تخطي إلى المحتوى الرئيسي

إذن

في Ilum ، يتطلب كل إجراء إذن مستخدم محدد. لإدارة هذه العملية بكفاءة، يمكنك إنشاء أدوار ومجموعات بأذونات محددة مسبقا وتعيينها للمستخدمين. لمزيد من التفاصيل حول الأمن الداخلي والتفويض، يرجى زيارة صفحة الأمن الداخلي .

ملاحظه بالنسبة إلى أنواع أمان LDAP وOAuth في Ilum، يمكن للمستخدمين الوصول غير المقيد.:

مهمل: الإصدار 6.2.1

يوضح هذا المستند الأدوار المتاحة داخل تطبيقنا وكيفية تكوين مجموعات لتعيينات الأدوار ل LDAP وأساليب مصادقة OAuth2. يعد فهم هذه الأدوار وكيفية تعيينها بشكل صحيح أمرا بالغ الأهمية للإدارة التحكم في الوصول داخل النظام.

الأدوار المتاحة

يدعم تطبيقنا ثلاثة أدوار:

  1. المشرف يمنح هذا الدور التحكم الكامل في التطبيق.: يمكن للمسؤولين إنشاء جميع الموارد وعرضها وإدارتها ، بما في ذلك تلك التي أنشأها مستخدمون آخرون.
  2. مستخدم يمنح هذا الدور الوصول إلى وظائف التطبيق الأساسية.: يمكن للمستخدمين إنشاء وعرض وإدارة خاصة بهم موارد.
  3. المشاهد يوفر هذا الدور وصولا للقراءة فقط إلى التطبيق.: يمكن للمشاهدين عرض جميع الموارد ولكن لا يمكنهم الإنشاء أو تعديلها.

تعيين الأدوار

إذا كنت تستخدم المصادقة الداخلية (الطريقة الافتراضية)، فلا داعي للقلق بشأن تعيين الدور. ال سيقوم التطبيق تلقائيا بتعيين الأدوار الصحيحة بناء على تكوين حسابات المستخدمين الداخلية.

ومع ذلك، عند استخدام LDAP أو OAuth2، ستحتاج إلى تعيين المجموعات من هذه الأنظمة إلى الأدوار داخل تطبيق.

مجموعة LDAP إلى تعيين الدور

بالنسبة إلى LDAP، يجب ربط المجموعات المخصصة للمستخدم ضمن LDAP بأدوار تطبيقنا.

مثال على أمر ترقية helm لتعيين LDAP مدير و المطورين يتم عرض مجموعات لأدوار Ilum أدناه: 

ترقية Helm \ 
--set ilum-core.security.authorities.roles.mappings.administrators=admin \ 
--set ilum-core.security.authorities.roles.mappings.developers=user \ 
- إعادة استخدام قيم ilum ilum / ilum

مجموعة OAuth2 لتعيين الأدوار

بالنسبة إلى OAuth2، ستحتاج إلى تعيين مطالبات المجموعة من رمز JWT المميز إلى الأدوار داخل تطبيقنا.

يظهر أدناه مثال على أمر ترقية helm لتعيين مجموعات OAuth2 إلى الأدوار: 

ترقية Helm \ 
--set ilum-core.security.authorities.roles.mappings.8032fe76-2d7e-4178-9066-d38ee8536675=admin \ 
- إعادة استخدام قيم ilum ilum / ilum

ملاحظه: للاستفادة من التفويض المستند إلى الدور، يحتاج موفر OAuth2 إلى تضمين معلومات عضوية المجموعة الخاصة بالمستخدم في يدعي الرمز المميز. غالبا ما يشار إلى هذه باسم مطالبات المجموعة . يمكن أن يختلف تكوين هذا بين OAuth2 مقدمي. لذلك ، يجب عليك الرجوع إلى وثائق مقدم الخدمة للحصول على إرشادات دقيقة حول كيفية القيام بذلك.

مثال على تكوين مطالبات المجموعة في Azure AD

فيما يلي مثال على كيفية التكوين مطالبات المجموعة ل Microsoft Azure AD :

  1. سجل الدخول إلى مدخل Microsoft Azure.
  2. حدد Azure Active Directory.
  3. في جزء التنقل الأيسر، حدد خدمة "Azure Active Directory"، وحدد "تسجيلات التطبيقات"، ثم حدد التطبيق الخاص بك.
  4. في شفرة التطبيق، حدد "تكوين الرمز المميز"، ثم حدد "إضافة مطالبة مجموعات".
  5. حدد المجموعات التي تريد تضمينها في مطالبات الرمز المميز.
  6. حدد "إضافة".
  7. لا تنس منح موافقة المسؤول على التطبيق للسماح بمطالبات عضوية المجموعة.

بمجرد الانتهاء من هذه الخطوات، سيقوم Azure AD بتضمين معرف المجموعة المحددة في مطالبة المجموعات بالرمز المميز عندما إصدار الرموز المميزة للتطبيق. يمكن بعد ذلك استخدام هذه المعلومات من قبل تطبيقنا لتعيين الأدوار المناسبة ل استنادا إلى عضوية المجموعة الخاصة بهم في Azure AD.

يحتاج التطبيق إلى معرفة الأدوار التي يجب تعيينها للمستخدمين استنادا إلى معرفات المجموعة هذه. لهذا ، نستخدم تكوين تعيين التخويل. إنها آلية لتعيين معرفات مجموعة Azure AD هذه إلى الأدوار المقابلة داخل تطبيقنا.