3.4 Auth
Sekce Auth se zabývá možnostmi autorizaci a autentifikaci klientů při připojení k Endpointu, parametry jsou popsány v tabulce 3.4. Úprava přihlašovacích údajů a pravomoci rolí jsou popsány v kapitole 4.1.
Klient při vytváření připojení zadává způsob ověření identity (UserTokenPolicy). Při anonymním přihlášení nejsou po klientovi požadovány žádné další informace. Při použití přihlašovacích údajů (credentials) musí klient poskytnou uživatelské jméno a heslo, které se poté validují na serveru. Při použití certifikátu musí klient poskytnout certifikát a klíč, u kterých server ověří důvěryhodnost (certifikát je uložen v seznamu trust, viz tabulka 3.3).
Endpoint vždy obsahuje seznam přihlašovacích politik, které podporuje, v podobě textových identifikátorů. Pokud má Endpoint podporovat některou z politik, musí jí být v této sekci přiřazeno textové ID a v konfiguraci Endpointu musí být stejné ID použito v poli USER_TOKEN_POLICY_ ID.
Server obsahuje tři anonymní politiky (ADMIN_USER_TOKEN_POLICY_ID, OPERATOR_USER_TOKEN_POLICY_ID, GUEST_USER_TOKEN_POLICY_ID), které se liší tím, jakou roli přiřadí uživateli, který se s ní přihlásí. Je možné, aby Endpoint podporoval více anonymních politik, záleží ovšem poté na klientu, kterou z nich vybere.
Při použití politiky s přihlašovacími údaji musí být definován INI soubor, který obsahuje jméno, zakódované heslo a roli uživatele. Server poté zjistí, zda klient poskytl správnou kombinaci jména a hesla a pokud ano, povolí mu připojení a přiřadí mu korespondující roli. Heslo je kódováno pomocí různých mechanismů. Aby mohl uživatel mechanismus ovlivnit a jeho heslo nemohl rozluštit někdo jiný, lze nastavit parametr OPTIONAL_ENCODING_SALT. Server přečte pouze ty hesla, která byla zakódována s tímto parametrem, při výměně je tedy nutné přegenerovat soubor s přihlašovacími údaji.
Server podporuje tři přihlašovací politiky s certifikátem (CERT_ADMIN_USER_ TOKEN_POLICY_ID, CERT_OPERATOR_USER_TOKEN_POLICY_ID, CERT_ GUEST_USER_TOKEN_POLICY_ID). Při přihlášení pomocí certifikátu server zjistí, zda daný certifikát vede jako důvěryhodný, a pokud ano, přiřadí uživateli korespondující práva.
Pole | Hodnota | Původní hodnota | Popis |
ADMIN_USER_ TOKEN_POLICY_ ID | ID politiky | – | (Volitelné) ID anonymní přihlašovací politiky, všichni uživatelé budou mít administrátorská oprávnění. |
OPERATOR_ USER_TOKEN_ POLICY_ID | ID politiky | – | (Volitelné) ID anonymní přihlašovací politiky, všichni uživatelé budou mít operátorská oprávnění. |
GUEST_USER_ TOKEN_POLICY_ ID | ID politiky | – | (Volitelné) ID anonymní přihlašovací politiky, všichni uživatelé budou mít oprávnění hosta. |
CERT_ADMIN_ USER_TOKEN_ POLICY_ID | ID politiky | – | (Volitelné) ID politiky přihlašování pomocí certifikátu, všichni uživatelé budou mít administrátorská oprávnění. |
CERT_ OPERATOR_ USER_TOKEN_ POLICY_ID | ID politiky | – | (Volitelné) ID politiky přihlašování pomocí certifikátu, všichni uživatelé budou mít operátorská oprávnění. |
CERT_GUEST_ USER_TOKEN_ POLICY_ID | ID politiky | – | (Volitelné) ID politiky přihlašování pomocí certifikátu, všichni uživatelé budou mít oprávnění hosta. |
CREDENTIALS_ USER_TOKEN_ POLICY_ID | ID politiky | – | ID politiky přihlašování pomocí jména a hesla. Volitelné, pokud není zadán parametr CREDENTIALS_INI_ PATH. |
CREDENTIALS_ INI_PATH | Soubor | – | Soubor, kde jsou zapsáni uživatelé s heslem a rolí. Volitelné, pokud není zadán parametr CREDENTIALS_ USER_TOKEN_POLICY_ID. |
OPTIONAL_ ENCODING_SALT | Text | q1we58 | Hodnota, pomocí které bude zakódováno heslo v souboru s uživateli. Tato hodnota nemusí být příliš velká, 5 - 20 ASCI znaků stačí. |
[Předchozí] [Na začátek] [Výše] [Další]