PlateSpin Forge 的用户授权和鉴定机制基于用户角色,并控制应用程序访问和用户可以执行的操作。该机制基于集成 Windows 身份验证 (IWA) 以及它与 Internet 信息服务 (IIS) 的交互。
基于角色的访问权限机制让您可以通过几种方式实现用户授权和鉴定:
将应用程序访问权限限于特定用户
仅允许特定用户执行特定操作
授予每个用户对于特定工作负载的访问权限,用于执行由所指派角色定义的操作
每个 PlateSpin Forge 实例都具有以下一组定义相关功能角色的操作系统级别用户组:
工作负载保护管理员: 具有对于应用程序所有功能的不受限访问权限。本地管理员暗含在该组中。
工作负载保护超级用户: 具有系统功能的有限子集的访问权限,足够维持日常操作。
工作负载保护操作员: 具有应用程序大部分功能的访问权限,但存在一些限制,例如对于与许可和安全性有关的系统设置的修改能力的限制。
在用户尝试连接 PlateSpin Forge 时,通过浏览器提供的身份凭证由 IIS 验证。如果用户不是工作负载保护角色的某个成员,则连接会被拒绝。如果用户是 Forge VM 上的本地管理员,则暗含地将该帐户视为工作负载保护管理员。
表 2-1 工作负载保护角色和许可权限细节
此外,PlateSpin Forge 软件还提供了基于安全组的机制,这些安全组定义哪些操作系统级别用户应具有 PlateSpin Forge 工作负载库存中哪些工作负载的访问权限。
设置对 PlateSpin Forge 的基于角色的适当访问权涉及到两个任务:
向表 2-1 中详细介绍的所需用户组中添加操作系统级别用户。
创建将这些用户与指定工作负载关联的应用程序级别安全组。
访问 Microsoft Windows Server 管理的 Web 用户界面:
打开 Web 浏览器并转至 https://IP 地址:8098
将 IP 地址替换为 Forge VM 的 IP 地址。
浏览器会连接到服务器并显示默认的“欢迎”页面。
图 2-1 Microsoft Windows Server 管理的 Web 用户界面
使用本部分中介绍的过程可添加新的 PlateSpin Forge 用户。
如果要将特定角色许可权限授予 Forge VM 上的某个现有用户,请参见为 PlateSpin Forge 用户指派工作负载保护角色。
访问 Forge VM 的服务器管理 Web 用户界面。
单击
。此时会打开“服务器上的本地用户”页面。
在
下单击 ,然后键入用户名、口令和其他可选信息。单击
。此时会重新装载“服务器上的本地用户”页面。
可以现在为新创建的用户指派一个工作负载保护角色。请参见为 PlateSpin Forge 用户指派工作负载保护角色。
在为用户指派角色之前,请确定最适合于该用户的许可权限集合。请参见表 2-1, 工作负载保护角色和许可权限细节。
访问 Forge VM 的服务器管理 Web 用户界面。请参见访问 PlateSpin Forge Server 管理界面。
单击
。此时会打开“服务器上的本地组”页面。
在组列表中,选择所需的工作负载保护组,然后单击
下的 。此时会打开相应的组属性页面。
单击
,从列表中选择所需的用户,然后单击 。选定用户会添加到
列表中。单击
。现在即可将该用户添加到 PlateSpin Forge 安全组并关联指定的工作负载集合。请参见管理 PlateSpin Forge 安全组和工作负载许可权限。
更改 Forge VM 的管理员帐户口令:
访问 Forge VM 的服务器管理 Web 用户界面。请参见访问 PlateSpin Forge Server 管理界面。
单击
,键入新口令,确认它,然后单击 。PlateSpin Forge 提供了细粒度的应用程序级别的访问机制,允许特定用户对指定工作负载执行特定的工作负载保护任务。这通过设置安全组实现。
为您所在组织中许可权限最适合工作负载保护角色的 PlateSpin Forge 用户指派相应角色。请参见为 PlateSpin Forge 用户指派工作负载保护角色。
以管理员身份使用 PlateSpin Forge Web 客户端访问 PlateSpin Forge,然后单击 。
此时会打开“安全组”页面:
单击
。在
字段中,键入安全组的名称。单击
并为该安全组选择所需用户。如果想要将最近作为 OS 级别用户添加的 PlateSpin Forge 用户添加到 Forge VM,则它不会在用户界面中立即可用。在这种情况下,请先单击 。
单击
并选择所需工作负载:只有该安全组中的用户才有权访问选定工作负载。
单击
。此时页面会重新装载,并在安全组列表中显示新的组。
要编辑安全组,可以在安全组列表中单击它的名称。