PMA.core 3.0.1

This is an old revision of the document!

Sécurité La sécurité est de plus en plus importante. Au fil des ans, PMA.core a été déployé dans des scénarios de plus en plus complexes. Au fil des ans, ses fonctions de sécurité ont également évolué. La sécurité relative aux répertoires racines se situe à deux niveaux : Les fonctions de sécurité qui permettent aux répertoires racines d'accéder au contenu, telles que : Configurer les combinaisons de clés publiques/secrètes pour les ressources S3. Configurer les informations d'identification du compte à utiliser lors de l'accès à un chemin de ressource réseau UNC. Empêcher les utilisateurs d'accéder au contenu monté par le biais de répertoires racines qu'ils sont ou ne sont pas autorisés à le faire Définir des listes de contrôle d'accès Les paragraphes suivants développent ces sujets respectifs : Accès à un contenu sécurisé En fonction du type de stockage de données auquel le point de montage d'un répertoire racine fait référence, la configuration offre différentes options : Points d'entrée du disque dur local Si vous voulez exposer un dossier local sur le disque dur du serveur comme répertoire racine dans PMA.core, vous devez donner au compte utilisateur IIS des droits d'accès au dossier en utilisant l'explorateur Windows : Notez que même si la boîte de dialogue affiche des options d'impersonnalisation, vous ne pouvez pas les utiliser dans un contexte de référence à un chemin local. Les propriétés d'usurpation d'identité sont réservées au contenu en réseau. si vous les remplissez, PMA.core tente d'interpréter votre référence locale comme un chemin d'accès au réseau, et échoue donc à y accéder. Ainsi, lorsque vous définissez des chemins d'accès locaux, assurez-vous que les options d'impersonnalisation sont laissées vides. Stockage en réseau (chemins UNC) Pathomation fonctionne sous un certain pool d'applications. Ce pool d'applications est associé à un utilisateur qui peut ne pas avoir accès au chemin de réseau auquel vous essayez d'accéder. Donner l'accès au pool d'applications pour accéder à la ressource réseau peut être difficile pour diverses raisons. Si vous ne pouvez pas accéder immédiatement au chemin de réseau avec les informations d'identification par défaut (c'est-à-dire le pool d'applications), vous pouvez fournir des informations supplémentaires. Dans le cas ci-dessous, nous avons créé un utilisateur pma_read dédié qui est autorisé à accéder au chemin partagé \\MALTA1767\reference : Nous pouvons l'entrer comme chemin pour le point de montage, et ajouter les informations d'immersion pour notre utilisateur pma_read : Le point de montage s'affiche, et vous pouvez activer l'onglet View slides pour inspecter son contenu : Si les informations d'identification sont erronées, une erreur apparaît. Stockage S3 PMA.core est l'un des rares fournisseurs à prendre en charge le stockage dans le cloud de manière native. Disons que vous avez un bucket S3 et que vous y mettez des diapositives : Pour protéger l'accès, vous devez créer une entité dédiée qui ne peut accéder qu'à ce contenu. Vous pouvez alors créer une paire de clés d'accès/secrètes dédiées pour la nouvelle entité : Ces clés sont ensuite utilisées pour configurer le point de montage S3 du côté de PMA.core : Le point de montage ne fonctionne que si les informations d'identification fournies sont toujours actives du côté du stockage S3. Si ce n'est pas le cas, un message d'erreur s'ensuit : Si tout va bien, vous pouvez maintenant parcourir vos diapositives directement à partir de votre contenu S3. Stockage Azure Microsoft Azure a son propre protocole, et nous fournissons donc un type de point de montage distinct de celui-ci. Disons que vous avez défini un conteneur Azure et que vous y avez déjà placé des diapositives : Vous pouvez convertir ces informations d'identification dans une chaîne de connexion : DefaultEndpointsProtocol=https;AccountName=pathomation;AccountKey=SUPERSECRET ;BlobEndpoint=https://pathomation.blob.core.windows.net/;QueueEndpoint=https://pathomation.queue.core.windows.net/;TableEndpoint=https://pathomation.table.core.windows.net/;FileEndpoint=https://pathomation.file.core.windows.net/ ; Ce bout de texte est ensuite collé dans le champ de la chaîne de connexion des propriétés du point de montage : Si tout se passe bien, vous pouvez maintenant servir vos diapositives à partir de vos référentiels de stockage Azure. Public vs privé Si vous avez plus d'utilisateurs et plus de répertoires racines, il n'est pas souhaitable que tout le monde puisse tout voir. C'est pourquoi les répertoires racines peuvent être marqués “public” ou “privé” : Les répertoires racines publics sont marqués “public”, cela signifie que chaque utilisateur y a accès. Ils sont accessibles à tous les utilisateurs enregistrés dans le répertoire des utilisateurs de PMA.core. Les répertoires racine privés sont marqués “privés”, ce qui signifie que seuls certains utilisateurs peuvent en voir le contenu. Ils ne sont accessibles que par ceux qui ont été explicitement autorisés à accéder au répertoire par le biais de la liste de contrôle d'accès du répertoire. Listes de contrôle d'accès Une fois marqué privé, vous pouvez choisir quels utilisateurs sont autorisés à voir le contenu du répertoire racine, et ceux qui ne le sont pas : Pour ce faire, cliquez sur le lien “Modifier la liste de contrôle d'accès” après avoir sélectionné l'option “privé” : Une grille d'aperçu interactive est disponible via la vue de gestion des répertoires racine : Comme vous avez encore plus de répertoires racine et d'utilisateurs, il est utile d'avoir une vue d'ensemble de qui a accès à quoi. Pour cela, vous pouvez demander le rapport ACL à partir de la vue des répertoires racines. Le rapport résultant ressemble à ceci :