Die FME Flow-Sicherheit basiert auf zwei grundlegenden Konzepten:
- Benutzer: Die einzelnen Konten, die auf FME Flow zugreifen. Bei der Erstinstallation von FME Flow werden Standard-Benutzerkonten angelegt. Beachten Sie, dass der voreingestellte Status dieser Konten, mit Ausnahme des Kontos admin, Deaktiviert ist.
- Rollen: Bestehend aus einem oder mehreren Benutzern.
Die FME Flow-Sicherheit steuert den Zugriff auf Ressourcen entweder durch rollenbasierten oder benutzerbasierten Zugriff.
Optional können Sie die Directory Server-Gruppen und -Benutzer (z. B. Windows Active Directory) in die Sicherheitskonfiguration Ihrer FME Flow-Instanz einbinden.
Rollenbasierter Zugriff
Rollen erleichtern es, mehreren Benutzern basierend auf der Jobfunktion denselben Satz an Berechtigungen zuzuweisen. Berechtigungen zum Ausführen bestimmter Vorgänge sind bestimmten Rollen zugewiesen. Diese Berechtigungen gelten wiederum für die Benutzer, die dieser Rolle angehören.
Beispiel: Eine Anfrage von Benutzer user1 könnte darin bestehen, einen Workspace im Samples-Repository für den Data Download Service auszuführen. Die FME Flow-Sicherheit gewährt Zugriff, wenn eine der Rollen, denen user1 zugeordnet ist, die Berechtigung hat, Workspaces im Samples-Repository auszuführen, und auch Zugriff auf den Data Download Service hat.
FME Flow bietet eine Reihe von Standardrollen:
Klicken Sie hier, um die voreingestellten Rollen zu betrachten.
| Rolle | Beschreibung | Benutzer |
|---|---|---|
|
fmeadmin |
Bietet vollständigen Zugriff auf FME Flow, inklusive Web-Benutzeroberfläche. |
admin |
|
fmeauthor |
Bietet Autoren von Workspaces Zugriff auf FME Flow, um neue Workspaces erstellen, testen und publizieren zu können. |
author |
|
fmeguest |
fmeguest – Bietet nicht-authentifizierten Zugriff, um Jobs über Web Service URLs auszuführen. |
guest |
| fmesuperuser | Autorisiert den Zugriff auf alle Ressourcen von FME Flow, inklusive vorhandener und neu erstellter Ressourcen. | admin |
| fmeuser | Bietet Benutzern Zugriff auf die Web-Oberfläche und auf die Web Services. | user |
Auf der Seite Rollen der Web-Benutzeroberfläche hat ein Administrator folgende Optionen:
- Erstellen und Entfernen von Rollen.
- Konfigurieren von Benutzern in Rollen.
- Konfigurieren von Berechtigungen von Rollen.
Auf der Seite Authentifizierungsdienste der Web-Benutzeroberfläche kann ein Administrator die Windows Active Directory-, LDAP- oder andere Directory Server-Gruppen und -Benutzer des Unternehmens in die Sicherheitskonfiguration von FME Flow integrieren.
Benutzerbasierter Zugriff
Eine weitere Möglichkeit für FME Flow, festzustellen, ob ein Benutzer auf eine Ressource zugreifen kann, besteht darin, ob er diese besitzt oder ob ihm Berechtigungen dafür erteilt wurden.
Nutzungsrechte der Benutzer
Alles, was ein Benutzer in FME Flow erstellt, wie beispielsweise ein Repository, gehört diesem Benutzer. Wenn Sie etwas besitzen, haben Sie vollständige Berechtigungen dafür. Diese Berechtigung ersetzt die Berechtigungen, die Sie für andere Elemente in FME Flow haben, basierend auf der Rolle, zu der Sie gehören.
Darüber hinaus können Sie als Eigentümer Folgendes tun:
- Teilen der Berechtigungen für die Objekte, die Sie besitzen, mit anderen Benutzern oder Rollen.
- Übertragen der Nutzungsrechte auf einen anderen Benutzer. Um den Eigentümer eines Elements zu ändern, bearbeiten Sie es auf der Seite Elemente.
Benutzerberechtigung
Benutzern können Berechtigungen für Ressourcen erteilt werden, wobei diese Berechtigungen jene Berechtigungen ersetzen können, die ihnen über ihre Rolle zur Verfügung stehen. (Dabei ist es nicht einmal notwendig, dass ein Benutzer zu einer Rolle gehört.)
Auf der Seite Benutzer der Web-Benutzeroberfläche hat ein Administrator folgende Möglichkeiten:
- Erstellen und Entfernen von Benutzern.
- Konfigurieren von Benutzern in Rollen.
- Konfigurieren von Berechtigungen von Benutzern.
Auf der Seite Authentifizierungsdienste der Web-Benutzeroberfläche kann ein Administrator die Windows Active Directory-, LDAP- oder andere Directory Server-Gruppen und -Benutzer des Unternehmens in die Sicherheitskonfiguration von FME Flow integrieren.
Gemeinsamer Zugriff
Durch das Teilen können Benutzer anderen Benutzern oder Rollen verschiedene Zugriffsebenen auf Elemente in FME Flow zuweisen. Ein Benutzer kann ein Element teilen, wenn sein Konto für das Teilen aktiviert ist und eine der folgenden Bedingungen erfüllt ist:
- Der Benutzer besitzt das Element.
- Der Benutzer hat für die Kategorie "Benutzerverwaltung" die Berechtigung "Verwalten" (normalerweise einem Administrator erteilt).
Über das vertrauenswürdige Benutzerkonto
Ein spezielles Konto, das als vertrauenswürdiges Konto bezeichnet wird, kann verwendet werden, um nicht authentifizierten Zugriff auf eine Komponente bereitzustellen. Standardmäßig wird dieses vertrauenswürdige Konto als guest bezeichnet und ist der Rolle fmeguest zugeordnet. Standardmäßig ist die Rolle fmeguest so konfiguriert, dass nicht authentifizierter Zugriff auf die FME Flow Web Services erlaubt ist. Dies bedeutet, dass es möglich ist, eine Service-URL ohne Angabe von Anmeldeinformationen aufzurufen.
Hinweis
- Der Status des Benutzerkontos guest ist standardmäßig Deaktiviert.
- Wenn Sie möchten, dass alle FME Flow Web Services zur Authentifizierung auffordern, entfernen Sie das Konto guest, nachdem Sie Ihre eigenen Benutzer und die Zugriffssteuerung für Ihren Server konfiguriert haben.
Um den Benutzernamen und das Kennwort des vertrauenswürdigen Kontos für einen Dienst zu ändern:
- Konfigurieren Sie die Parameter DEFAULT_USER_ID und DEFAULT_PASSWORD in der Datei propertiesFile.properties für jeden Dienst. Wenn Ihre FME Flow-Installation das integrierte Apache Tomcat-Servlet verwendet, finden Sie diese Dateien unter:
- Wenden Sie die gleichen Einstellungen wie oben an und aktualisieren Sie den Namen und das Kennwort des Kontos auf der Seite Benutzer.
<FMEFlowDir>\Utilities\tomcat\webapps\<service>\WEB-INF\conf\propertiesFile.properties
Siehe auch