====== ความปลอดภัย ======

ความปลอดภัยมีความสำคัญมากขึ้น เนื่องจาก PMA.core ถูกปรับใช้ในสถานการณ์ที่ซับซ้อนมากขึ้นเรื่อยๆ ในช่วงหลายปีที่ผ่านมา คุณลักษณะด้านความปลอดภัยของ PMA.core ก็พัฒนาขึ้นเช่นกัน

ความปลอดภัยที่เกี่ยวข้องกับรูทไดเร็กทอรีอยู่ที่สองระดับ:
  * ฟีเจอร์ด้านความปลอดภัยที่เปิดใช้งานรูทไดเรกทอรีเพื่อเข้าถึงเนื้อหา เช่น:
          * กำหนดค่าชุดคีย์สาธารณะ/คีย์ลับสำหรับทรัพยากรบน S3
          * กำหนดค่าข้อมูลประจำตัวของบัญชีที่จะใช้เมื่อเข้าถึงลิงก์เน็ตเวิร์ก UNC
  * ป้องกันไม่ให้ ผู้ใช้ เข้าถึงเนื้อหาที่เชื่อมต่อผ่านรูทไดเร็กทอรีที่ไม่ได้รับอนุญาต
          * กำหนดรายการควบคุมการเข้าถึง

ย่อหน้าถัดไปจะอธิบายรายละเอียดในเรื่องที่เกี่ยวข้องกับหัวข้อต่อไปนี้:

==== การเข้าถึงเนื้อหาที่ปลอดภัย ====

ขึ้นอยู่กับประเภทของการจัดเก็บข้อมูล ที่จุดเชื่อมต่อของรูทไดเรกทอรีอ้างถึง การกำหนดค่ามีตัวเลือกแตกต่างกัน:

=== จุดเข้าถึงฮาร์ดดิสก์ภายในเครื่อง ===
 
หากคุณต้องการเปิดโฟลเดอร์ภายในเครื่องบนฮาร์ดดิสก์ของเซิร์ฟเวอร์ให้เป็นรูทไดเรกทอรีใน PMA.core คุณต้องให้สิทธิ์การเข้าถึงบัญชีผู้ใช้ IIS ไปยังโฟลเดอร์โดยใช้ Windows Explorer:

{{ :rootdir_local10.png?direct&400 |}}

โปรดทราบว่าแม้ว่าไดอะล็อกจะแสดงตัวเลือกสำหรับการระบุตัวตน (Impersonation) แต่คุณจะไม่สามารถใช้ตัวเลือกเหล่านี้ในบริบทการอ้างอิงลิงก์ในเครื่องได้ คุณสมบัตินี้ถูกสงวนไว้สำหรับเนื้อหาในเน็ตเวิร์ก และหากคุณกรอกข้อมูลลงไป PMA.core จะพยายามตีความข้อมูลอ้างอิงในเครื่องของคุณเป็นลิงก์ของเน็ตเวิร์ก และจะไม่สามารถเข้าถึงได้ในที่สุด

{{ ::rootdir_local20.png?direct&400 |}}

ดังนั้นเมื่อกำหนดเส้นทางของฮาร์ดดิสก์ในเครื่อง ตรวจสอบให้แน่ใจว่าตัวเลือก Impersonation นั้นถูกเว้นว่างไว้

=== ที่เก็บข้อมูลเครือข่าย (UNC paths) ===

Pathomation ทำงานภายใต้แอปพลิเคชันบางกลุ่มที่เชื่อมโยงกับการระบุข้อมูลผู้ใช้ โดยอาจไม่สามารถเข้าถึงเส้นทางเน็ตเวิร์กที่คุณต้องการได้ การให้สิทธิ์แก่กลุ่มแอปพลิเคชันเพื่อเข้าถึงทรัพยากรบนเน็ตเวิร์กอาจเป็นเรื่องยากด้วยเหตุผลหลายประการ

หากคุณไม่สามารถเข้าถึงเส้นทางเน็ตเวิร์กด้วยข้อมูลประจำตัวเริ่มต้น (เช่น กลุ่มแอปพลิเคชัน) ในทันที คุณสามารถให้ข้อมูลเพิ่มเติมได้

ในกรณีด้านล่าง เราได้สร้างผู้ใช้ pma_read ที่ได้รับอนุญาตโดยเฉพาะให้เข้าถึงลิงก์ร่วม \\MALTA1767\reference:

{{ :rootdir_network10.png?direct&400 |}}

เราสามารถลิงก์นี้เป็นเส้นทางสำหรับจุดต่อเชื่อม และเพิ่มข้อมูลการระบุตัวตน (Impersonation) สำหรับบัญชีผู้ใช้ pma_read ของเรา:

{{ :rootdir_network20.png?direct&400 |}}

จุดเชื่อมต่อจะปรากฏขึ้น และคุณสามารถเปิดใช้งานแถบ ดูสไลด์ เพื่อตรวจสอบเนื้อหาได้:

{{ :rootdir_network30.png?direct&400 |}}

หากข้อมูลประจำตัวไม่ถูกต้อง ข้อผิดพลาดจะปรากฏขึ้น

=== ที่เก็บข้อมูล S3 ===

PMA.core เป็นหนึ่งในผู้ขายไม่กี่รายที่ [[https://www.prweb.com/releases/pathomation_announces_support_for_cloud_storage_and_file_transfer_protocol_ftp_servers/prweb18296771.htm|รองรับการเก็บข้อมูลบนคลาวด์]]

สมมติว่าคุณมีที่ฝากข้อมูลแบบ S3 และได้ใส่สไลด์เข้าไป:

{{ ::rootdir_s3_10.png?direct&400 |}}

เพื่อป้องกันการเข้าถึง คุณควรสร้างบัญชีเอนทิตีเฉพาะที่สามารถเข้าถึงเนื้อหานั้นได้เท่านั้น

{{ ::rootdir_s3_20.png?direct&400 |}}

จากนั้น คุณสามารถสร้างการจับคู่ ของการเข้าถึงเฉพาะ / คีย์ลับสำหรับเอนทิตีใหม่:

{{ :rootdir_s3_30.png?direct&400 |}}

จากนั้นคีย์เหล่านี้จะใช้เพื่อกำหนดค่าจุดเชื่อมต่อ S3 บน PMA.core:

{{ :rootdir_s3_40.png?direct&400 |}}

จุดเชื่อมต่อจะทำงานต่อเมื่อข้อมูลประจำตัวที่ให้มายังคงมีการใช้งานอยู่บนที่เก็บข้อมูล S3 มิฉะนั้นข้อความแสดงข้อผิดพลาดจะเกิดขึ้น:

{{ :rootdir_s3_50.png?direct&400 |}}

ถ้าข้อมูลทุกอย่างถูกต้อง ตอนนี้คุณสามารถเรียกดูสไลด์ของคุณได้โดยตรงจากเนื้อหาบน S3 ของคุณ

{{ :rootdir_s3_60.png?direct&400 |}}

=== ที่เก็บข้อมูลบน Azure ===

Microsoft Azure มีโปรโตคอลเป็นของตัวเอง ดังนั้นเราจึงมีประเภทจุดต่อเชื่อมแยกต่างหาก
สมมติว่าคุณมีพื้นที่บรรจุของ Azure ที่กำหนดไว้และได้ใส่สไลด์บางส่วนไว้แล้ว:

{{ :rootdir_azure_10.png?direct&400 |}}

คุณสามารถแปลงข้อมูลประจำตัวเหล่านี้เป็นสตริงสำหรับการเชื่อมต่อ:

''%%DefaultEndpointsProtocol=https;AccountName=pathomation;AccountKey=SUPERSECRET
;BlobEndpoint=https://pathomation.blob.core.windows.net/;QueueEndpoint=https:
//pathomation.queue.core.windows.net/;TableEndpoint=https://pathomation.table
.core.windows.net/;FileEndpoint=https://pathomation.file.core.windows.net/;%%''

โค้ดข้อความนี้จะถูกวางในช่องข้อความสำหรับเชื่อมต่อของคุณสมบัติจุดเชื่อมต่อ:

{{ :rootdir_azure_20.png?direct&400 |}}

หากข้อมูลทุกอย่างทุกตอน ตอนนี้คุณจะสามารถใช้งานสไลด์ของคุณจากที่เก็บข้อมูลบน Azure

==== สาธารณะ vs ส่วนตัว ====

เมื่อคุณมี ผู้ใช้ มากขึ้นและรูทไดเร็กทอรีมากขึ้น คุณจะไม่ต้องการให้ผู้ใช้ทุกคนมีสิทธิ์การมองเห็นทุกอย่าง

ดังนั้นรูทไดเรกทอรีจึงสามารถทำเครื่องหมายเป็น "สาธารณะ" หรือ "ส่วนตัว" ได้:

{{ :rootdir_public_private_switch.png?direct&200 |}}

รูทไดเรกทอรีที่เป็นสาธารณะและถูกทำเครื่องหมายเป็น "สาธารณะ" หมายความว่าผู้ใช้ทุกคนสามารถเข้าถึงได้ ไดเร็กทอรีประเภทนี้สามารถเข้าถึงได้โดยใครก็ตามที่เป็น ผู้ใช้ที่ลงทะเบียนกับ PMA.core

รูทไดเรกทอรีที่เป็นส่วนตัวและถูกทำเครื่องหมายเป็น "ส่วนตัว" หมายความว่าเฉพาะผู้ใช้ที่ถูกเลือกเท่านั้นที่สามารถเห็นเนื้อหาได้ ผู้ที่ได้รับสิทธิ์การเข้าถึงอย่างชัดเจนเท่านั้นจึงจะได้รับอนุญาตให้เข้าถึงโฟลเดอร์นี้ได้ผ่าน รายการควบคุมการเข้าถึง ของไดเร็กทอรี

==== รายการควบคุมการเข้าถึง ====

เมื่อทำเครื่องหมายเป็นส่วนตัวแล้ว คุณสามารถเลือกเนื้อหาที่ผู้ใช้สามารถดูได้ และเนื้อหาที่ไม่สามารถมองเห็นได้: โดยกดลิงก์ "แก้ไขรายการควบคุมการเข้าถึง" หลังจากที่คุณเลือกตัวเลือก "ส่วนตัว":

{{ :acl.png?nolink&400 |}}

ตารางภาพรวมเชิงโต้ตอบจะมีให้เมื่อเลือกมุมมองการจัดการรูทไดเรกทอรี:

{{ :rootdir_acl_20.png?direct&400 |}}

เมื่อคุณมีรูทไดเรกทอรีและผู้ใช้มากขึ้น คุณจำเป็นต้องมีภาพรวมว่าใครมีสิทธิ์เข้าถึงอะไร โดยคุณสามารถขอรายงาน ACL จากมุมมองรูทไดเร็กทอรี

{{ :overview.png?nolink&400 |}}

รายงานผลลัพธ์มีลักษณะดังนี้:

{{ :overview2.png?nolink&400 |}}