安全概述
本页总结了RapidMiner平台的安全方面,并简要概述了所使用的概念。如欲了解更多有关如何执行与保安或身份有关的特定任务的信息,请访问管理部署界面.
特性
为了确保RapidMiner平台中不断增长的组件的安全操作和流畅的用户体验,我们在平台中集成了一个身份提供程序。该组件(是一个名为KeyCloak)实现以下功能:
- RapidMiner平台所有组件的通用身份提供程序
- 集中管理用户及其各种登录凭证(密码、2FA、令牌)
- 所有组件的单点登录体验
- 细粒度的、基于角色的授权管理
- 使用任何SAML v2.0或基于OAuth2的身份提供程序的联邦身份
- 使用LDAP的联邦用户
- 会话和审计日志记录
体系结构
下图从较高的层次说明了我们的安全体系结构,以及KeyCloak组件在其中的中心作用。
组件之间的行表示正在进行身份验证和授权的关系。虚线箭头表示可选标识和用户联合的可能性。
KeyCloak和其他平台组件之间的认证和授权使用OAuth2/OpenID Connect标准完成。
概念
在我们的平台部署中使用KeyCloak使我们能够创建复杂的、功能丰富的身份和安全配置,但是使用它的管理界面可能会令人生畏。熟悉配置过程中使用的概念非常重要。详情请参阅KeyCloak文档深入的描述。
KeyCloak配置
KeyCloak组件是非常通用的。我们已经创建了一组默认配置部署模板帮助RapidMiner平台的用户和管理员快速上手。在这里,我们将描述这些配置选择,提供支持或反对更改它们的建议,并提供一个链接,链接到关于如何实现常见管理任务的进一步指南。
域设置
一个领域叫做主.不应重命名或删除。未配置电子邮件通信,即默认启用不忘记密码和验证电子邮件流。自我注册也被禁用。已配置加强的安全防御。
典型的管理任务:
客户
部署的RapidMiner平台组件在主领域中显示为客户端。它们的客户端角色是根据每个组件的需求定义的。
典型的管理任务:
- 部署额外的平台组件(例如,RapidMiner Go on-prem)
(领域)的角色
我们预先配置了两个复合角色:platform-admin而且上.每个组件都被配置为可以访问每个已部署组件中的管理功能或非特权用户功能。这是通过将客户端角色映射到这些(组合)领域角色来实现的。
典型的管理任务:
身份提供者和用户联盟
默认不配置。
典型的管理任务:
认证流程和密码策略
有一个预先配置的基本设置,包括用户名/密码提示和可选的双因素身份验证(如果由个人用户设置)。缺省情况下,未配置密码策略。
典型的管理任务:
组和用户
缺省情况下不定义组。有一个用户叫管理默认情况下,谁拥有platform-admin的角色。用户的初始密码为changeit(除了云映像部署).
你绝对必须该任务指导管理员修改“admin”密码,以确保部署操作安全。
典型的管理任务:
