и пользователей происходит в разделе Управление доступом. Данные о пользователях, ролях и правах доступа хранятся и обрабатываются базовым сервисом Платформы DatareonPlatformCredential.
В раздел Управление пользователями входит:
Вкладка Основные:
Название: название базового сервиса, доступно для редактирования.
Имя: имя базового сервиса, необязательно для заполнения (заполняется автоматически из значения поля Название). При присвоении имени необходимо учитывать перечень зарезервированных имен.
Комментарий: дополнительные сведения о базовом сервисе, поддерживается многострочный ввод.
Вкладка Параметры сервиса позволяет настроить блокировку пользователей, сложность пароля и авторизацию пользователей через Active Directory (AD).
Блокировка пользователей
Поддерживается возможность настроить условия автоматической блокировки пользователей Credential. А именно блокировка из-за долгого отсутствия успешных аутентификаций со стороны пользователя или из-за большого количества неуспешных попыток аутентификации.
Управление блокировкой пользователей доступно на вкладке Параметры сервиса.
Блокировать неиспользуемые логины по истечению указанного количества дней (withoutLoginDays): максимальное количество дней без авторизации для пользователя в системе. Если пользователь не использует учетную запись в течение установленного времени, он будет отключен. Если в этом параметре указано значение 0, то проверка по этому признаку не выполняется. Процесс блокировки срабатывает каждый день в полночь.
Максимальное количество попыток ввода пароля (maxFailedPasswordAttempts): используется для контроля попыток ввода аутентификационных данных пользователя. Цифровое значение параметра определяет количество допустимых попыток введения неправильного пароля (при значении 0 параметр выключен). После исчерпания указанных попыток ввода аутентификационных данных пользователь будет заблокирован.
reuseAfter: через сколько дней будет возможно создать пользователя с логином, который когда-либо был у другого пользователя, уже удаленного из системы. Например, если указано 10 – логин удаленного из системы пользователя будет храниться в базе еще 10 дней. В это время не будет возможности создать нового пользователя с таким же логином, так как при создании нового пользователя система проводит проверку уникальности логина. По истечении 10 дней логин будет доступен для новых пользователей.
Примечание
Настройка reuseAfter в настоящее время доступна только в виде параметра в режиме редактора конфигурации.
Примечание
При выборе пользователей, подлежащих отключению, рассчитывается количество времени между текущим моментом и моментом последнего входа в систему (LastLoginDateTime). Пользователь будет отключен, если это количество больше или равно дням, указанным в withoutLoginDays.
Примечание
Пользователи Администратор и Система не участвуют в проверке и не блокируются.
Настройка паролей
На вкладке Параметры сервиса в подразделе Проверка паролей настраиваются параметры проверки пароля для всех пользователй (блок passwordSettings).
Настраиваемые параметры проверки сложности пароля (checkPassword): активация настроек проверки пароля. Если флаг не установлен (false), то к паролю применяются дефолтные требования:
длина пароля не менее 8 символов;
пароль содержит не менее одной строчной и заглавной буквы;
пароль содержит не менее одной цифры;
пароль содержит не менее одного специального символа (кроме символа «&»).
Если флаг установлен (true), то применяются настроенные ниже параметры. При попытке сохранить пароль, не соответствующий параметрам сложности, происходит отказ в сохранении пароля.
Проверять с помощью регулярного выражения (useCustomRegex): для включения проверки соответствия длины пароля регулярному выражению необходимо активировать флаг, длина указывается в поле Длина пароля не менее.
Длина пароля не менее (passwordLength): минимально допустимое количество символов в пароле. Поддерживаются значения от 4 до 100. Параметр активен в случае установленного флага в поле Проверять с помощью регулярного выражения.
Обязательно наличие символов в верхнем регистре (needCapitalLetters): если установлен флаг, то будет происходить проверка пароля на наличие букв в верхнем регистре.
Обязательное наличие символов в нижнем регистре (needSmallLetters): если установлен флаг, то будет происходить проверка пароля на наличие букв в нижнем регистре.
Обязательное наличие спец-символов (needSpecialCharacters): если установлен флаг, то будет происходить проверка пароля на наличие спец.символов.
Обязательное наличие цифр (needNumbers): если установлен флаг, то будет происходить проверка пароля на наличие цифр.
Ограничить срок действия пароля (isIndicationPasswordExpirationValidityPeriod): включение проверки по сроку действия пароля, дни указываются в параметре Срок действия пароля (в днях).
Срок действия пароля (в днях) (passwordExpirationDateCount): срок действия пароля в днях, поддерживаются значения от 0 до 365, при 0 бесконечный срок действия пароля. Поле доступно, если активирован параметр Ограничить срок действия пароля.
Количество изменений пароля перед повторным использованием (numberOfLastBannedUserPasswords): сколько раз необходимо сменить пароль перед тем, как будет возможно повторно использовать прежний пароль. Отсчет начинается с 0, например:
Если numberOfLastBannedUserPasswords = 0, то пользователь сможет повторно использовать прежний пароль после того, как один раз поменяет пароль на другое уникальное значение: Пароль1->Пароль2->Пароль1;
Если numberOfLastBannedUserPasswords = 1, то пользователь сможет повторно использовать прежний пароль после того, как два раза поменяет пароль на другие уникальные значения: Пароль1->Пароль2->Пароль3->Пароль1;
Если numberOfLastBannedUserPasswords = 2, то пользователь сможет повторно использовать прежний пароль после того, как три раза поменяет пароль на другие уникальные значения: (Пароль1->Пароль2->Пароль3->Пароль4->Пароль1).
Авторизация через домен
Платформа поддерживает авторизацию пользователей через Active Directory (AD) с помощью блока настроек authDomainSettings на вкладке Параметры сервиса. Этот блок позволяет включить или отключить авторизацию через AD, а также указать адрес и порт сервера, на котором настроена служба доменной аутентификации.
Использовать авторизацию через домен Windows (enabled): включает или отключает авторизацию через AD, если флаг установлен, то включена авторизация через AD и доступны для заполнения параметры Сервер и Порт.
Сервер (serverAuthenticationAddress): адрес сервера AD.
Порт (serverAuthenticationPort): порт подключения к серверу AD.
Хранение данных
Настройки на вкладке Хранение отвечают за очистку журналов управления доступом:
Выполнять удаление записей журналов (boolean): будут ли удаляться данные из журналов. Остальные настройки на вкладке доступны, если флаг установлен.
Максимальное количество записей в каждом журнале (integer): количество последних записей, которые должны остаться в Журналах после автоматического удаления более старых записей. Если ограничение не требуется, удалите значение из поля – система интерпретирует отсутствие значения как Без ограничений.
Количество дней хранения (integer): срок хранения записей в Журналах в днях. После автоматического удаления в Журналах останутся только записи, срок хранения которых не превышает установленное ограничение. Если ограничение не требуется, удалите значение из поля – система интерпретирует отсутствие значения как Бесконечно.
Настройка расписания очистки осуществляется в режиме редактора кофигурации – параметр storageDataCleaningSchedule (string). Расписание по умолчанию – каждый час.
Примечание
Если флаг Выполнять удаление записей журналов не активен, то заданное в параметре storageDataCleaningSchedule расписание игнорируется системой и очистка не выполняется.
Настройки хранения также доступны в режиме редактора кофигурации:
UI-настройка Выполнять удаление записей журналов соответствует параметру storageDataCleaning.
UI-настройка Максимальное количество записей в каждом журнале соответствует параметру storageDataCleaningMaxNumberOfStoredRecords.
UI-настройка Количество дней хранения соответствует параметру storageDataCleaningMaxRetentionTimeInDays.
Дополнительные и секретные свойства пользователей
Конфигурация базового сервиса Управление пользователями позволяет добавить пользователям дополнительные и/или секретные свойства. Методы присвоения значений описаны в Библиотеке разработки.
Дополнительные свойства
Дополнительные свойства пользователей добавляются в конфигурацию базового сервиса Управление пользователями в блок additionalFields.
Пример добавляемой конструкции:
"additionalFields":
[
{
"$type": "DT.MdmMetadata.BusinessProcesses.Fields.SimpleField, DT_Core",
"type": "String",
"name": "Религия",
"id": "c41bed87-8a55-4c6e-8874-0b6b0f3e389e",
"isArray": false,
"isRequired": false,
"isNullable": false,
"properties": {
"$type": "System.Collections.Generic.Dictionary`2[[System.String,
System.Private.CoreLib],[System.String, System.Private.CoreLib]], System.Private.CoreLib"
}
}
]
Секретные свойства
Секретные свойства пользователей добавляются в конфигурацию базового сервиса Управление пользователями в блок secretFields.
Пример добавляемой конструкции:
"secretFields":
[
{
"$type": "DT.MdmMetadata.BusinessProcesses.Fields.SimpleField, DT_Core",
"type": "Decimal",
"decimalOptions": {
"$type": "DT.MdmMetadata.Types.DecimalOptions, DT_TypeBuilder.Entities",
"precision": 10,
"scale": 0,
"autoRound": false
},
"name": "Зарплата",
"id": "768bb0d6-a324-4ec1-9cbd-9a4573a4d6c8",
"isArray": false,
"isRequired": false,
"isNullable": false,
"properties": {
"$type": "System.Collections.Generic.Dictionary`2[[System.String, System.Private.CoreLib],[System.String, System.Private.CoreLib]], System.Private.CoreLib"
}
}
]
Резервирование данных
Резервирование данных используется для восстановления данных базового сервиса в случае выхода из строя одного из серверов.
При резервировании данных на серверах создаются резервные копии данных, в которые будут реплицироваться сообщения при обмене данными. Резервные данные могут быть созданы на любом из включенных в состав кластера сервере, при этом такой сервер продолжает выполнять назначенные ему функции работы с мастер-данными.
При выходе из строя одного из серверов, указанных в настройках конфигурации кластера, копии данных будут переданы в обработку Платформой.
Информация о работе резервирования находится в ЦМ на вкладке Основные соответствующего сервера.