دسترسی به نشانه ها

ساخت وبلاگ

JFROG Access محصولات JFROG را با نشانه های دسترسی به عنوان وسیله ای انعطاف پذیر تأیید با طیف گسترده ای از قابلیت ها فراهم می کند:

 

  • نشانه های دسترسی به تأیید هویت متقابل می توانند برای تأیید اعتبار استفاده شوند ، نه تنها به عنوان مثال یا خوشه ای که در آن ایجاد شده اند ، بلکه برای سایر موارد و خوشه هایی که همه بخشی از همان "دایره اعتماد" هستند (شرح زیر).
  • تأیید هویت کاربر و غیر کاربر مورد برای تأیید اعتبار کاربران مشخص است ، اما به همراه شما می توان به افراد غیر کاربر مانند مشاغل سرور CI نیز دسترسی پیدا کرد.

     

تغییرات WebUI که در Artifactory 7. 38. x و بالاتر اجرا شده است

اکنون هویت و دسترسی به مدیریت کاربر گفته می شود. تمام متن و تصاویر مربوطه در این صفحه به روز شده اند تا این تغییر را منعکس کنند.

دسترسی به ساختار نشانه

یک نشانه دسترسی ویژگی های زیر را دارد:

موضوع
محدوده

از ساعت 7. 21. 1 ، نشانه های دسترسی نشانه های پیچیده ای هستند. دسترسی به API REST همیشه به طور پیش فرض ارائه می شود. علاوه بر این ، ممکن است عضویت گروهی را که نشانه ارائه می دهد مشخص کنید. سرپرستان می توانند دامنه ای را تعیین کنند ، در حالی که کاربران غیر Admin فقط می توانند دامنه گروهی از گروه هایی را که متعلق به آنها هستند ، تنظیم کنند.

دامنه های مطرح شده S شامل موارد زیر است:

  • کاربردی - Permissions/User - دسترسی کاربر را فراهم می کند. اگر در تنظیمات پیش فرض باقی بمانید ، این نشانه با دامنه هویت کاربر ایجاد می شود ، که به کاربران امکان می دهد خود را در این سیستم عامل شناسایی کنند اما مجوزهای دسترسی خاصی را اعطا نمی کنند.
  • Permissions/Admin - دامنه اختصاص داده شده برای کاربران Admin.
  • Permissions/Groups-این دامنه مجوزها را با استفاده از فرمت زیر به گروههایی اختصاص می دهد: کاربردی-Permissions/Groups: [،.]
  • سیستم: معیارها: R - برای دریافت معیارهای خدمات
  • سیستم: LiveLogs: R - برای دریافت خدمات LiveLogsr

دامنه اختصاص دادن به نشانه باید به عنوان یک لیست جدا از فضا از نشانه های دامنه ، محدود به 500 کاراکتر ارائه شود.

حضار
صادر کننده
انقضاء
صادر شده در

نشانه های دسترسی یا از طریق API REST ، همانطور که در زیر شرح داده شده است ، یا از طریق UI Access Platform Access به سیستم کنترل می شوند.

گواهینامه های توکن

گواهینامه های توکن جفت کلیدی هستند که از گواهینامه های خصوصی و ریشه تشکیل شده است که برای امضای و اعتبار سنجی نشانه ها استفاده می شود. از Private. Key برای امضای دسترسی به نشانه ها استفاده می شود و root. crt کلید عمومی تطبیق یافته است که برای تأیید امضاهای توکن استفاده می شود.

root. crt از پوشه قابل اعتماد هدف ناپدید می شود و در پایگاه داده مصنوعات قرار می گیرد.

تنظیم مجدد گواهینامه های توکن

سرپرستان می توانند دسترسی به مجوز توکن را مجبور کنند.

برای تنظیم مجدد گواهی توکن:

  1. پرونده ای به نام RESET_ROOT_KEYS ایجاد کنید و آن را در زیر/bootstrap/etc/access/keys/فهرست قرار دهید.
  2. تنظیم مجدد سرویس مصنوعات.

تنظیم مجدد گواهی نشانه ، به طور موثری تمام نشانه های تولید شده را لغو می کند. اگر می خواهید گواهینامه های خود را مجدداً تنظیم کنید اما نشانه ای را که قبلاً ایجاد شده بود ، حفظ کنید ، باید root. crt قدیمی را در فهرست قابل اعتماد کپی کنید:/var/etc/access/keys/trusted.

گواهینامه ها در HA - انتشار جفت کلیدی در یک خوشه HA موجود

هنگام استفاده از گواهینامه ها در خوشه های در دسترس بالا ، Private. Key و Root. Key بطور خودکار پخش می شوند و بین گره های خوشه ای به روز می شوند.

با استفاده از نشانه ها

روش های مختلفی وجود دارد که می توانید برای تأیید اعتبار از نشانه های دسترسی استفاده کنید.

احراز هویت اساسی

از یک نشانه دسترسی می توان به جای رمز عبور برای احراز هویت اساسی استفاده کرد. این ممکن است در صورت نیاز به مشتری (مانند مدیران وابستگی خاص) مفید باشد که فقط از تأیید اعتبار اساسی برای دسترسی به مصنوعات پشتیبانی می کنند. در این حالت ، دسترسی به Artifactory با استفاده از همان نام کاربری ارائه شده هنگام ایجاد توکن (ب ا-D "نام کاربری =") مهم است.

به عنوان مثال ، برای استفاده از یک نشانه دسترسی به عنوان رمزعبور URL Platform Ping JFrog ، می توانید استفاده کنید:

هدر مجوز

از یک نشانه دسترسی می توان به عنوان یک نشانه حامل در هدرهای مجوز استفاده کرد. این امر به ویژه برای تأیید اعتبار سرورهای CI با مصنوعات به جای استفاده از اعتبار ، مفید است ، زیرا نیازی به داشتن کاربر در مصنوعات نیست اگر گروه ارائه شده در "گروه های عضو:" در آن نمونه مصنوعات پیکربندی شده است. در نتیجه ، نیازی به مدیریت کاربران ساختگی برای ابزارهای مختلف اتوماسیون شما که نیاز به دسترسی به مصنوعات دارند ، وجود ندارد.

به عنوان مثال ، برای استفاده از یک نشانه دسترسی به عنوان یک نشانه حامل در مصنوعات پینگ که می توانید از آن استفاده کنید:

از تأیید اعتبار برای کاربران غیر موجود پشتیبانی کنید

یکی از مزایای مهم ورود به سیستم های دسترسی ، این واقعیت است که شما نیازی به ایجاد کاربر در مصنوعات برای استفاده از آنها ندارید. هنگام ایجاد یک نشانه ، می توانید یک نام کاربری را که وجود ندارد ، مشخص کنید و Artifactory یک کاربر گذرا ایجاد می کند که فقط تا زمانی که توکن معتبر باشد وجود دارد. این امر می تواند هنگام دسترسی به ابزارهای مختلف مانند سرور CI با هماهنگی ساخت و ساز بدون نیاز به مدیریت حساب های کاربر جعلی مفید باشد. این روش همچنین ایمن تر است زیرا می توانید برای هر "کار" که ابزار خارجی اجرا می کند ، یک نشانه جدید اختصاص دهید.

فقط سرپرست مصنوعی

توجه داشته باشید که این ویژگی فقط برای مدیران آثار باستانی در دسترس است ، زیرا کاربران غیر Admin فقط می توانند نشانه هایی را با خود به عنوان موضوع ایجاد کنند.

تولید نشانه های قابل منقضی

در هنگام ایجاد یک نشانه ، اگر انقضا توکن روی مقداری کوچکتر از پارامتر قابل بازگرداندن-آستانه آستانه مشخص شده در پیکربندی YAML ACCESS تنظیم شود ، این نشانه غیرقابل تکرار خواهد بود. به طور پیش فرض ، مقدار پارامتر آستانه بازگردانده-Expiry-Arhreshold به 6 ساعت تنظیم می شود.

به عنوان مثال ، اگر انقضاء را که کمتر از 6 ساعت است تنظیم کنید ، تا زمانی که به طور طبیعی منقضی نشود ، این نشانه قابل بازگشت نخواهد بود.

می توانید با تعیین زمان انقضا هنگام تولید یک نشانه ، مدت اعتبار یک نشانه را محدود کنید. در صورت تنظیم ، نشانه تا زمان اتمام زمان معتبر خواهد بود. شما همچنین می توانید با تنظیم انقضاء صفر ، یک نشانه را تنظیم کنید که در این صورت به طور نامحدود معتبر خواهد بود تا اینکه به طور فعال ابطال شود.

این مقدار با استفاده از پارامتر "Expires_in =" هنگام تولید توکن تنظیم می شود (مثال را در بخش API REST در زیر مشاهده کنید). در صورت عدم استفاده از مقدار پیش فرض 3600 خواهد بود به این معنی که نشانه شما به مدت یک ساعت معتبر خواهد بود.

فقط سرپرست مصنوعی

  • فقط یک سرپرست مصنوعی می تواند دوره اعتبار یک نشانه را به هر ارزش تغییر دهد.
  • کاربران غیر Admin فقط می توانند دوره اعتبار توکن را بر روی مقداری برابر یا کمتر از حداکثر مقدار مجاز تعیین شده توسط مدیر تنظیم کنند.
  • از نسخه 7. 21. 1 ، این را می توان با تنظیم پارامتر token. max-expiry در پرونده $ jfrog_home/artifactory/var/etc/artifactory/access. config. yml مشخص کرد (p rior به نسخه 7. 21. 1 ، پارامتر بهمجموعه Artifactory. access. token. non. admin. max. expires. in) بود.
  • اگر token. max-expiry برابر با 0 باشد (که پیش فرض است) ، هیچ محدودیتی برای انقضا توکن وجود ندارد. با این حال ، اگر حداکثر انقضا بیشتر از 0 باشد ، کاربر نمی تواند یک نشانه غیر قابل استفاده ایجاد کند.
  • پارامتر token. max-expiry باید بر روی مقدار بالاتر از مقدار پارامتر Token. Default-Expiry تنظیم شود.

تولید نشانه های قابل طراوت

همانطور که در بالا ذکر شد ، می توانید با تعیین زمان انقضا آن ، مدت اعتبار یک نشانه را محدود کنید. برای گسترش امتیازات دسترسی به یک نشانه پس از اتمام ، می توانید یک نشانه تازه تهیه کنید که یک نشانه جدید با همان امتیازات اصلی ایجاد می کند. این امر مدیریت توکن را از دست صادرکننده خود خارج می کند و آن را به کاربری که این نشانه را دریافت کرده است ، نمایندگی می کند.

چه کسی می تواند تازه شود؟

فقط نمونه (یا خوشه HA) که یک نشانه قابل طراوت صادر کرده است ، در واقع می تواند آن را تازه کند.

غیرفعال کردن گزینه ایجاد نشانه های قابل طراوت

از نسخه ، 7. 21. 1 ، یک سرپرست می تواند با تنظیم پارامتر نشانه ، گزینه ایجاد نشانه های قابل طراوت را غیرفعال کند.

دوره گریس برای گسترش یک نشانه منقضی شده

هنگامی که یک نشانه قابل طراوت منقضی می شود ، JFROG Access یک دوره فضل را در اختیار کاربر قرار می دهد که اساساً توانایی تازه کردن نشانه را گسترش می دهد. این کار با استفاده از پارامتر token. refresh-expiry در پرونده $ jfrog_home/artifactory/var/etc/artifactory/access. config. yml انجام می شود. تنظیم پیش فرض این پارامتر 24 ساعت است.

ادغام SCIM تضمین می کند که یک کاربر خارجی که یک توکن ایجاد کرده است ، در صورت حذف از سرور احراز هویت خارجی ، قادر به تازه کردن نشانه نخواهد بود.

با این حال ، اگر سازمان شما SCIM را فعال نکرده باشد ، یک کاربر خارجی که یک نشانه ایجاد کرده است ، هنوز هم قادر به تازه کردن آن حتی حذف شده است. بنابراین ، توصیه می شود SCIM را در سیستم خود پیاده سازی کنید.

تولید نشانه های سرپرست

موجود از نسخه مصنوعی 7. 4.

به طور کلی ، دامنه یک نشانه با مشخص کردن گروههایی که در آن نشانه گنجانده شده است ، تعریف می شود ، با این حال ، یک مدیر مصنوعی همچنین می تواند با امتیازات مدیر یک نشانه ایجاد کند. این می تواند برای کنترل ماموریت JFROG و JFROG XRAY مفید باشد زیرا هر دو این برنامه های مکمل نیاز به مجوزهای مدیر برای کار یکپارچه با مصنوعات دارند. با این قابلیت ، هنگامی که Mission Control یا Xray به نمونه ای از مصنوعات متصل می شود ، می توانند یک نشانه های سرپرست ایجاد کنند و به جای استفاده از احراز هویت اساسی با نام کاربری و رمز عبور ، از آن برای تأیید اعتبار استفاده کنند.

برای ایجاد یک نشانه سرپرست ، از ماژول مدیریت ، به مدیریت کاربر بروید |دسترسی به صفحه توکن ها |تولید نشانه های مدیر.

خدماتی که در صفحه فوق ظاهر می شوند ، فقط آن دسته از خدماتی هستند که در استقرار پلت فرم JFROG شما در دسترس هستند.

تولید نشانه های scoped

عملکرد مدیریت کاربر از برگه مدیریت یک UI متمرکز برای مدیریت نشانه های scoped ، که نشانه های دسترسی ایمن هستند که مجوزهای محدود و متمرکز را ارائه می دهند ، فراهم می کند. نشانه های Scoped از نشانه های هویت ، که هر کاربر می تواند برای خود ایجاد کند (به هویت توکن) ، تا نشانه هایی که مجوزهای سطح دسترسی را ارائه می دهند ، متغیر است.

در برگه مدیریت ، به مدیریت کاربر بروید |دسترسی به نشانه ها.

اکنون می توانید دو نوع توکن ایجاد کنید: یک نشانه سرپرست (که طیف وسیعی از مجوزها را ارائه می دهد) یا یک نشانه کاربر.

مشاهده دامنه یک نشانه

از نسخه Artifactory 7. 46. 3 ، می توانید دامنه یک نشانه را در UI Access Tokens به عنوان ستونی به نام Scope مشاهده کنید.

ایجاد یک نشانه scoped مدیر

 

  1. از قسمت Token Scope ، Admin را انتخاب کنید.
  2. در قسمت نام کاربر ، نام کاربر سرپرست را وارد کنید.
  3. در قسمت Service ، می توانید کادر انتخاب را انتخاب کرده یا کادر انتخاب All را پاک کنید و از لیستی که در قسمت Service ظاهر می شود ، سرویس هایی را که می خواهید به نشانه این کاربر اضافه کنید ، انتخاب کنید.
  4. در قسمت زمان انقضا ، زمان انقضا را برای نشانه تنظیم کنید (از یکی از گزینه های موجود در این زمینه استفاده کنید یا در ساعت ها انقضاء سفارشی را تنظیم کنید).
  5. برای تولید نشانه ، روی تولید کلیک کنید. این پنجره Generate Token را نشان می دهد ، که شامل نام کاربری ، دامنه ، مخاطب ، انقضا ، شناسه توکن و نشانه واقعی است.

 

برای کپی کردن توکن ، روی نماد کپی در کنار آن کلیک کنید یا به سادگی روی کپی کلیک کنید.

نشانه های تولید شده در اینجا به دلایل امنیتی در بستر JFROG ذخیره نمی شوند. بنابراین ، قبل از بستن این پنجره ، حتماً توکن را کپی کنید. پس از بسته شدن ، توکن در دسترس نخواهد بود.

ایجاد یک نشانه مرجع scoped مدیر

از نسخه مصنوعی 7. 38. 4 ، می توانید انتخاب کنید که آیا یک نشانه طولانی (مانند صفحه فوق) تولید کنید یا یک نشانه مرجع تولید کنید. نشانه مرجع یک کلید "کوتاه شده" ، 128 کاراکتر است و بدین ترتیب یک مستعار را برای نشانه های طولانی تر فراهم می کند.

برای پشتیبانی از این گزینه ، UI Scoped Token UI شامل یک کادر تأیید توکن مرجع اضافی است.

 

  1. برای ایجاد یک نشانه مرجع ، تأیید کنید که کادر انتخاب انتخاب شده و بر روی تولید کلیک کنید. این پنجره Generate Token را نشان می دهد ، که شامل نام کاربری ، دامنه ، مخاطب ، انقضا ، شناسه توکن ، نشانه کامل و نشانه مرجع است.

 

برای کپی کردن توکن کامل یا نشانه مرجع ، از نماد کپی در کنار توکن استفاده کنید.

نشانه های تولید شده در اینجا به دلایل امنیتی در بستر JFROG ذخیره نمی شوند. بنابراین ، قبل از بستن این پنجره ، حتماً توکن را کپی کنید. پس از بسته شدن ، توکن در دسترس نخواهد بود.

ایجاد یک توکن scoped کاربر

  1. از قسمت Token Scope ، کاربر را انتخاب کنید.
  2. برای نمایش یک لیست کشویی از کاربران مصنوعی و انتخاب یک کاربر ، روی قسمت کاربران کلیک کنید و یا نام کاربر را در این زمینه تایپ کنید تا آن کاربر را پیدا کنید.
  3. در قسمت Service ، می توانید کادر انتخاب را انتخاب کرده یا کادر انتخاب All را پاک کنید و از لیستی که در قسمت Service ظاهر می شود ، سرویس هایی را که می خواهید به نشانه این کاربر اضافه کنید ، انتخاب کنید.
  4. در قسمت زمان انقضا ، زمان انقضا را برای نشانه تنظیم کنید (از یکی از گزینه های موجود در این زمینه استفاده کنید یا در ساعت ها انقضاء سفارشی را تنظیم کنید).
  5. برای تولید نشانه ، روی تولید کلیک کنید. این پنجره Token را نشان می دهد ، که شامل نام کاربری ، دامنه ، مخاطب ، مخاطب ، انقضا ، شناسه توکن و نشانه واقعی است که می توانید با کلیک روی کپی کپی کنید.

تولید نشانه های جفت شدن

در مورد جفت کردن نشانه ها

با ایجاد اعتماد بین میکروسرویسهای مختلف JFROG ، از نسخه Artifactory 7. 29. 7 در دسترس است. توکن جفت شدن یک نشانه دسترسی است که برای جریان اولیه جفت شدن استفاده می شود. از آنجا که نشانه یک نشانه دسترسی محدود است ، به یک کار خاص و کوتاه مدت اختصاص داده شده است. پس از ایجاد اعتماد ، این سرویس ها می توانند با استفاده از تأیید اعتبار مبتنی بر توکن برای ارتباطات ، همچنان ادامه دهند.

توکن های جفت شدن جایگزین join. key که در گذشته در پلت فرم JFROG استفاده شده بود برای پیوند بین خدمات. این نوع توکن فقط برای پیوند دادن موضوعات متقابل (یعنی محلی ، و نه با JPD) طراحی شده است.

توکن های جفت شدن برای یک مورد استفاده خاص ، جفت شدن را فراهم می کنند. آنها قابل بازگشت هستند و انتظار می رود حداکثر یک بار مورد استفاده قرار گیرند (یعنی پس از جفت شدن اول ، ابطال می شوند). تنظیم پیش فرض انقضا برای این نشانه ها 5 دقیقه است.

  • موضوع نشانه همان موضوع اصلی است که درخواست توکن جفت شدن را داده است
  • URL پایه در پسوند اجباری است
  • URL مبادله در پسوند اجباری است (از آنجا که نشانه امضا شده است ، این URL را می توان به عنوان مورد اعتماد فرض کرد)
  • URL جفت شدن اختیاری است و در صورت نیاز به ایجاد اعتماد دو طرفه استفاده می شود

استاد

نتیجه یک جفت شدن ، استاد اصلی است که یک نشانه دسترسی است که به خدمات درخواست کننده تمام اقداماتی که برای انجام خدمات صادر شده انجام می شود ، بر اساس مورد استفاده داده شده اعطا می کند. نشانه اصلی معمولاً یک نشانه دسترسی قوی است که می تواند برای چندین عمل استفاده شود و معمولاً یک نشانه طولانی است. یک کاربر سرپرست می تواند با ابطال این نشانه ، اعتماد را لغو کند.

از نشانه های جفت شدن پشتیبانی می کند

توکن های جفت شدن شما را قادر می سازد بین موارد زیر ارتباط برقرار کنید:

  • بین استقرار پلت فرم JFROG خود (JPD) / Edge و یک سرویس کنترل ماموریت JFROG از راه دور. موضوع نشانه همان موضوع اصلی است که درخواست توکن جفت شدن را داده است.
  • بین دو JPD (دو نمونه مصنوعی) که برای ایجاد یک ذخیره سازی سرد JFROG استفاده می شود. در این حالت نشانه جفت شدن تولید شده برای فرآیند اتصال API استفاده می شود.

جفت کردن توکن ها برای اتصال یک JPD و یک میکروسرویس کنترل ماموریت

 

  1. در تب Administration به قسمت User Management | برویدتوکن های دسترسی |نشانه جفت شدن
  2. در قسمت Generate Pairing Token for، Mission Control (برای JPD) را انتخاب کنید.
  3. برای تولید توکن روی Generate کلیک کنید. این پنجره رمز را نشان می دهد که شامل انقضای رمز (در ثانیه، به طور پیش فرض روی 300 ثانیه = 5 دقیقه تنظیم شده است)، شناسه نشانه و رمز واقعی است که می توانید با کلیک روی Copy آن را کپی کنید.

 

جفت کردن توکن ها برای راه اندازی فضای سرد (با استفاده از API)

  1. در تب Administration به قسمت User Management | برویدتوکن های دسترسی |نشانه جفت شدن
  2. در قسمت Generate Pairing Token for، Cold Storage را انتخاب کنید.
  3. برای تولید توکن روی Generate کلیک کنید.
  4. این پنجره رمز را نشان می دهد که شامل انقضای رمز (در ثانیه، به طور پیش فرض روی 300 ثانیه = 5 دقیقه تنظیم شده است)، شناسه نشانه و رمز واقعی است که می توانید با کلیک روی Copy آن را کپی کنید.
  5. سپس، از توکنی که در بالا ایجاد کردید استفاده کنید و مراحل راه‌اندازی ذخیره‌سازی مصنوع سرد با استفاده از API را دنبال کنید.

مشاهده و لغو توکن ها

هر توکنی که با انقضای بیشتر از پارامتر آستانه ابطال پذیری انقضا ایجاد شده باشد را می توان با استفاده از نقطه پایانی Revoke Token by ID REST API یا در صفحه Access Tokens در رابط کاربری باطل کرد. توجه داشته باشید که فقط می‌توانید یک توکن را در نمونه (یا کلاستری) که آن را صادر کرده است باطل کنید، مگر اینکه آن نمونه بخشی از تنظیمات فدراسیون دسترسی (که به مجوز Enterprise+ نیاز دارد) باشد.

از 7. 21. 1، توکن‌های دسترسی، توکن‌هایی با محدوده هستند. دسترسی به REST API همیشه به صورت پیش فرض ارائه می شود. علاوه بر این، می‌توانید عضویت‌های گروهی را که توکن ارائه می‌دهد را مشخص کنید. مدیران می‌توانند هر محدوده‌ای را تنظیم کنند، در حالی که کاربران غیر سرپرست فقط می‌توانند دامنه را برای زیرمجموعه‌ای از گروه‌هایی که به آنها تعلق دارند تنظیم کنند. برای جزئیات بیشتر به ساختار توکن دسترسی مراجعه کنید.

یک توکن با انقضای مشخص شده به‌طور خودکار پس از رسیدن به دوره انقضا از بین می‌رود.

توکنی که قابل انقضا نیست (یعنی با پارامتر expires_in روی 0 ایجاد شده است) باید به طور فعال لغو شود تا استفاده از آن خاتمه یابد.

برای لغو یک نشانه دسترسی:

حلقه اعتماد (تأیید هویت متقابل)

توکن‌های دسترسی از تأیید اعتبار متقاطع از طریق یک «دایره اعتماد» پشتیبانی می‌کنند، که با اشتراک‌گذاری یک گواهی عمومی در بین تمام نمونه‌های شرکت‌کننده ایجاد می‌شود. در اصل، دایره اعتماد به این معنی است که یک سرویس، امضاهای توکن دسترسی را در برابر همه گواهی‌های مورد اعتماد، از جمله گواهی‌هایی که توسط سرویس‌های دیگر تولید می‌شوند و به عنوان بخشی از دایره اعتماد به‌عنوان «معتمد» تعیین می‌شوند، تأیید می‌کند.

این وظیفه مدیر سرویس است که اطمینان حاصل کند که تمام نمونه های شرکت کننده به گواهینامه ها مجهز هستند. این بدان معنی است که هر نمونه می تواند یک نشانه را برای استفاده از هر نمونه دیگری در حلقه اعتماد ایجاد کند.

چرا به یک دایره اعتماد نیاز دارم؟

هنگامی که یک سری JPD دارید که باید با استفاده از یک مجموعه از اعتبار ، باید به آنها دسترسی پیدا کنید ، یک دایره اعتماد لازم است. به عنوان مثال ، یک عامل ساخت و ساز واحد که باید از دو نمونه JPD بارگذاری و بارگیری کند. با ایجاد یک حلقه اعتماد ، می توانید اطمینان حاصل کنید که یک نمونه JPD به نشانه های نمونه دیگری اعتماد خواهد کرد. این امر با به اشتراک گذاشتن گواهی نشانه عمومی بین همه موارد موجود در حلقه حاصل می شود.

در حالی که سرور در حال اجرا است ، گواهینامه های قابل اعتماد می توانند بارگیری و حذف شوند و نیازی به راه اندازی مجدد ندارند.

Cross instance authentication

چگونه می توان یک دایره اعتماد ایجاد کرد

برای ایجاد "دایره اعتماد" بین خدمات JFROG ، باید گواهی توکن عمومی را بین خدمات مبادله کنید.

خدماتی که در حلقه اعتماد قرار دارند ، دارای امتیازات سرپرست کاملی برای یکدیگر هستند. برای مبادله گواهینامه ها ، باید گواهی ریشه سرویس را به $ $ jfrog_home/artifactory/var/etc/access/keys/chancy/access/chancy/acciation/acce/access/etc.

گواهی ریشه سرویس را می توان به روش های زیر به دست آورد:

 

  • در زیر $ jfrog_home/artifactory/var/etc/access/keys/root. crt یافت شده است (نیاز به دسترسی فیزیکی به سرور دارد)
  • با تماس با API REST CERTICITE RET REST

     

root. crt از پوشه قابل اعتماد هدف ناپدید می شود و در پایگاه داده مصنوعات قرار می گیرد.

اعتماد می تواند بین چندین سرویس ایجاد شود: شما باید اطمینان حاصل کنید که تمام نمونه های شرکت کننده در Circle of Trust مجهز به کلیدهای عمومی مربوطه (گواهی ریشه) هستند. توجه داشته باشید که اعتماد می تواند یک طرفه یا دو طرفه باشد. این سرویس دایرکتوری از کلیدهای عمومی قابل اعتماد را تماشا می کند و کلیدها را در صورت نیاز به تأیید یک نشانه بارگیری می کند

تغییر نام گواهی سرویس منبع

از آنجا که اعتماد بین چندین سرویس ایجاد می شود ، باید گواهی هر سرویس منبع را با نام معنی دار تغییر نام دهید. به عنوان مثال ، اگر یک سرویس به نام "US-East" باید به سرویس دیگری به نام "US-West" اعتماد شود ، باید $ JFROG_HOME/Artifactory/var/etc/access/keys/root. crt از US-East ، کپی شودبه $ jfrog_home/artifactory/var/etc/access/keys/trusted/us-east. crt در ایالات متحده و غرب.

از همان artifactory userID و GroupId استفاده کنید

اطمینان حاصل کنید که با مقایسه با پرونده های دیگر از پوشه قبلی ($ artifactory_home/access/etc/etc/etc/etc/etc//etc//etc//etc//etc//etc//etc//etc/etry ، همان userID و GroupID را به گواهی ریشه در پوشه قابل اعتماد ($ artifactory_home/access/etc/keys/keys/trusted/*) می دهید. کلیدها/).

محدودیت های امنیتی

برای ایجاد تاکهای دسترسی JFROG تا حد امکان ایمن ، چند مقادیر از پیش تنظیم شده وجود دارد که JFROG از خارج از جعبه استفاده می کند و اطمینان می دهد که توکن ها مدیریت می شوند و فقط می توانند برای اهداف مناسب استفاده شوند:

  • دامنه: اگر دامنه توکن کاربر یا یک گروه است ، باید اطمینان حاصل کنید که کاربر یا گروه در تمام سرورهای موجود در حلقه اعتماد وجود دارد.
  • Revocability: برای اهداف امنیتی ، پلت فرم JFROG با تنظیمات پیش فرض مستقر شده است که هر نشانه را قابل بازگشت است. با این حال ، نشانه های قابل بازگشت در یک حلقه اعتماد کار نمی کنند. این امر به این دلیل است که نشانه های قابل بازگشت در برابر پایگاه داده دسترسی تأیید می شوند. هر نمونه با یک دایره اعتماد ، بانک اطلاعاتی خاص خود را دارد. بنابراین ، اگر یک نشانه ایجاد شده در یک نمونه نتواند مخالف پایگاه داده دیگری باشد (یعنی سیستم فرض می کند که نشانه ابطال شده است ، و احراز هویت شکست می خورد).
  • نوع توکن: انواع زیر از نشانه ها در یک دایره اعتماد پشتیبانی نمی شوند:
    • نشانه های مرجع در یک دایره اعتماد پشتیبانی نمی شوند (همیشه آنها نیاز به نشانه در پایگاه داده نمونه دارند).
    • توکن های تولید شده UI: نشانه های ایجاد شده از طریق صفحه نمایه کاربر نشانه های مرجع هستند و در یک دایره اعتماد پشتیبانی نمی شوند.

    به طور پیش فرض ، فقط نمونه صادر کننده می تواند یک نشانه را تازه کند. برای همگام سازی نشانه ها در خدمات ، به فدراسیون دسترسی مراجعه کنید.

    API استراحت

    تمام مدیریت نشانه های دسترسی از طریق API REST از طریق نقاط پایانی که در زیر شرح داده شده است انجام می شود.

    گواهی ریشه دریافت کنید

    دریافت گواهی ریشه عمومی برای سرور. برای جزئیات بیشتر ، برای دریافت گواهی ریشه ، به مستندات API REST JFROG مراجعه کنید.

    توکن ایجاد کنید

    یک نشانه دسترسی ایجاد می کند. برای جزئیات بیشتر ، برای ایجاد توکن به اسناد API ARTIFCACTORY REST مراجعه کنید ، که شامل انواع مختلفی از دامنه ها نیز می شود که می توانند به نشانه دسترسی اختصاص دهند (برای مثال ، توکن های جفت شدن و غیره)

    نشانه

    یک نشانه دسترسی را برای افزایش اعتبار خود تازه کنید. اگر فقط نشانه دسترسی و نشانه تازه سازی (و هیچ پارامتر دیگری) ارائه شود ، از این جفت برای تأیید اعتبار استفاده می شود. اگر نام کاربری یا هر پارامتر دیگری ارائه شده باشد ، باید درخواست با نشانه ای که مجوزهای مدیر را اعطا می کند ، تأیید شود. برای جزئیات بیشتر ، برای Refresh Token به مستندات API REST JFROG مراجعه کنید.

    نشانه

    یک نشانه دسترسی توسط شناسه را باطل می کند. برای جزئیات بیشتر ، به مستندات API API ARTIFCACTORY JFROG برای ابطال توکن توسط شناسه مراجعه کنید.

    شناسه خدمات را دریافت کنید

    شناسه خدمات یک نمونه یا خوشه مصنوعی را ارائه می دهد. برای جزئیات بیشتر ، برای دریافت شناسه خدمات به اسناد API REST JFROG مراجعه کنید.

آنالیز فاندامنتال...
ما را در سایت آنالیز فاندامنتال دنبال می کنید

برچسب : نویسنده : اسماعیل داورفر بازدید : 71 تاريخ : يکشنبه 6 فروردين 1402 ساعت: 2:35