Редактировал(а) Ирина Сафонова 22.03.2024, 15:16
От версии 52.3
отредактировано Ирина Сафонова
на 01.04.2023, 00:35
Изменить комментарий: К данной версии нет комментариев
К версии 43.1
отредактировано Ирина Сафонова
на 31.03.2023, 18:19
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Содержимое
... ... @@ -102,7 +102,7 @@
102 102  Например, вы можете разрешить пользователю удалять информационные панели, добавив **can_delete** на сущность информационной панели к роли и предоставив этому пользователю эту роль.
103 103  )))
104 104  |(% style="width:385px" %)**Представления**|(% style="width:993px" %)Представления — это отдельные веб-страницы, такие как, представление **Исследование** или представление **Лаборатория SQL**. Предоставленный пользователю, он увидит это представление в пунктах меню и сможет загрузить эту страницу.
105 -|(% style="width:385px" %)**Источник данных**|(% style="width:993px" %)Для каждого источника данных создается разрешение. Если пользователю **не предоставлено** разрешение {{code language="none"}}all_datasource_access{{/code}}, он сможет только просматривать срезы или исследовать источники данных, к которым у него есть доступ.
105 +|(% style="width:385px" %)**Источник данных**|(% style="width:993px" %)Для каждого источника данных создается разрешение. Если пользователю **не предоставлено** разрешение **all_datasource_access**, он сможет только просматривать срезы или исследовать источники данных, к которым у него есть доступ.
106 106  |(% style="width:385px" %)**База данных (БД)**|(% style="width:993px" %)Предоставление доступа к БД позволяет пользователю получить доступ ко всем источникам данных в этой базе данных. Также пользователь сможет запрашивать эту БД в лаборатории SQL при условии, что пользователю предоставлено специальное разрешение лаборатории.
107 107  Про настройку БД в Cloud BI можно почитать [[здесь>>https://wiki.dfcloud.ru/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20Cloud%20BI/2.%20%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F/02.%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0/A.%20%D0%A1%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5%20%D1%81%20%D0%B1%D0%B0%D0%B7%D0%B0%D0%BC%D0%B8%20%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85/]].
108 108  
... ... @@ -114,17 +114,17 @@
114 114  **Пример:**
115 115  Пользователи финансовой группы могут иметь доступ к набору баз данных и источников данных; эти разрешения могут быть объединены в одной роли. Затем пользователям с этим профилем необходимо назначить роль **Gamma** в качестве основы для моделей и представлений, к которым они могут получить доступ, и роль **Finance**, которая представляет собой набор разрешений для объектов данных.
116 116  
117 -Пользователь может иметь сразу несколько ролей. Например, руководителю финансовой группы могут быть предоставлены роли **Gamma**, **Finance** и **Executive**. Роль руководителя **(Executive)** позволяет иметь доступ к набору источников данных и информационных панелей, доступных только для руководителей. В представлении **Dashboards** пользователь может видеть только те дашбарды, к которым у него есть доступ в зависимости от назначенных ролей и разрешений.
117 +Пользователь может иметь сразу несколько ролей. Например, руководителю финансовой группы могут быть предоставлены роли **Gamma**, **Finance** и Executive. Роль руководителя **(Executive)** позволяет иметь доступ к набору источников данных и информационных панелей, доступных только для руководителей. В представлении **Dashboards** пользователь может видеть только те дашбарды, к которым у него есть доступ в зависимости от назначенных ролей и разрешений.
118 118  
119 119  == Настройка фильтров безопасности на уровне строк ==
120 120  
121 -Используя фильтры безопасности на уровне строк (в меню пункте меню **Безопасность**), вы можете создавать фильтры, которые назначаются конкретной таблице, а также набору ролей. Если вы хотите, чтобы члены финансовой группы имели доступ только к строкам, в которых {{code language="none"}}department = "finance"{{/code}}, вы можете:
121 +Используя фильтры безопасности на уровне строк (в меню пункте меню **Безопасность**), вы можете создавать фильтры, которые назначаются конкретной таблице, а также набору ролей. Если вы хотите, чтобы члены финансовой группы имели доступ только к строкам, в которых отдел = "финансы", вы можете:
122 122  
123 -~1. Создать фильтр безопасности на уровне строк с {{code language="none"}}department = "finance"{{/code}}.
123 +~1. Создать фильтр безопасности на уровне строк с этим предложением (department = "finance").
124 124  2. Назначить предложение роли **Финансы** и таблице, к которой оно применяется.
125 -3. Поле предложения, которое может содержать произвольный текст, добавить к предложению WHERE сгенерированного оператора SQL. Таким образом, вы даже можете настроить фильтр //За последние 30 дней// и применить его к определенной роли с таким предложением, как {{code language="none"}}date_field > DATE_SUB(NOW(), INTERVAL 30 DAY){{/code}}. Фильтр также может поддерживать несколько условий: {{code language="none"}}client_id = 6{{/code}} И {{code language="none"}}advertiser="foo"{{/code}} и так далее.
125 +3. Поле предложения, которое может содержать произвольный текст, добавить к предложению WHERE сгенерированного оператора SQL. Таким образом, вы даже можете настроить фильтр //За последние 30 дней// и применить его к определенной роли с таким предложением, как //date_field > DATE_SUB(NOW(), INTERVAL 30 DAY)//. Фильтр также может поддерживать несколько условий: client_id = 6 И рекламодатель = "foo" и так далее
126 126  
127 -Все соответствующие фильтры безопасности на уровне строк будут объединены вместе (внутри различные предложения SQL объединяются с помощью операторов AND). Это означает, что можно создать ситуацию, когда две роли конфликтуют таким образом, что подмножество таблиц может быть пустым. Например, фильтры** **{{code language="none"}}client_id=4{{/code}} и {{code language="none"}}client_id=5{{/code}}, примененные к роли, приведут к тому, что пользователи этой роли будут иметь {{code language="none"}}client_id=4{{/code}} и {{code language="none"}}client_id=5{{/code}}, добавленные к их запросу, что никогда не может быть правдой.
127 +Все соответствующие фильтры безопасности на уровне строк будут объединены вместе (внутри различные предложения SQL объединяются с помощью операторов AND). Это означает, что можно создать ситуацию, когда две роли конфликтуют таким образом, что подмножество таблиц может быть пустым. Например, фильтры client_id=4 и client_id=5, примененные к роли, приведут к тому, что пользователи этой роли будут иметь client_id=4 И client_id=5, добавленные к их запросу, что никогда не может быть правдой.
128 128  
129 129  == Политика безопасности контента ==
130 130  
... ... @@ -133,35 +133,3 @@
133 133  Политика безопасности контента позволяет администраторам серверов уменьшить или устранить векторы, по которым может происходить XSS, указав домены, которые браузер должен рассматривать как допустимые источники исполняемых скриптов. В этом случае браузер, совместимый с политикой, будет выполнять только сценарии, загруженные в исходные файлы и полученные из этих разрешенных доменов, игнорируя все остальные сценарии (включая встроенные сценарии и HTML-атрибуты обработки событий).
134 134  
135 135  Политика описывается с помощью ряда директив, каждая из которых описывает политику для определенного типа ресурса или области политики. Описание директив доступно по ссылке.
136 -
137 -Важно коррректно настроить политику безопасности контента при развертывании Cloud BI, чтобы предотвратить многие типы атак. Cloud BI предоставляет две переменные в config.py для развертывания:
138 -
139 -* {{code language="none"}}TALISMAN_ENABLED{{/code}} по умолчанию имеет значение //False//. Установите для этого параметра значение //True//
140 -* {{code language="none"}}TALISMAN_CONFIG{{/code}} содержит фактическое определение политики
141 -
142 -При работе в продуктивном режиме Cloud BI при запуске проверяет наличие настройки политики. Если она не будет найдена, то система выдаст предупреждение, что есть угроза безопасности. Для сред, в которых политики безопасности определены вне Cloud BI с помощью другого программного обеспечения, администраторы могут отключить это предупреждение с помощью ключа {{code language="none"}}CONTENT_SECURITY_POLICY_WARNING{{/code}} в {{code language="none"}}config.py{{/code}}.
143 -
144 -=== Требования к политике безопасности контента ===
145 -
146 -Требования следующие:
147 -
148 -* Укажите ключевые слова {{code language="none"}}'unsafe-eval'{{/code}} и {{code language="none"}}'unsafe-inline'{{/code}}:
149 -
150 -{{code language="none"}}
151 -default-src 'self' 'unsafe-eval' 'unsafe-inline'
152 -{{/code}}
153 -
154 -* Некоторые дашбоарды загружают изображения с использованием URI данных:
155 -
156 -{{code language="none"}}
157 -img-src 'self' data:
158 -{{/code}}
159 -
160 -* Диаграммы MapBox используют воркеры и должны подключаться к серверам MapBox:
161 -
162 -{{code language="none"}}
163 -worker-src 'self' blob:
164 -connect-src 'self' https://api.mapbox.com https://events.mapbox.com
165 -{{/code}}
166 -
167 -Ниже пример TALISMAN_CONFIG, который реализует вышеуказанные требования, использует {{code language="none"}}'self'{{/code}} для ограничения содержимого тем же источником, что и сервер Cloud BI, и запрещает устаревшие элементы HTML, устанавливая для object-src значение {{code language="none"}}'none'{{/code}}.