Перейти к основному содержимому
Версия: 1.1.0

Обеспечение требований безопасности при пользовательской авторизации

КомпонентТип доступаПрименяемость парольных политик
ADCP интерфейс системыKeycloak аутентификация через стороннего OIDC провайдераОбеспечивается провайдером авторизации. При использовании доменной авторизации, на стороне ADFS.
Apache AtlasKeycloak аутентификация через стороннего OIDC провайдера / логин-пароль, в зависмости от конфигурации системыОбеспечивается провайдером авторизации. При использовании доменной авторизации, на стороне ADFS. / Организационное обеспечение парольных политик. Запланирована аутентификация через AD.
GitlabВарианты настройки: 1. Логин/пароль на VM. Вход на VM по токену ADCP, выдаваемому на основе авторизации Keycloak через стороннего OIDC провайдера и набора ролей, назначенных пользователю в системе. 2. Аутентификация через доменную учетную запись, то есть с использованием OIDC-провайдера.Компонент доступен только из интерфейса VM после прохождения авторизации в ADCP.
OIDC Provider ADCPЛогин/парольЛокальный провайдер авторизации. Не используется в большинстве инсталяций. Парольные политики обеспечиваются организационными мерами.
KibanaKeycloak аутентификация через стороннего OIDC провайдераАвторизация через Keycloak ADCP. Исполнение парольных политик зависит от подключенного провайдера авторизации. (При использовании доменной авторизации, на стороне ADFS.)
GrafanaKeycloak аутентификация через стороннего OIDC провайдераАвторизация через Keycloak ADCP. Исполнение парольных политик зависит от подключенного провайдера авторизации. (При использовании доменной авторизации, на стороне ADFS.)
note

Во всех компонентах системы в которых не поддерживается применение парольных политик, необходимо проводить проверку на соответствие парольным политикам при помощи проведения аудита и формирования регламентов в рамках организации.

Для большинства компонентов, назначение и изменение паролей устанавливается при деплое приложения.

Дополнительные компоненты, которые требуют применения парольных политик для локального доступа:

  • ОС на которой установлена система
  • ClickHouse
  • MongoDB
  • RabbitMQ
  • PostgreSQL
  • NATS

Инструкция по смене пароля Apache Atlas

note

Применима в случае, если не используется аутентификация в Atlas при помощи стороннего OIDC провайдера.

В текущей реализации пароль для Apache Atlas устанавливается с помощью helm чартов.

В рамках MVP для всех манипуляций с Apache Atlas используется логин admin

Изменение пароля

Для изменения пароля администратора требуется указать в файле чарта

helm-charts-cdp/charts/atlas/values.yaml в блоке atlas.users.admin.password новый пароль.

caution

Логин админ так-же используется сервисами atlas-entity-syncer и atlas-metadata-seed

После изменения пароля в чарте Apache Atlas необходимо изменить пароль для сервисов

atlas-entity-syncer и atlas-metadata-seed

Для этого необходимо в файле helm-charts-cdp/charts/aggregion-cdp/values.yaml изменить поле dataservice.configAtlasSyncer.password указав в нем новый пароль.

Если не выполнить оба изменения, Атлас будет "отвязан" от DCP и его данные не будут обновляться.

После изменения паролей в чартах эти изменения необходимо применить, переустановив контейнеры.

Применение изменений

Для применения изменений требуется выполнить 2 скрипта:

по умолчанию в репозитории они хранятся по путям:

helm-charts-cdp/charts/cdp_deploy.sh

helm-charts-cdp/charts/atlas.sh

До выполнения скриптов необходимо убедиться в том что в скриптах находятся необходимые нейм-спейсы вашего инстанса.

По результатам выполнения скриптов контейнеры будут перезапущены и будут использовать новый пароль

Провайдер авторизации, для входа используется пользовательский пароль в системе ADCP. Рекомендуется при регистрации пользователей назначать пароли в соответствии с парольной политикой компании. Если планируется использовать внутреннего провайдера авторизации системы. При использовании доменной авторизации этот компонент отключен и исключается из деплоя.