类别

版本

  1. 文档
  3. 中心
  4. 管理
  5. 安全设置

安全设置

我们仔细选择了RapidMiner平台部署的安全配置,以确保满足高安全标准。在大多数情况下,需要对这些默认值进行一些调整,以确保符合(企业)部署环境,或者在易用性和安全性之间找到一个良好的平衡。

您可以在下面找到执行与部署安全性相关的常见任务的指南。

的必备条件

要执行下面描述的管理任务,您需要使用分配了适当角色的用户登录。在我们的默认配置中,此角色由platform-adminRealm角色,该角色分配给预先配置的管理用户。

登录后,导航到身份及保安在你的部署中着陆页访问管理界面。以下所有说明都假定您已经登录并导航到此页面。

管理密码安全

该特性允许您设置密码复杂度要求、密码散列配置和密码过期策略。

默认情况下,我们已经配置了一组基本的密码策略,以确保良好的基线级别的密码安全性。密码长度要求为6个字符,不能与用户名相同,并且不能在已配置的常用密码黑名单中。

要添加新策略,请转到身份验证,点击密码策略选项卡。

添加政策下拉,选择您希望配置的策略,然后设置所需的值。例如,要设置密码有效期为一个月的策略,请添加密码到期值为30.

您可以添加多个策略,每个策略将在设置密码时强制执行。

注意:密码策略只适用于RapidMiner Identity and Security管理的用户。万一…联邦标识或联邦用户数据库,您需要在这些系统中设置密码策略。

配置双因素身份验证

支持双因素认证(使用Google Authenticator或FreeOTP)。默认情况下,它是所有用户可用的可配置安全措施。作为用户,您可以在帐户页面上配置它。

双因素身份验证也可以配置为强制性的,在这种情况下,它将是成功首次登录的必要条件。

强制双因素认证,请执行身份验证,点击需要的行动选项卡。

检查默认的动作在…一排配置OTP

设置立即生效,所有新用户都需要配置双因素身份验证。

配置传输安全性(HTTPS)

在基于模板执行初始部署时,服务将启动并使用未加密的HTTP通信工作。选择这条路径是为了简化部署的初始障碍,但对于长期运行的开发/测试和生产部署,我们不需要这样做强烈建议通过网络配置加密。

作为先决条件,管理员需要从受信任的证书颁发机构获取安全证书,这超出了本文的讨论范围。必须为可访问部署的公共URL颁发证书,并且证书文件(包含完整证书链)和私钥文件需要在手边。

不支持使用自签名或公司内部证书(即未由受信任的证书颁发机构签名的证书)。如果使用的证书不受证书颁发机构的信任,则平台的各个组件将无法使用该证书,除非每个组件将该证书添加到其受信任的证书存储中。

如果您需要使用自签名或公司内部证书来保护RapidMiner平台,请联系我们的支持团队来帮助完成。

安装用于RapidMiner平台的证书。

  1. 在运行部署的主机上,复制.crt。key文件到ssl存在于您的docker-compose.yml。如果文件夹还不存在,请创建该文件夹。这些文件应该被命名certificate.crtprivate.key,分别。确保证书文件包含完整的证书链。
  2. 通过运行生成dhparam文件Openssl dhparam -out ssl/dhparam。pem 2048。根据您的机器,这可能需要几分钟。
  3. 使用您最喜欢的文本编辑器,编辑.env归档和替换http://https://在你的PUBLIC_URLPUBLIC_SSO_URL变量
  4. 运行Docker-compose up -d更新您的部署。

完成此过程后,您将不再能够在纯HTTP上访问部署。尝试在端口80上连接将使您自动重定向到端口443,在那里将进行基于HTTPS的通信。

配置电子邮件

RapidMiner平台的集成KeyCloak组件可以配置为使用SMTP服务器发送电子邮件。这在某些与用户管理相关的用例中是需要的。下面是一些例子:

  • 允许自我注册,这需要发送验证电子邮件
  • 发送密码重置邮件

配置邮箱,请执行域设置,点击电子邮件选项卡。

添加您的SMTP服务器的详细信息,这将被KeyCloak用来发送电子邮件。

如果您希望启用上面的一些示例来简化自助服务用户管理,请转到登录选项卡并启用所需的功能。

检查审计日志

我们可以记录和显示两组事件:登录事件和管理事件。在RapidMiner平台部署中,两者都被配置为保存到数据库中,并在Identity and Security界面上进行查询/过滤。

登录事件是与用户登录、认证、授权相关的各种事件及其错误。

管理事件是在KeyCloak配置中所做的更改。

查询和过滤这些事件,请执行会话然后点击登录事件管理事件选项卡,这取决于您想要查看的信息集。

要配置保存哪些事件以及保存多长时间(仅在Login事件的情况下),请转到配置选项卡。

您可以自定义保存什么类型的登录事件(其中一些可能是多余的,并且会很快填满数据库)。中添加或删除项保存类型盒子。

您可以自定义事件保留的时间。控件中设置所需的值过期字段。

有关更详细的描述,请查看KeyCloak管理指南

检查活动会话和撤销令牌

谨慎的做法是检入部署中使用了哪些组件以及由谁使用。

在怀疑存在漏洞的情况下(例如,怀疑用户的凭据被盗),明智的做法可能是使当前的登录和令牌无效。

查看正在进行的会话,请转到会话。的领域课程选项卡将显示具有活动会话的所有领域客户端(即部署组件)。单击其中一个客户机将为您提供具有活动会话的用户及其源IP地址的详细列表。

您可以选择通过执行来结束所有会话会话然后点击注销所有按钮。

要使可能被盗的令牌无效,请转到会话然后点击撤销选项卡。通过点击设置为现在按钮,您可以使在当前时间之前发出的所有令牌无效。

品牌
©2023 RapidMiner, Inc。版权所有。隐私政策