Sécurité - Post 2021.R3.1
Les utilisateurs de TrendMiner peuvent exister localement ou via un fournisseur d'identité externe. Vous trouverez un aperçu de tous les utilisateurs dans la section "Sécurité" de ConfigHub.
L'aperçu de l'utilisateur montre le nom d'utilisateur, le nom complet, l'adresse électronique et le fournisseur d'identité. Vous pouvez rechercher des utilisateurs spécifiques en utilisant la barre de recherche en haut à droite du tableau.
Création d'utilisateurs
Seuls les utilisateurs locaux peuvent être créés via ConfigHub. Dans le cas d'un fournisseur d'identité externe (IdP), les utilisateurs sont synchronisés et doivent être gérés via l'IdP.
Pour créer des utilisateurs, vous devez accéder au menu utilisateur dans la section "sécurité". De là, vous pouvez ajouter des utilisateurs en cliquant sur le bouton "Ajouter un utilisateur".
Note
Les noms d'utilisateur ne peuvent plus être modifiés par la suite.
Lorsque vous créez des utilisateurs localement, le mot de passe doit respecter les règles suivantes :
Avoir une longueur minimale de 8 caractères
contenir au moins une majuscule
contenir au moins un caractère minuscule
contenir au moins un chiffre
contenir au moins un caractère spécial
ne pas avoir été utilisé récemment dans les trois mots de passe précédents
Configuration des détails de l'utilisateur
Dans l'aperçu de l'utilisateur, vous pouvez cliquer sur un utilisateur pour obtenir plus de détails dans le panneau latéral. Il est alors possible d'effectuer d'autres opérations telles que
Modification des détails de l'utilisateur (utilisateurs locaux uniquement)
Modifier les mots de passe (utilisateurs locaux uniquement)
Modifier les rôles (par exemple, donner aux utilisateurs des droits d'administrateur)
Déverrouiller l'utilisateur après qu'il a échoué à plusieurs reprises à saisir correctement son mot de passe.
Supprimez l'utilisateur de TrendMiner (utilisateurs locaux uniquement).
La gestion des groupes permet de créer un ensemble d'utilisateurs et d'autres groupes (c'est-à-dire des groupes imbriqués). Vous trouverez un aperçu de tous les groupes existants dans la section "Sécurité" de ConfigHub.
La vue d'ensemble des groupes montre le nom et le chemin d'accès des groupes afin qu'ils puissent être reliés à leur fournisseur d'identité correspondant.
Vous pouvez rechercher des utilisateurs spécifiques en utilisant la barre de recherche située en haut à droite du tableau.
Création de groupes
La création de groupes n'est autorisée qu'au niveau local. Dans le cas d'un fournisseur externe, les groupes sont gérés et synchronisés dans TrendMiner à partir de l'IdP lui-même.
Il est possible de créer des groupes locaux et d'assigner des utilisateurs provenant de LDAP ou SAML ou localement, à des groupes locaux et d'utiliser la gestion des accès pour configurer l'accès aux sources de données au niveau du groupe.
Pour créer un nouveau groupe, vous devez vous rendre dans le menu "Groupes" de la section "Sécurité". À partir de là, vous pouvez ajouter des groupes en cliquant sur le bouton "Ajouter un groupe".
Note
Un groupe ne peut avoir qu'un seul groupe parent.
Configuration des détails du groupe
Dans l'aperçu des groupes, vous pouvez cliquer sur un groupe pour obtenir plus de détails dans le panneau latéral. Vous pouvez alors utiliser d'autres options, telles que:
Note
Ces actions ne peuvent être effectuées que pour les groupes locaux. Les groupes synchronisés à partir d'un IdP externe ne sont pas modifiables et doivent être gérés à partir de l'IdP lui-même.
Modifier le nom d'un groupe
Supprimer le groupe
Ajouter des utilisateurs/groupes existants en tant que membres de ce groupe
Avertissement
La suppression d'un groupe entraîne la suppression de tous les sous-groupes. Un modèle s'affiche lorsque c'est le cas. Si vous souhaitez conserver les sous-groupes, vous devrez d'abord les supprimer de la liste des membres.
Création de clients
TrendMiner permet la création d'un client et d'un secret afin de générer un jeton à utiliser dans les appels API externes.
Pour créer un nouveau client, vous devez vous rendre dans le menu "clients" de la section "sécurité". A partir de là, vous pouvez créer des clients en cliquant sur le bouton "Ajouter un client".
Il vous sera demandé de saisir un nom (identifiant du client) pour votre client, qui sera utilisé pour les références externes. Une fois le client créé, vous pouvez cliquer dessus pour :
Modifier l'identifiant du client
Afficher le secret du client
Générer un nouveau secret
Supprimer le client
Note
La régénération d'un secret invalidera votre ancien secret et vos jetons. Cette action ne peut être annulée.
Les clients doivent être ajoutés à un domaine/une entité dans le menu Gestion des accès, tout comme les utilisateurs/groupes, pour permettre l'accès aux données.
Récupérer le jeton
Un jeton peut être récupéré via curl ou tout autre moyen. Un exemple est donné ci-dessous.
Note
Un nouveau jeton doit être récupéré lorsque le jeton expire après 5 minutes.
Modèle :
curl --request POST \ --url 'https://YOUR_DOMAIN/oauth/token' \ --header 'content-type: application/x-www-form-urlencoded' \ --data grant_type=client_credentials \ --data client_id=YOUR_CLIENT_ID \ --data client_secret=YOUR_CLIENT_SECRET
Exemple :
curl --request POST \ --url 'https://trendminer.example.net/auth/realms/trendminer/protocol/openid-connect/token' \ --header 'content-type: application/x-www-form-urlencoded' \ --data grant_type=client_credentials \ --data client_id=external-client \ --data client_secret=35c07824-5e11-40f5-88f0-0b578b940b43
Jeton de réponse :
{
"access_token":
"eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJwcXZ1UXBpQkpiOGpRMVZQcU9PMDdFNDFCb25IRGxNZ01YY0NockZJbkhFIn0.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.GtGGgH7wqeqbEJuLfuGamps2nTqxHLDtz5plQ5IewZN6RTKnPTxh3oWlBshr_3lBVYaQHkjw0aXZc7K8dxfttXwQGQnxn6ijt_j2NFdqPVqlwODFWhwqGTtvTQXYESlghqz_8-k NHky9uFgd5lvZxdy6FGnOJcG6PmeeRa9lwZc_6hpwNGCEeH_9TKPM2WaiIs0f9sFoMlOSqOGZrqPrbxjzsCr0leVxptvLwSIw6RMOlDZ9IonBglpoL6mhpzTPtvZSGXQ-BL0Lcef2G_xY3A__etLM5U5bH44Ey-vwMGCYJ0ZWo7GsSPCOQYdwcGJOUoZ0Yvy0l2kNuazI1WC2g",
"expires_in": 300,
"refresh_expires_in": 0,
"token_type": "Bearer",
"not-before-policy": 1571391000,
"scope": "email profile" 
Le menu Gestion des accès vous permet de gérer les autorisations d'accès de manière centralisée par domaine. En ouvrant le menu, vous obtenez une vue d'ensemble de toutes les autorisations d'accès définies.
Pour créer une nouvelle autorisation d'accès, cliquez sur le bouton "Ajouter une entrée" situé en haut de la page et remplissez les détails nécessaires dans la fenêtre contextuelle :
Domaine : DATASOURCE ou TIMESERIES_BUILDER
Entité :
En utilisant le domaine DATASOURCE : Entrez le nom de la connexion Historian, telle que configurée dans TrendMiner ou utilisez "ALL" pour indiquer la collection de toutes les connexions Historian).
En utilisant le domaine TIMESERIES_BUILDER : ajoutez l'entité "MACHINELEARNINGMODEL" et/ou "NOTEBOOK".
Membres : Utilisateurs, groupes ou clients auxquels vous souhaitez accorder une autorisation d'accès au domaine.
Pour modifier une autorisation d'accès existante, cliquez sur l'entrée que vous souhaitez modifier et cliquez sur "Modifier" dans le menu des options.
Pour supprimer une autorisation d'accès existante, cliquez sur l'entrée que vous souhaitez supprimer et cliquez sur "Supprimer" dans le menu des options.
Pour activer HTTPS, trois éléments sont nécessaires :
Clé privée
CSR pour cette clé privée
Chaîne de certificats
La création d'un CSR relève de la responsabilité du client. TrendMiner n'est pas en mesure de le faire.
Le logiciel du serveur web (Apache) ne prend en charge que les certificats PEM. OpenSSL peut être utilisé pour convertir les certificats d'un autre format en certificats PEM.
Une fois ces conditions remplies, HTTPS peut être activé via le menu "Options" en haut à droite.
Note
L'activation de HTTPS rendra temporairement ConfigHub inutilisable jusqu'à ce que le redémarrage du service soit terminé. Un rafraîchissement manuel de ConfigHub est nécessaire. Appuyez sur F5 pour essayer de charger à nouveau l'interface. Réessayez jusqu'à ce que vous réussissiez.
Note
Chaîne de certificats : Si le certificat est émis directement par l'autorité de certification racine, téléchargez l'autorité de certification racine, sinon téléchargez l'autorité de certification intermédiaire qui a signé le certificat.
Pour un guide plus détaillé de ce qu'est, pourquoi et comment utiliser SSL dans TrendMiner, veuillez consulter ce document.
Si TrendMiner doit communiquer avec des services SSL (Plant Integrations, LDAP, ...) qui utilisent des certificats auto-signés ou des certificats émis par un CA interne, il n'est pas possible de vérifier la chaîne de confiance de ces certificats.
Pour pouvoir vérifier la chaîne de confiance, veuillez télécharger le certificat de l'autorité de certification racine et éventuellement un ou plusieurs certificats d'autorités de certification intermédiaires. La même chose est nécessaire lorsque vous utilisez SAML avec des certificats émis par une autorité de certification interne.
Toute personne devant accéder au logiciel TrendMiner doit être représentée en tant qu'utilisateur dans TrendMiner. Le fournisseur d'identité est le service que TrendMiner utilisera pour vérifier les droits d'accès.
Par défaut, la gestion et l'authentification des utilisateurs sont effectuées par TrendMiner lui-même, c'est-à-dire par le fournisseur d'identité "local". TrendMiner prend également en charge l'authentification par un fournisseur d'identité externe. Dans ce cas, les informations d'identification sont gérées et vérifiées par le fournisseur d'identité externe : lorsqu'un utilisateur se connecte à TrendMiner, les informations d'identification sont transmises au fournisseur d'identité, qui les vérifie et envoie un jeton d'accès à TrendMiner pour accorder l'accès à cet utilisateur.
Plusieurs fournisseurs peuvent être affectés à une installation TrendMiner.
LDAP
Dans la version 2021.R3.1, seuls les utilisateurs locaux et SAML comme IdP sont pris en charge. LDAP sera inclus dans une version ultérieure.
SAML
Vous trouverez ici une documentation plus détaillée sur la configuration de TrendMiner avec SAML.
Via Admin Access, le mot de passe de l'utilisateur admin du ConfigHub peut être modifié.
Pour modifier le mot de passe de l'administrateur de ConfigHub, accédez au menu de sécurité et cliquez sur "Accès administrateur". Saisissez deux fois le nouveau mot de passe et cliquez sur "Modifier le mot de passe".
Références
Testé avec Okta SAML Identity Provider et Active Directory Federation Services (ADFS).