Protezione per attività di verifica

Definizione del modello ThingWorx in Composer > Sistema > Sottosistemi > Sottosistema Verifica > Protezione per attività di verifica

Le attività in ThingWorx Platform vengono eseguite nel contesto di un utente, in particolare nel contesto di protezione di un utente. Un utente può essere una persona che richiama un servizio su un oggetto oppure un server ThingWorx Connection Server che accede alla piattaforma per consegnare messaggi in entrata da dispositivi edge. Entrambi questi tipi di utenti operano in un contesto di protezione definito, costituito dai permessi assegnati all'utente. Sono disponibili permessi per la fase di progettazione e la fase di esecuzione.

Per informazioni sulla verifica di un cambiamento del contesto di protezione, vedere Verifica del cambiamento del contesto di protezione .

Impostazione dei permessi

Esistono due insiemi di permessi in ThingWorx, uno per la fase di progettazione e uno per la fase di esecuzione. I permessi relativi alla fase di progettazione consentono di gestire chi è autorizzato a modificare le entità (creazione, lettura, aggiornamento ed eliminazione). I permessi della fase di esecuzione determinano chi può accedere ai dati, eseguire servizi e attivare eventi su un oggetto (inclusi tabelle di dati, stream e utenti).

Gli amministratori possono definire permessi espliciti per un gruppo di utenti, nonché eccezioni che ignorano questi permessi. Ad esempio, è possibile limitare il permesso per l'esecuzione di servizi, quindi definire una sostituzione del servizio che consente a un utente di eseguire solo un servizio specifico. Questa flessibilità consente un controllo preciso, ad esempio, sulle proprietà degli oggetti, gli eventi o i servizi a cui un determinato gruppo di utenti può accedere. Per default, solo gli utenti nel gruppo degli amministratori dispongono di permessi completi per i componenti del sottosistema Verifica. Pertanto gli amministratori devono concedere agli utenti non amministratori la possibilità di richiamare i servizi forniti da tale sottosistema, utilizzando le sostituzioni dei servizi.

Per default, gli utenti nel gruppo degli amministratori dispongono di permessi completi per i seguenti componenti di verifica:

• Sottosistema Verifica, che è un oggetto di sistema che espone i servizi QueryAuditHistory, ArchiveAuditHistory, ExportAuditData e PurgeAuditData.

• AuditArchiveFileRepository, che è il repository di file del sottosistema Verifica utilizzato per gli archivi di verifica.

• AuditArchiveScheduler, che è un oggetto Scheduler che controlla l'archiviazione automatizzata delle voci di verifica.

• AuditPurgeScheduler, che è un oggetto Scheduler che controlla l'eliminazione automatizzata delle voci di verifica.

• AuditArchiveCleanupScheduler, che programma la pulizia dei file archiviati.

• AuditArchiveCleanupNotificationScheduler, che invia notifiche di promemoria della pulizia.

La tabella riportata di seguito mostra i permessi che possono essere concessi agli utenti non amministratori in un gruppo di utenti in modo che possano accedere a questi componenti. Per i permessi necessari per i gruppi di utenti non amministratori per l'esecuzione dei servizi del sottosistema Verifica, vedere la sezione Permessi di cui deve disporre un utente non amministratore per eseguire i servizi di verifica riportata di seguito.

Assicurarsi di non concedere agli utenti non amministratori il permesso di modificare oggetti in fase di progettazione. Per gli amministratori, non modificare gli oggetti di sistema in fase di progettazione. Se vengono modificati in fase di progettazione, le modifiche apportate potrebbero andare perse durante un aggiornamento.

Componente	Permessi per un gruppo di utenti non amministratori
Sottosistema Verifica	Per consentire agli utenti e ai gruppi di utenti non amministratori di richiamare i servizi QueryAuditHistory, ArchiveAuditHistory, ExportAuditData e PurgeAuditData: • Sottosistema Verifica - Fase di progettazione > Leggi. • Sottosistema Verifica - Fase di esecuzione > Sostituzioni proprietà, servizi o eventi. Definire una sostituzione per ciascun servizio che si desidera sia richiamabile dagli utenti del gruppo e aggiungere Esecuzione servizio per ogni servizio.
AuditArchiveFileRepository	Si consiglia di NON concedere permessi per AuditArchiveFileRepository del sottosistema Verifica a utenti o gruppi di utenti non amministratori.
AuditArchiveScheduler	Gli utenti nel gruppo di amministratori devono avere accesso a questo oggetto scheduler. L'oggetto scheduler dispone di una proprietà, denominata lastArchivedTime, che viene aggiornata dopo ogni esecuzione riuscita di un'operazione di archiviazione. Sebbene sia possibile, questa proprietà non deve MAI essere aggiornata da un utente, amministratore o non amministratore. Per questo motivo (e per altri motivi che l'organizzazione potrebbe avere) è consigliabile che agli utenti non amministratori NON sia concesso l'accesso allo scheduler.
AuditPurgeScheduler	A questo oggetto scheduler devono avere accesso solo gli utenti del gruppo di amministratori. È consigliabile NON concedere l'accesso a questo scheduler a utenti non amministratori.
AuditArchiveCleanupScheduler	Per consentire agli utenti non amministratori di eseguire il servizio di pulizia: • AuditArchiveCleanupScheduler - Fase di progettazione > Leggi • AuditArchiveCleanupScheduler - Fase di esecuzione > Sostituzioni proprietà, servizi o eventi. Definire una sostituzione del servizio per questo servizio (Esecuzione servizio).
AuditArchiveCleanupNotificationScheduler	Per consentire agli utenti non amministratori di eseguire la notifica del servizio di pulizia: • AuditArchiveCleanupNotificationScheduler - Fase di progettazione > Leggi • AuditArchiveCleanupNotificationScheduler - Fase di esecuzione > Sostituzioni proprietà, servizi o eventi. Definire una sostituzione del servizio per questo servizio (Esecuzione servizio).

Permessi di cui deve disporre un utente non amministratore per eseguire i servizi di verifica

In generale, per consentire agli utenti non amministratori di un gruppo di utenti di richiamare i servizi del sottosistema Verifica, è necessario creare un gruppo di utenti e concedere a tale gruppo i permessi seguenti.

• Sottosistema Verifica - Permessi di visibilità

• Sottosistema Verifica - Permessi della fase di progettazione - Consentire la lettura

• Permessi della fase di esecuzione del sottosistema Verifica - Definire una sostituzione del servizio per ciascun servizio che si desidera sia richiamabile dagli utenti del gruppo e consentire l'esecuzione del servizio.

Nella tabella seguente sono elencati i permessi da concedere alle entità per consentire a un servizio di essere richiamato su di esse nel sottosistema Verifica.

Servizio	Tipo di entità	Nome entità	Visibilità	Fase di progettazione	Fase di esecuzione
QueryAuditHistory	Sottosistema	AuditSubsystem	Sì	Lettura	Servizio QueryAuditHistory: Esecuzione servizio
QueryAuditHistory	Data shape	AuditHistory	Sì	Lettura
ArchiveAuditHistory	Sottosistema	AuditSubsystem	Sì	Lettura	Servizio ArchiveAuditHistory: Esecuzione servizio
ArchiveAuditHistory	Oggetto	AuditArchiveScheduler	Sì	Nessuno	Proprietà LastArchiveTime: Lettura proprietà e Scrittura proprietà
ExportAuditData	Sottosistema	AuditSubsystem	Sì	Lettura	Servizio ExportAuditData: Esecuzione servizio
	Oggetto	AuditArchiveScheduler	Sì	Nessuno	Proprietà LastArchivedTime: Lettura proprietà e Scrittura proprietà
	Oggetto	<FileRepository creato dall'utente>	Sì	Nessuno	Tutti i servizi: Esecuzione servizio
PurgeAuditData	Sottosistema	AuditSubsystem	Sì	Lettura	Servizio PurgeAuditData: Esecuzione servizio
PurgeAuditData	Oggetto	AuditPurgeScheduler	Sì	Nessuno	Lettura proprietà e Scrittura proprietà