DatareonPlatformCredential

DatareonPlatformCredential — это один из базовых сервисов платформы. Он запускается на каждом сервере кластера автоматически и отвечает за хранение данных пользователей, ролей и матрицы доступа.

Сервис Credential запускается автоматически на каждом сервере кластера.

Примечание

Настройка политики безопасности выполняется в разделе Управление пользователями. Создание ролей и пользователей в разделе Управление доступом.

Внимание

С версии 3.2 DatareonSecurity в новой архитектуре больше не используется и не доступен в Центре настройки.

Основные функции сервиса Credential:

  • Хранение пользователей, ролей, связей между ними.

  • Формирование и актуализация матрицы доступа.

  • Обмен данными авторизации между серверами кластера.

  • Репликация таблиц с данными о доступе.

В конфигурации следующие параметры:
{
      "$type": "DT.ClusterConfiguration.DefaultService, DT_Core",
      "Config": {
        "$type": "DT.ConfigurationRepository.Configuration.ModuleConfiguration.CredentialConfig, DT_ConfigurationRepository",
        "DatabaseConfiguration": null,
        "ReuseAfter": 10,
        "StoreJournalPeriod": 7,
        "LoggingActions": [],
        "TokenSettings": {
              "$type": "DT.Credential.TokenConfig, DT_Core",
              "TokenLifetime": 60,
              "RefreshTokenLifetime": 1440
        },
        "CreditalsLifetime": 300,
        "UpdateTime": 60,
        "NumberOfLastBannedUserPasswords": 0,
        "WithoutLoginDays": 0,
        "UserUpdatingProccessTime": null,
        "MaxFailedPasswordAttempts": 0,
        "AuthDomainSettings": {
              "$type": "DT.ConfigurationRepository.Configuration.ModuleConfiguration.AuthenticationDomainConfig, DT_ConfigurationRepository",
              "Enabled": false,
              "AuthProtocol": null,
              "ServerAuthenticationAddress": "",
              "ServerAuthenticationPort": 0
        },
        "SecretFields": [],
        "AdditionalFields": [],
        "InternalStorage": true,
        "HotRecoverySettingsGlobal": {
        "$type": "DT.HotRecovery.CredentialHotRecoverySettings, DT_Core",
        "ReplicateOnlyWithinNodeGroup": false,
        "FaultTolerance": 0,
        "Nodes": {
              "$type": "System.Collections.Generic.Dictionary`2[[System.Guid, System.Private.CoreLib],[System.Collections.Generic.List`1[[System.Guid, System.Private.CoreLib]], System.Private.CoreLib]], System.Private.CoreLib"
        }
      },
      "HotRecoverySettingsEffective": {
       "$type": "DT.HotRecovery.CredentialHotRecoverySettings, DT_Core",
       "ReplicateOnlyWithinNodeGroup": false,
       "FaultTolerance": 0,
       "Nodes": {
              "$type": "System.Collections.Generic.Dictionary`2[[System.Guid, System.Private.CoreLib],[System.Collections.Generic.List`1[[System.Guid, System.Private.CoreLib]], System.Private.CoreLib]], System.Private.CoreLib"
        }
      },
      "PasswordSettings": null,
      "LogoutAfterPswChanged": false,
      "SchedulerOptions": "*/10 * * ? * *",
      "StorageDataReplicator": "ReplicationOff",
      "MaxArchiveSendSize": 1048576,
      "SendingStrategy": null
},
"IsActive": true,
"FolderId": "12345678-1234-5678-0000-123456789000",
"GlobalDiagnosticParams": null,
"LocalDiagnosticParams": null,
"LogStorageParams": null,
"ArchiveStorageParams": null,
"TrackingStorageParams": null,
"EntityId": "00000000-1234-5678-0000-123456789000",
"ClusterId": "00000000-0000-0000-0000-000000000000",
"Name": "УправлениеПользователями",
"Description": "Управление пользователями",
"Comment": null,
"Version": 1,
"TagsCollection": null,
"FieldsFromGlobalBusiness": {
      "$type": "System.Collections.Generic.Dictionary`2[[System.String, System.Private.CoreLib],[System.String, System.Private.CoreLib]], System.Private.CoreLib"
 }
}

Взаимодействие с Центром настройки

Авторизация в Центре настройки в кластере выполняется через Credential. Для этого сервис поднимает pipe-сервер для локального взаимодействия с ControlServer. Дополнительно предусмотрен TCP-сервер — его можно использовать для удаленных вызовов.

Матрица доступа

Матрица доступов формируется на старте из внутренних таблиц сервиса для того, чтобы Платформа могла сразу применять базовые правила доступа. После подключения Центра настройки матрица пересобирается на основе присланной конфигурации и сохраняется в сервис.

Репликация между серверами

Credential синхронизирует таблицы с данными доступа между узлами кластера. Выполняется по настройке в конфигурации сервиса StorageDataReplicator.ReplicationOn.

Для синхронизации данных в таблицах реализован класс CredentialReplicatorJob.

С периодичностью, заданной в конфигурации SchedulerOptions (формат cron-расписания), выполняется рассылка всех указанных таблиц:

  1. _externalUsers.

  2. _folders.

  3. _journal.

  4. _roleFolders.

  5. _roleUsers.

  6. _sessions.

  7. _users.

  8. _usersSecretFields.

  9. _usersAdditionalFields.

  10. _userOldPasswords.

  11. _failedPasswordAttempts.

  12. _roles.

  13. _accesses.

  14. _businessRoles.

  15. _businessRoleToRoleTable.

  16. _metadatas.

Схема взаимодействия между Credential

../_images/datareon_platform_credential.png