Vai al contenuto principale

Autorizzazione

In Ilum, ogni azione richiede un'autorizzazione specifica dell'utente. Per gestire in modo efficiente questo processo, è possibile creare ruoli e gruppi con autorizzazioni predefinite e assegnarli agli utenti. Per maggiori dettagli sulla sicurezza interna e l'autorizzazione, visitare il sito Pagina Sicurezza interna.

Nota: per i tipi di sicurezza LDAP e OAuth in Ilum, gli utenti hanno accesso illimitato.

Deprecato: versione 6.2.1

In questo documento vengono descritti i ruoli disponibili all'interno dell'applicazione e viene descritto come configurare le mappature da gruppo a ruolo per LDAP e metodi di autenticazione OAuth2. Comprendere questi ruoli e come mapparli correttamente è fondamentale per la gestione controllo degli accessi all'interno del sistema.

Ruoli disponibili

La nostra applicazione supporta tre ruoli:

  1. ADMIN: questo ruolo concede il controllo completo sull'applicazione. Gli amministratori possono creare, visualizzare e gestire tutte le risorse, compresi quelli creati da altri utenti.
  2. UTENTE: questo ruolo concede l'accesso alle funzionalità principali dell'applicazione. Gli utenti possono creare, visualizzare e gestire i propri risorse.
  3. SPETTATORE: questo ruolo fornisce l'accesso in sola lettura all'applicazione. I visualizzatori possono visualizzare tutte le risorse, ma non possono creare o modificarli.

Mappatura dei ruoli

Se si utilizza l'autenticazione interna (il metodo predefinito), non è necessario preoccuparsi del mapping dei ruoli. Le L'applicazione assegnerà automaticamente i ruoli corretti in base alla configurazione degli account utente interni.

Tuttavia, quando si utilizza LDAP o OAuth2, sarà necessario mappare i gruppi da questi sistemi ai ruoli all'interno del nostro applicazione.

Mappatura da gruppo LDAP a ruolo

Per LDAP, i gruppi assegnati all'utente all'interno di LDAP devono essere mappati ai ruoli dell'applicazione.

Un esempio di comando helm upgrade per il mapping LDAP amministratore e Gli sviluppatori gruppi ai ruoli Ilum è mostrato di seguito:

Aggiornamento dell'elmo \
--mettere ilum-core.security.authorities.roles.mappings.administrators=Admin \
--mettere ilum-core.security.authorities.roles.mappings.developers=utente \
--riutilizzare-valori ilum ilum/ilum

Mapping da gruppo OAuth2 a ruolo

Per OAuth2, sarà necessario eseguire il mapping delle attestazioni di gruppo dal token JWT ai ruoli all'interno dell'applicazione.

Di seguito è riportato un esempio di comando helm upgrade per il mapping dei gruppi OAuth2 ai ruoli:

Aggiornamento dell'elmo \
--mettere ilum-core.security.authorities.roles.mappings.8032fe76-2d7e-4178-9066-d38ee8536675=Admin \
--riutilizzare-valori ilum ilum/ilum

Nota: Per utilizzare l'autorizzazione basata sui ruoli, il provider OAuth2 deve includere le informazioni sull'appartenenza al gruppo dell'utente in Le attestazioni del token. Questi sono spesso indicati come Attestazioni di gruppo. La configurazione per questa opzione può variare tra OAuth2 Provider. Pertanto, è necessario fare riferimento alla documentazione del proprio fornitore per istruzioni precise su come eseguire questa operazione.

Esempio di configurazione delle attestazioni basate su gruppi in Azure AD

Di seguito è riportato un esempio di come è possibile configurare Attestazioni di gruppo per Microsoft Azure AD:

  1. Accedere al portale di Azure.
  2. Selezionare Azure Active Directory.
  3. Nel riquadro di spostamento a sinistra, seleziona il servizio "Azure Active Directory", seleziona "Registrazioni app", quindi Seleziona la tua applicazione.
  4. Nel pannello dell'applicazione selezionare "Configurazione token", quindi selezionare "Aggiungi attestazione gruppi".
  5. Selezionare i gruppi che si desidera includere nelle attestazioni di token.
  6. Seleziona "Aggiungi".
  7. Non dimenticare di concedere il consenso dell'amministratore all'applicazione per consentire le attestazioni di appartenenza al gruppo.

Dopo aver completato questi passaggi, Azure AD includerà l'ID del gruppo selezionato nell'attestazione groups del token quando Emissione di token per l'applicazione. Queste informazioni possono quindi essere utilizzate dalla nostra applicazione per assegnare ruoli appropriati a utenti in base all'appartenenza al gruppo in Azure AD.

L'applicazione deve sapere quali ruoli assegnare agli utenti in base a questi ID di gruppo. Per questo, utilizziamo Configurazione del mapping delle autorizzazioni. Si tratta di un meccanismo per eseguire il mapping di questi ID gruppo di Azure AD ai ruoli corrispondenti all'interno la nostra applicazione.