Установка и запуск Администратора доступа ========================================= 1. Установить JRE 11 x64 https://adoptium.net/releases.html 2. Подготовить файл настроек application.properties. Заготовка доступна для скачивания по ссылке: https://nexus.cft.ru/dbi/uadmin/application.properties. Файл должен лежать рядом с useradmin.jar. 3. Запустить Администратор доступа. Для Linux: nohup [ПУТЬ ДО JRE]/java --add-opens=java.base/java.nio=ALL-UNNAMED -jar -Duser.language=ru -Duser.country=RU [ПУТЬ ДО useradmin]/useradmin.jar>./uadmin.log 2>&1 &s Для Windows: java --add-opens=java.base/java.nio=ALL-UNNAMED -jar [ПУТЬ ДО useradmin]/useradmin.jar Настройка работы за балансировщиком ========================================= Необходима настройка на балансировщике передачи заголовков: X-Forwarded-Proto: https X-Forwarded-For В application.properties добавить: server.forward-headers-strategy=native server.tomcat.remote-ip-header=x-forwarded-for server.tomcat.protocol-header=x-forwarded-proto Процедура настройки системы доступа ========================================= 1. Установить postgre. 2. Проинициализировать БД с помощью CFT Platform IDE. 3. Создался предустановленный суперпользователь ibs. 3.1. Администратор средствами БД изменяет пароль ibs на безопасный. 3.2. Пароль рекомендуется разделить на несколько частей и распределить хранение данных частей по разным сотрудникам. 4. Создались предустановленные технические пользователи: app_adm, app_srv, uadmin_usr. 4.1. Администратор средствами БД изменяет пароли технических пользователей на безопасные. 5. Администратор настраивает АРМ "Администратор доступа": 5.1. Включает возможность входа по паролю. 5.2. Добавляет настройки авторизации по adfs. 5.3. Добавляет настройки пула соединения с пользовательскими данными. 5.4. Добавляет настройки пула соединения с метаданными. 6. В ADFS заводится пользовательская запись, соответствующая ibs. Пароль рекомендуется разделить на несколько частей и распределить хранение данных частей по разным сотрудникам. 7. Администратор заходит в АРМ "Администратор доступа" под ibs. 7.1. Редактирует запись IBS. Задает данные для аутентификации по ADFS: сетевое имя и домен. Сетевое имя и домен должны соответствовать пользовательской записи из пункта 6. 7.2. Создает администраторов доступа. 8. Администратор заходит в АРМ "Навигатор" под ibs. 8.1. Создает первого прикладного пользователя, того, кто в последствии будет создавать других прикладных пользователей. 9. Администратор выключает возможность входа по паролю в АРМ "Администратор доступа". Теперь доступ в АРМ возможен только через аутентификации по ADFS. 10. Администратор доступа заходит в АРМ "Администратор доступа" под своей учетной записью. 10.1. Создает оператора, соответствующего прикладному. 10.2. Наделяет оператора правами создавать прикладных пользователей. Дальнейшее создание пользователей-операторов и наделение их правами производится администраторами доступа под своей учетной записью. Администратор доступа не может создать другого администратора доступа. Во избежание противоправных действий. При необходимости создания новых администраторов доступа производится под учетной записью суперпользователя ibs. ========================================= Тестирование проводилось и проводится на актуальных на текущий момент браузерах: - Google Chrome 108 - Opera 94 - Microsoft Edge 108 - Яндекс Браузер 22.9.1 Работоспособность в браузерах более старых версий не проводится и не гарантируется.