Редактировал(а) Ирина Сафонова 22.03.2024, 15:16
От версии 75.1
отредактировано Ирина Сафонова
на 07.04.2023, 12:58
Изменить комментарий: К данной версии нет комментариев
К версии 85.1
отредактировано Ирина Сафонова
на 07.04.2023, 13:38
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Содержимое
... ... @@ -8,7 +8,7 @@
8 8  
9 9  ----
10 10  
11 -Cloud BI поставляется с стандартным набором ролей, которые обрабатываются самим Cloud BI.
11 +Cloud BI поставляется с стандартным набором ролей, которые обрабатываются самим Cloud BI. Ролевая модель достаточно гибкая, позволяет создавать новые роли и настраивать существующие.
12 12  
13 13  {{error}}
14 14  **Не рекомендуется** изменять разрешения, связанные с каждой ролью (например, путем удаления или добавления разрешений для них), несмотря на такую возможность у [[администратора системы>>https://wiki.dfcloud.ru/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20Cloud%20BI/2.%20%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F/02.%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0/D.%20%D0%A0%D0%BE%D0%BB%D0%B8%20%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B0%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0/%D0%9E%D0%B1%D1%89%D0%B5%D0%B5%20%D0%BE%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8/#H41043443C43843D43844144244043044243E44044143844144243543C44B]].
... ... @@ -73,14 +73,19 @@
73 73  
74 74  == Создание новой роли ==
75 75  
76 +----
77 +
76 76  Для создания:
77 77  
78 78  1. Перейдите в **Настройки** -> **Список ролей**.
79 79  1. Нажмите кнопку **Добавить новую запись**.
80 80  1. В открывшейся экранной форме введите название роли и задайте ей права (доступен множественный выбор).
83 +1. При необходимости добавьте пользователей на вкладке **Список пользователей**.
81 81  
82 82  == Добавление пользователей в группу доступа ==
83 83  
87 +----
88 +
84 84  Для добавления:
85 85  
86 86  1. Перейдите в **Настройки** -> **Список ролей**.
... ... @@ -94,11 +94,12 @@
94 94  
95 95  Разрешения, предоставляемые FAB, качественно детализированы и обеспечивают высокий уровень настройки. FAB автоматически создает множество разрешений для каждой создаваемой модели (//can_add, can_delete, can_show, can_edit,// …), а также для каждого представления. Кроме того, Cloud BI может предоставлять более детальные разрешения, такие, как //all_datasource_access//.
96 96  
102 +
97 97  {{error}}
98 98  **Не рекомендуется **изменять базовые роли, поскольку существует набор допущений, на которых построен Cloud BI. Однако вы можете создавать свои собственные роли и объединять их с существующими.
99 99  {{/error}}
100 100  
101 -== Разрешения ==
107 +=== Разрешения ===
102 102  
103 103  ----
104 104  
... ... @@ -137,6 +137,8 @@
137 137  
138 138  == Настройка фильтров безопасности на уровне строк ==
139 139  
146 +----
147 +
140 140  Используя фильтры безопасности на уровне строк (в меню пункте меню **Безопасность**), вы можете создавать фильтры, которые назначаются конкретной таблице, а также набору ролей. Если вы хотите, чтобы члены финансовой группы имели доступ только к строкам, в которых {{code language="none"}}department = "finance"{{/code}}, вы можете:
141 141  
142 142  ~1. Создать фильтр безопасности на уровне строк с {{code language="none"}}department = "finance"{{/code}}.
... ... @@ -144,59 +144,3 @@
144 144  3. Поле предложения, которое может содержать произвольный текст, добавить к предложению WHERE сгенерированного оператора SQL. Таким образом, вы даже можете настроить фильтр //За последние 30 дней// и применить его к определенной роли с таким предложением, как {{code language="none"}}date_field > DATE_SUB(NOW(), INTERVAL 30 DAY){{/code}}. Фильтр также может поддерживать несколько условий: {{code language="none"}}client_id = 6{{/code}} И {{code language="none"}}advertiser="foo"{{/code}} и так далее.
145 145  
146 146  Все соответствующие фильтры безопасности на уровне строк будут объединены вместе (внутри различные предложения SQL объединяются с помощью операторов AND). Это означает, что можно создать ситуацию, когда две роли конфликтуют таким образом, что подмножество таблиц может быть пустым. Например, фильтры** **{{code language="none"}}client_id=4{{/code}} и {{code language="none"}}client_id=5{{/code}}, примененные к роли, приведут к тому, что пользователи этой роли будут иметь {{code language="none"}}client_id=4{{/code}} и {{code language="none"}}client_id=5{{/code}}, добавленные к их запросу, что никогда не может быть правдой.
147 -
148 -== Политика безопасности контента ==
149 -
150 -**Политика безопасности контента** — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак, включая [[межсайтовые скриптинги>>https://wiki.dfcloud.ru/bin/view/Glossary/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9%20%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3]] (XSS) и атаки с внедрением данных.
151 -
152 -Политика безопасности контента позволяет администраторам серверов уменьшить или устранить векторы, по которым может происходить XSS, указав домены, которые браузер должен рассматривать как допустимые источники исполняемых скриптов. В этом случае браузер, совместимый с политикой, будет выполнять только сценарии, загруженные в исходные файлы и полученные из этих разрешенных доменов, игнорируя все остальные сценарии (включая встроенные сценарии и HTML-атрибуты обработки событий).
153 -
154 -Политика описывается с помощью ряда директив, каждая из которых описывает политику для определенного типа ресурса или области политики. Описание директив доступно по ссылке.
155 -
156 -Важно коррректно настроить политику безопасности контента при развертывании Cloud BI, чтобы предотвратить многие типы атак. Cloud BI предоставляет две переменные в config.py для развертывания:
157 -
158 -* {{code language="none"}}TALISMAN_ENABLED{{/code}} по умолчанию имеет значение //False//. Установите для этого параметра значение //True//
159 -* {{code language="none"}}TALISMAN_CONFIG{{/code}} содержит фактическое определение политики
160 -
161 -При работе в продуктивном режиме Cloud BI при запуске проверяет наличие настройки политики. Если она не будет найдена, то система выдаст предупреждение, что есть угроза безопасности. Для сред, в которых политики безопасности определены вне Cloud BI с помощью другого программного обеспечения, администраторы могут отключить это предупреждение с помощью ключа {{code language="none"}}CONTENT_SECURITY_POLICY_WARNING{{/code}} в {{code language="none"}}config.py{{/code}}.
162 -
163 -=== Требования к политике безопасности контента ===
164 -
165 -Требования следующие:
166 -
167 -* Укажите ключевые слова {{code language="none"}}'unsafe-eval'{{/code}} и {{code language="none"}}'unsafe-inline'{{/code}}:
168 -
169 -{{code language="none"}}
170 -default-src 'self' 'unsafe-eval' 'unsafe-inline'
171 -{{/code}}
172 -
173 -* Некоторые дашборды загружают изображения с использованием URI данных:
174 -
175 -{{code language="none"}}
176 -img-src 'self' data:
177 -{{/code}}
178 -
179 -* Диаграммы MapBox используют воркеры и должны подключаться к серверам MapBox:
180 -
181 -{{code language="none"}}
182 -worker-src 'self' blob:
183 -connect-src 'self' https://api.mapbox.com https://events.mapbox.com
184 -{{/code}}
185 -
186 -Ниже пример {{code language="none"}}TALISMAN_CONFIG{{/code}}, который реализует вышеуказанные требования, использует {{code language="none"}}'self'{{/code}} для ограничения содержимого тем же источником, что и сервер Cloud BI, и запрещает устаревшие элементы HTML, устанавливая для {{code language="none"}}object-src{{/code}} значение {{code language="none"}}'none'{{/code}}.
187 -
188 -{{code language="none"}}
189 -TALISMAN_CONFIG = {
190 - "content_security_policy": {
191 - "default-src": ["'self'", "'unsafe-inline'", "'unsafe-eval'"],
192 - "img-src": ["'self'", "data:"],
193 - "worker-src": ["'self'", "blob:"],
194 - "connect-src": ["'self'", "https://api.mapbox.com", "https://events.mapbox.com"],
195 - "object-src": "'none'",
196 - }
197 -}
198 -{{/code}}
199 -
200 -== Сообщение об уязвимостях ==
201 -
202 -Если у вас есть опасения относительно безопасности Cloud BI или вы обнаружите уязвимость или потенциальную угрозу, свяжитесь с технической поддержкой Cloud BI. В письме настоятельно рекомендуется указать способ воспроизведения проблемы и показать пример. Техническая поддержка обязательно с вами свяжется после оценки и анализа результатов возникшей уязвимости.