稽核活動的安全性
ThingWorx Platform 中的活動發生在使用者的前後關聯中,尤其是使用者的安全性前後關聯。使用者可以是呼叫物件中服務的人,也可以是存取平台以遞送 Edge 裝置中輸入訊息的 ThingWorx Connection Server。這兩種使用者都在由指派給使用者之權限所組成的已定義安全性前後關聯中操作。權限包括設計時間與執行時間的權限。
 |
如需有關在安全性前後關聯中稽核切換的資訊,請參閱
稽核安全性前後關聯的轉換 。
|
設定權限
ThingWorx 中有兩組權限,一組適用於設計時間,另一組則適用於執行時間。設計時間權限用於管理獲允許修改 (建立、讀取、更新及刪除) 實體的人員。執行時間權限則決定可對物件 (包括資料表、串流與使用者) 存取資料、執行服務及觸發事件的人員。
管理員可為使用者群組定義明確權限,以及取代這些權限的例外。例如,您可以限制執行服務的權限,然後定義僅允許使用者執行一個指定服務的服務取代。此彈性可讓您對允許特定使用者群組存取的諸如物件內容、事件或服務等進行微調控制。依預設,只有「管理員」群組中的使用者擁有稽核子系統元件的完整權限。因此,管理員必須授與非管理員使用者使用服務取代呼叫由稽核子系統所提供服務的能力。
依預設,「管理員」群組中的使用者擁有下列稽核元件的權限:
• 稽核子系統,這是一個系統物件,會顯示 QueryAuditHistory、ArchiveAuditHistory、ExportAuditData 與 PurgeAuditData 服務。
• AuditArchiveFileRepository,這是稽核子系統中用於稽核封存的檔案存放庫。
• AuditArchiveScheduler,這是一個 Scheduler 物件,可控制稽核項目的自動封存。
• AuditPurgeScheduler,這是一個 Scheduler 物件,可控制稽核項目的自動清除。
• AuditArchiveCleanupScheduler,它可排程封存檔案的清除。
• AuditArchiveCleanupNotificationScheduler,它可傳送清除的提醒通知。
下表顯示可授與使用者群組中的非管理員使用者,使其可以存取這些元件的權限。有關非管理員使用者群組執行稽核子系統服務所需的權限,請參閱下列
非管理員執行稽核服務所需的權限 部份的內容。
 |
請勿 授與非管理員使用者在設計時間編輯物件的權限。對於管理員而言,請勿 在設計時間編輯系統物件。如果您在設計時間進行編輯,會有在升級期間遺失變更的風險。
|
|
元件
|
非管理員使用者群組的權限
|
|---|---|
|
稽核子系統
|
欲使非管理員使用者與使用者群組可以呼叫 QueryAuditHistory、ArchiveAuditHistory、ExportAuditData 與 PurgeAuditData 服務:
• 稽核子系統 - > 。
• 稽核子系統 - > 。為您想讓群組中的使用者能夠呼叫的每個服務定義服務取代,並針對每個服務新增「服務執行」。
|
|
AuditArchiveFileRepository
|
「不」應向非管理員使用者或使用者群組授與稽核子系統之 AuditArchiveFileRepository 的權限。
|
|
AuditArchiveScheduler
|
「管理員」群組中的使用者應擁有此排程器物件的存取權。排程器物件有一個名為 lastArchivedTime 的內容,其會在每次成功執行封存操作之後更新。雖然此內容可以更新,但無論是使用者、管理員還是非管理員,都「切勿」更新此內容。基於此原因 (以及您組織可能出現的其他原因),建議「不要」向非管理員使用者授與排程器的存取權。
|
|
AuditPurgeScheduler
|
只有「管理員」群組中的使用者應擁有此排程器物件的存取權。建議「不要」向非管理員使用者授與存取此排程器的權限。
|
|
AuditArchiveCleanupScheduler
|
針對要執行清除服務的非管理員使用者:
• AuditArchiveCleanupScheduler - >
• AuditArchiveCleanupScheduler - > 。為此服務定義服務取代 (「服務執行」)。
|
|
AuditArchiveCleanupNotificationScheduler
|
針對要執行清除服務通知的非管理員使用者:
• AuditArchiveCleanupNotificationScheduler - >
• AuditArchiveCleanupNotificationScheduler - > 。為此服務定義服務取代 (「服務執行」)。
|
非管理員執行稽核服務所需的權限
一般而言,應建立使用者群組,並將下列權限授與使用者群組,該使用者群組中的非管理員使用者才能呼叫稽核子系統的服務:
• 稽核子系統 - 可見度權限
• 稽核子系統 - 設計時間權限 - 允許讀取
• 稽核子系統執行時間權限 - 為您想讓群組中的使用者能夠呼叫的每個服務定義服務取代,並允許服務執行。
下表列出需要授與實體哪些權限才能允許在稽核子系統中針對這些實體呼叫服務:
|
服務
|
實體類型
|
實體名稱
|
可見度
|
設計時間
|
執行時間
|
|---|---|---|---|---|---|
|
QueryAuditHistory
|
子系統
|
AuditSubsystem
|
是
|
讀取
|
服務:QueryAuditHistory - 服務執行
|
|
資料形式
|
AuditHistory
|
是
|
讀取
|
||
|
ArchiveAuditHistory
|
子系統
|
AuditSubsystem
|
是
|
讀取
|
服務:ArchiveAuditHistory:服務執行
|
|
物件
|
AuditArchiveScheduler
|
是
|
無
|
內容 LastArchiveTime:內容讀取與內容寫入
|
|
|
ExportAuditData
|
子系統
|
AuditSubsystem
|
是
|
讀取
|
服務:ExportAuditData:服務執行
|
|
物件
|
AuditArchiveScheduler
|
是
|
無
|
內容 LastArchivedTime:內容讀取與內容寫入
|
|
|
物件
|
<使用者建立的 FileRepository>
|
是
|
無
|
所有服務:服務執行
|
|
|
PurgeAuditData
|
子系統
|
AuditSubsystem
|
是
|
讀取
|
服務 PurgeAuditData:服務執行
|
|
物件
|
AuditPurgeScheduler
|
是
|
無
|
內容讀取與內容寫入
|