Security
Please note that the guidance laid out below refers to two groups of users.
Those of you using versions of TrendMiner that include and fall after 2021.R3.1 and those of you using versions of TrendMiner that precede 2021. R3.1. Please follow the guidance that refers to the version group you are associated to.
Sicherheit - Post 2021.R3.1
TrendMiner-Benutzer können entweder lokal oder über einen externen Identitätsanbieter existieren. Eine Übersicht über alle Benutzer finden Sie unter dem Abschnitt "Sicherheit" in ConfigHub.
Die Benutzerübersicht zeigt den Benutzernamen, den vollständigen Namen, die E-Mail-Adresse und den Identitätsanbieter. Über die Suchleiste oben rechts über der Tabelle können Sie nach bestimmten Benutzern suchen.
Benutzer erstellen
Nur lokale Benutzer können über ConfigHub erstellt werden. Im Falle eines externen Identity Providers (IdP) werden die Benutzer stattdessen synchronisiert und sollten über den IdP verwaltet werden.
Um Benutzer anzulegen, müssen Sie in das Benutzermenü unter dem Abschnitt "Sicherheit" gehen. Von dort aus können Sie Benutzer über die Schaltfläche "+Benutzer hinzufügen" hinzufügen.
Anmerkung
Benutzernamen können nachträglich nicht mehr geändert werden.
Wenn Sie Benutzer lokal anlegen, muss das Passwort den folgenden Regeln entsprechen:
Haben eine Mindestlänge von 8 Zeichen
Enthält mindestens einen Großbuchstaben
Enthält mindestens einen Kleinbuchstaben
Enthält mindestens eine Ziffer
Mindestens ein Sonderzeichen enthalten
In den vorherigen drei Passwörtern nicht kürzlich verwendet worden sein
Benutzerdetails konfigurieren
Von der Benutzerübersicht aus kann ein Benutzer angeklickt werden, um weitere Details in der Seitenleiste zu sehen. Hier können weitere Optionen ausgeführt werden, wie z.B.:
Bearbeitung von Benutzerdetails (nur lokale Benutzer)
Passwörter ändern (nur lokale Benutzer)
Rollen ändern (z.B. Benutzern Administratorrechte geben)
Entsperren Sie den Benutzer, nachdem er sein Passwort wiederholt nicht korrekt eingegeben hat.
Löschen Sie den Benutzer aus TrendMiner (nur lokale Benutzer).
Die Gruppenverwaltung ermöglicht die Erstellung einer Sammlung von Benutzern und anderen Gruppen (d.h. verschachtelte Gruppen). Eine Übersicht über alle bestehenden Gruppen finden Sie unter dem Abschnitt "Sicherheit" in ConfigHub.
Die Gruppenübersicht zeigt den Gruppennamen und den Pfad der Gruppen an, so dass sie mit dem entsprechenden Identitätsanbieter verknüpft werden können.
Über die Suchleiste oben rechts über der Tabelle können Sie nach bestimmten Benutzern suchen.
Gruppen erstellen
Das Erstellen von Gruppen ist nur auf lokaler Ebene erlaubt. Im Falle eines externen Anbieters werden die Gruppen vom IdP selbst verwaltet und mit TrendMiner synchronisiert.
Es ist möglich, lokale Gruppen zu erstellen und Benutzer, die von LDAP oder SAML oder lokal kommen, lokalen Gruppen zuzuweisen und die Zugriffsverwaltung zu verwenden, um den Zugriff auf Datenquellen auf Gruppenebene zu konfigurieren.
Um eine neue Gruppe zu erstellen, müssen Sie das Gruppen-Menü unter der Rubrik "Sicherheit" aufrufen. Von dort aus können Sie Gruppen über die Schaltfläche "+Gruppe hinzufügen" hinzufügen.
Anmerkung
Eine Gruppe kann nur eine übergeordnete Gruppe haben.
Gruppendetails konfigurieren
Von der Gruppenübersicht aus können Sie auf eine Gruppe klicken, um weitere Details im Seitenpanel zu sehen. Hier können weitere Optionen ausgeführt werden, wie z.B.:
Anmerkung
Diese Aktionen können nur für lokale Gruppen durchgeführt werden. Gruppen, die von einem externen IdP synchronisiert werden, sind nicht editierbar und sollten vom IdP selbst verwaltet werden.
Den Namen einer Gruppe bearbeiten
Löschen Sie die Gruppe
Bestehende Benutzer/Gruppen als Mitglied zu dieser Gruppe hinzufügen
Warnung
Wenn Sie eine Gruppe löschen, werden auch alle Untergruppen gelöscht. Wenn dies der Fall ist, wird ein Modell angezeigt. Wenn Sie die Untergruppen behalten möchten, müssen Sie sie zuerst aus der Mitgliederliste entfernen.
Kunden erstellen
TrendMiner ermöglicht die Erstellung eines Clients und eines Geheimnisses, um ein Token zu erzeugen, das in externen API-Aufrufen verwendet werden kann.
Um einen neuen Client zu erstellen, müssen Sie das Client-Menü unter der Rubrik "Sicherheit" aufrufen. Von dort aus können Sie über die Schaltfläche "+Client hinzufügen" neue Clients erstellen.
Sie werden aufgefordert, einen Namen (Kunden-ID) für Ihren Kunden einzugeben, der für externe Referenzen verwendet wird. Sobald der Kunde erstellt ist, können Sie ihn anklicken:
Bearbeiten Sie die Client-ID
Das Geheimnis des Kunden anzeigen
Generieren Sie ein neues Geheimnis
Löschen Sie den Client
Anmerkung
Wenn Sie ein Geheimnis neu generieren, werden Ihr altes Geheimnis und Ihre Token ungültig. Diese Aktion kann nicht rückgängig gemacht werden.
Clients müssen einer Domäne/Einheit im Menü Zugriffsverwaltung genauso wie Benutzer/Gruppen hinzugefügt werden, um den Zugriff auf die Daten zu ermöglichen.
Token holen
Ein Token kann über curl oder auf andere Weise abgerufen werden. Ein Beispiel wird unten gezeigt.
Anmerkung
Ein neuer Token muss geholt werden, wenn der Token nach 5 Minuten abläuft.
Template:
curl --request POST \ --url 'https://YOUR_DOMAIN/oauth/token' \ --header 'content-type: application/x-www-form-urlencoded' \ --data grant_type=client_credentials \ --data client_id=YOUR_CLIENT_ID \ --data client_secret=YOUR_CLIENT_SECRET
Beispiel:
curl --request POST \ --url 'https://trendminer.example.net/auth/realms/trendminer/protocol/openid-connect/token' \ --header 'content-type: application/x-www-form-urlencoded' \ --data grant_type=client_credentials \ --data client_id=external-client \ --data client_secret=35c07824-5e11-40f5-88f0-0b578b940b43
Antwort-Token:
{
"access_token":
"eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJwcXZ1UXBpQkpiOGpRMVZQcU9PMDdFNDFCb25IRGxNZ01YY0NockZJbkhFIn0.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.GtGGgH7wqeqbEJuLfuGamps2nTqxHLDtz5plQ5IewZN6RTKnPTxh3oWlBshr_3lBVYaQHkjw0aXZc7K8dxfttXwQGQnxn6ijt_j2NFdqPVqlwODFWhwqGTtvTQXYESlghqz_8-k NHky9uFgd5lvZxdy6FGnOJcG6PmeeRa9lwZc_6hpwNGCEeH_9TKPM2WaiIs0f9sFoMlOSqOGZrqPrbxjzsCr0leVxptvLwSIw6RMOlDZ9IonBglpoL6mhpzTPtvZSGXQ-BL0Lcef2G_xY3A__etLM5U5bH44Ey-vwMGCYJ0ZWo7GsSPCOQYdwcGJOUoZ0Yvy0l2kNuazI1WC2g",
"expires_in": 300,
"refresh_expires_in": 0,
"token_type": "Bearer",
"not-before-policy": 1571391000,
"scope": "email profile" 
The Access Management menu allows you to manage access permissions centrally per domain. Opening the menu returns an overview of all set access permissions.
Mit dem Menü Zugriffsverwaltung können Sie Zugriffsberechtigungen zentral pro Domäne verwalten. Wenn Sie das Menü öffnen, erhalten Sie einen Überblick über alle eingestellten Zugriffsberechtigungen.
Domäne: DATASOURCE oder TIMESERIES_BUILDER
Entität:
Verwenden Sie die Domäne DATASOURCE: Geben Sie den Namen der Historian-Verbindung ein, wie in TrendMiner konfiguriert, oder verwenden Sie "ALL", um die Sammlung aller Historian-Verbindungen anzugeben).
Verwendung der Domäne TIMESERIES_BUILDER: Fügen Sie die Entität "MACHINELEARNINGMODEL" und/oder "NOTEBOOK" hinzu.
Mitglieder: Benutzer, Gruppen oder Clients, denen Sie Zugriffsrechte für die Domäne gewähren möchten.
Um eine bestehende Zugriffsberechtigung zu bearbeiten, klicken Sie auf den Eintrag, den Sie bearbeiten möchten, und klicken Sie im Optionsmenü auf "Bearbeiten".
Um eine bestehende Zugriffsberechtigung zu entfernen, klicken Sie auf den Eintrag, den Sie löschen möchten, und klicken Sie im Optionsmenü auf "Löschen".
Um HTTPS zu aktivieren, sind drei Dinge erforderlich:
Privater Schlüssel
CSR für diesen privaten Schlüssel
Zertifikat-Kette
Die Erstellung eines CSR liegt in der Verantwortung des Kunden. Es ist für TrendMiner nicht möglich, dies zu tun.
Die Webserver-Software (Apache) unterstützt nur PEM-Zertifikate. OpenSSL kann verwendet werden, um Zertifikate in einem anderen Format in PEM zu konvertieren.
Sobald diese Voraussetzungen erfüllt sind, kann HTTPS über das Menü "Optionen" oben rechts aktiviert werden.
Anmerkung
Die Aktivierung von HTTPS macht ConfigHub vorübergehend unbrauchbar, bis der Neustart des Dienstes abgeschlossen ist. Eine manuelle Aktualisierung von ConfigHub ist erforderlich. Drücken Sie F5, um zu versuchen, die Schnittstelle erneut zu laden. Wiederholen Sie den Vorgang, bis er erfolgreich ist.
Anmerkung
Zertifikatskette: Wenn das Zertifikat direkt von der Stammzertifizierungsstelle ausgestellt wurde, laden Sie die Stammzertifizierungsstelle hoch, andernfalls laden Sie die Zwischenzertifizierungsstelle hoch, die das Zertifikat signiert hat.
Eine detailliertere Anleitung, was SSL ist, warum und wie man SSL in TrendMiner verwendet, finden Sie in diesem Dokument.
Wenn TrendMiner mit SSL-fähigen Diensten (Plant Integrations, LDAP, ...) kommunizieren muss, die selbst signierte Zertifikate oder von einer internen Zertifizierungsstelle ausgestellte Zertifikate verwenden, ist es nicht möglich, die Vertrauenskette dieser Zertifikate zu überprüfen.
Um die Vertrauenskette überprüfen zu können, laden Sie bitte die Stammzertifizierungsstelle und optional ein oder mehrere Zwischenzertifikate hoch. Das Gleiche ist erforderlich, wenn Sie SAML mit Zertifikaten verwenden, die von einer internen CA ausgestellt wurden.
Jeder, der auf die TrendMiner Software zugreifen muss, muss als Benutzer in TrendMiner vertreten sein. Der Identitätsanbieter ist der Dienst, den TrendMiner zur Überprüfung der Zugriffsrechte verwendet.
Standardmäßig wird die Benutzerverwaltung und -authentifizierung von TrendMiner selbst durchgeführt, d.h. von einem "lokalen" Identitätsanbieter. TrendMiner unterstützt auch die Authentifizierung durch einen externen Identitätsanbieter. In diesem Fall werden die Anmeldeinformationen von dem externen Identitätsanbieter verwaltet und überprüft: Wenn sich ein Benutzer bei TrendMiner anmeldet, werden die Anmeldeinformationen an den Identitätsanbieter weitergeleitet, der sie dann überprüft und ein Zugriffstoken an TrendMiner sendet, um diesem Benutzer Zugriff zu gewähren.
Einer TrendMiner-Installation können mehrere Provider zugewiesen werden.
LDAP
In Version 2021.R3.1 werden nur lokale Benutzer und SAML als IdP unterstützt. LDAP wird in einer zukünftigen Version enthalten sein.
SAML
Eine ausführlichere Dokumentation zur Konfiguration von TrendMiner mit SAML finden Sie hier.
Über Admin Access kann das Passwort für den ConfigHub-Admin-Benutzer geändert werden.
Um das Administrator-Passwort von ConfigHub zu ändern, navigieren Sie zum Sicherheitsmenü und klicken Sie auf 'Admin-Zugang'. Geben Sie das neue Passwort zweimal ein und klicken Sie auf 'Passwort ändern'.
Referenzen
Getestet mit Okta SAML Identity Provider und Active Directory Federation Services (ADFS).
Um das Administrator-Passwort von ConfigHub zu ändern, navigieren Sie zum Sicherheitsmenü und klicken Sie auf 'Admin-Zugang'. Geben Sie das neue Passwort zweimal ein und klicken Sie auf 'Passwort ändern'.
Referenzen
Getestet mit Okta SAML Identity Provider und Active Directory Federation Services (ADFS).