Segurança (opcional) - Apostila Factory Talk View 1

Sobre esta sessão

Nesta sessão, você aprenderá:

Segurança

Criar um usuário e um grupo de usuários

Configurar segurança de ação

Configurar segurança em runtime - atribuindo códigos de segurança (A - P)

o Usuários e Grupos de usuários

o Comandos

o Configurações de tela

Verificar as configurações de segurança

Sobre Segurança

Para os produtos FactoryTalk como o FactoryTalk View SE, o FactoryTalk Directory armazena informações sobre quais usuários estão autorizados a ter acesso às partes de um sistema de controle. O FactoryTalk Security usa estas informações para fornecer dois serviços básicos:

A autenticação do usuário verifica a identidade do usuário e se uma solicitação para serviço partiu realmente desse usuário.

A autorização do usuário verifica a solicitação do usuário para acessar um recurso de software, com base nos direitos de acesso e privilégios definidos para esse usuário.

Por exemplo, quando um usuário de uma aplicação em rede FactoryTalk View SE se conecta ao

FactoryTalk View Studio, os serviços do FactoryTalk Security verificam primeiro a identidade do usuário. Se a autenticação for bem-sucedida, os serviços de segurança verificam as permissões atribuídas ao usuário para autorizar as ações realizadas nas partes protegidas da aplicação.

Em uma aplicação em rede, os serviços de segurança verificam também se o usuário tem permissão para realizar estas ações autorizadas deste computador (máquina) em que o usuário está autenticado. Além disso, os serviços FactoryTalk Security gerenciam as políticas gerais de todo o sistema, como qual a frequência que os usuários devem alterar suas senhas ou se os usuários podem fazer back up e restaurar aplicações.

O sistema de segurança é extremamente potente. Algumas considerações em particular:

É possível forçar a segurança por “campo de visão”, restringindo os operadores a computadores específicos que estão dentro do campo visual da máquina ou processo.

A herança permite definir os níveis básicos de acesso para um amplo conjunto de usuários em um sistema habilitado pelo FactoryTalk. É possível então refinar as configurações de segurança

para usuários selecionados, de acordo com a necessidade, sobrepondo permissões herdadas de recursos de nível mais baixo.

Em uma aplicação FactoryTalk View Site Edition, um servidor IHM herda sempre as permissões atribuídas à área na qual ele reside. Não é possível configurar acesso a um servidor IHM separadamente.

É possível negar explicitamente os direitos de determinados usuários de todos os computadores ou de computadores específicos. Ao selecionar a caixa “Deny” para uma ação, a negação de permissão é feita explicitamente. A negação sempre terá prioridade sobre a permissão. Se um usuário pertence a dois grupos diferentes e um grupo está autorizado a excluir(“deletar”)

aplicações porém esta permissão é negada explicitamente ao outro grupo, então o usuário não estará autorizado a excluir(“deletar”) aplicações.

Segurança

Após a instalação do software FactoryTalk View SE, a conta All Users é automaticamente

adicionada à lista de Segurança em runtime e habilitada a permissão para todos os códigos de

segurança em runtime . Isto dá ao usuário do FactoryTalk View SE Client permissão para

executar uma aplicação cliente, abrir telas, gravar tags e executar comandos e macros.

Em um sistema FactoryTalk protegido, você deve remover a conta All Users, adicionar usuários

à lista de Segurança em runtime e, então, conceder as permissões de segurança necessárias

para executar uma aplicação aos usuários.

Após o software FactoryTalk View SE ser instalado, todos os usuários têm acesso inicial total à rede e a aplicações locais no computador. Não é necessário fazer log on, para executar o FactoryTalk View Studio, o FactoryTalk View SE Administration Console ou o FactoryTalk View SE Client. O usuário Windows atual está automaticamente conectado ao FactoryTalk View SE. No entanto, é necessário fazer o log on e log off para alterar usuários ou para ter acesso às partes protegidas do sistema FactoryTalk.

FactoryTalk View Runtime Security

O FactoryTalk View Runtime Security gerencia a segurança em tempo de execução dos componentes de um projeto IHM, incluindo os comandos e macros FactoryTalk View, as telas gráficas, os objetos OLE e os tags IHM. No FactoryTalk View Studio, é possível proteger o acesso aos componentes de um projeto IHM atribuindo códigos de segurança (A - P) aos usuários e grupos de usuários (no editor Runtime Security); para comandos e macros (no editor Runtime Secured Commands), para telas gráficas e animação de objeto OLE (no Editor Gráfico), e para os tags IHM (no Editor de Tags).

Antes de você começar a atribuir códigos de segurança FactoryTalk View aos usuários e grupos de usuários, é necessário criá-las no FactoryTalk Security e, então, adicioná-las ao editor Runtime Security.

Criar um usuário e um grupo de usuário

Ao configurar a segurança para uma aplicação FactoryTalk View, primeiramente recomenda-se criar contas de grupo e configurar as permissões de acesso para elas. O uso de contas de grupo facilita

Você irá criar um novo usuário e grupo de usuário e atribuirá o usuário a um grupo de usuário. Comece no FactoryTalk View Studio.

1. A partir do Explorer, expanda a pasta Users and Groups.

2. Clique com o botão direito na pasta User Group, selecione o item New > User Group… .

3. A caixa de diálogo New User Group abrirá. 4. Digite ‘Operators’ no campo Name

5. Clique no botão

6. A caixa de diálogo Select User or Group abrirá. Selecione Show users only e clique no item de menu Create New > User… .

7. A caixa de diálogo New User abrirá. Digite ‘CIPOperator’ para user name, marque user cannot

change password, marque password never expires e digite ‘password’ para password. Siga as

etapas a-f para configurar.

8. Confirme os campos. Clique no botão Create.

9. Você retornará à caixa de diálogo Select User or Group.

Selecione CIPOperator e clique no botão .

10. Você retornará à caixa de diálogo New User Group. CIPOperator deve estar na lista Members:

a. Digite ‘CIPOperator’ para user name.

b. Selecione User cannot

change password

c. Selecione Password never

expires

d. Digite ‘password’. e. Digite ‘password’.

f. Clique no botão Create

11. Clique no botão Create.

12. Operators aparecerá em User Groups e CIPOperator aparecerá em Users no Explorer.

Configurar segurança de ação

Ao configurar a segurança, é possível especificar quais ações um usuário ou grupo pode desempenhar nos recursos de seu sistema enquanto trabalham em um computador específico ou grupo de

computadores. Em um FactoryTalk Local Directory, as ações somente podem ser realizadas a partir do computador local — o FactoryTalk Local Directory não contém nenhuma conta de computador.

Ação

Uma atividade organizada realizada em um recurso a fim de atingir um objetivo. Ações são

agrupadas em categorias. Além de um conjunto de ações comuns que se aplicam à maioria

dos produtos FactoryTalk, cada produto também pode incluir seu próprio conjunto de ações.

Para informações sobre estas ações, consulte a Ajuda do produto FactoryTalk.

Recursos

Os objetos no sistema FactoryTalk para os quais ações podem ser protegidas. Cada produto

FactoryTalk define seu próprio conjunto de recursos. Por exemplo, alguns produtos podem

permitir que você configure a segurança para recursos como servidores em uma área. Outros

produtos podem permitir que se configure a segurança para os controladores lógicos e outros

dispositivos. O FactoryTalk Administration Console permite a você configurar a segurança para

a pasta System e seu conteúdo, aplicações, áreas e muitos outros itens. Não confunda

recursos com grupo de recursos: grupo de recursos permite agrupar hardware de controle

representado nas árvores de Redes e de Equipamentos e, então, configurar a segurança para

o grupo em uma etapa.

Vamos especificar que nossos operadores não podem executar determinadas ações de alarme. 1. A partir do Explorer, Clique com o botão direito em InstantFizz e selecione o item Security…

2. A caixa de diálogo Security Settings for InstantFizz aparece. Clique no botão Add.

3. A caixa de diálogo Select User or Computer aparece. Selecione Operators e clique no botão OK. Em Security settings for

InstantFizz, clique no botão Add .

4. Com o grupo Operators selecionado, expanda a ação Alarming, marque a caixa Deny próxima a Alarming e depois marque a caixa Allow próxima a Acknowledge.

Você está autorizando os operadores apenas a reconhecer os alarmes do FactoryTalk Alarm and Events. Eles não podem realizar outras ações.

Sua caixa de diálogo se parecerá com esta:

5. Clique no botão OK.

Quando esta mensagem surgir,

selecione o botão Yes .

Configurar segurança em runtime

Após criar usuários e grupos de usuários no FactoryTalk Security, adicione-os à lista de contas de segurança no editor Runtime Security no FactoryTalk View SE. Ao adicionar uma conta, você também atribui os códigos de segurança que permitirão o acesso aos componentes IHM protegidos. (Os componentes IHM protegidos são os que receberam códigos de segurança.)

Estes códigos (A a P), juntamente com os atribuídos aos componentes de projeto IHM, determinam a quais componentes um usuário possui acesso em runtime.

Para restringir acesso a um comando, macro, tela gráfica, palavra de objeto OLE ou tag IHM, você atribui um código de segurança de A a P e, então, atribui esse código apenas aos usuários que deverão ter acesso a este componente.

Atribuir códigos de segurança a usuários e grupos de usuários

1. Clique duas vezes no ícone Runtime Security no Explorer

2. A caixa de diálogo Runtime Security abre.

3. Clique no botão Security Accounts… . 4. A caixa de diálogo Security Settings for InstantFizz abre. 5. Selecione o botão Add.

6. A caixa de diálogo Select User and Computer abre.

7. Selecione Operators e clique no botão OK.

8. A caixa de diálogo Select User and Group fecha e o grupo Operators é adicionado à lista de Usuários. Com Operators destacado, expanda as ações FactoryTalk View Security Codes.

9. Clique no botão OK. 10. Quando solicitado

Selecione o botão Yes .

11. Selecione o botão Close na caixa de diálogo Runtime Security.

12. Quando surgir a mensagem “Save changes to document?” selecione o botão Yes. 13. A caixa de diálogo Runtime Security fecha.

Atribuir códigos de segurança aos comandos

A segurança pode ser atribuída a comandos para limitar quem pode executá-los. 1. Selecione o item de menu Settings > Runtime Secured Commands… .

2. A caixa de diálogo Runtime Secured Commands abre. Expanda a janela para visualizar todos os campos.

3. Clique em uma célula na linha 2 para selecioná-la.

4. Clique no botão … próximo ao campo Command .

5. O assistente Command Wizard abre.

6. Observe todos os comandos que podem receber códigos de segurança. Selecione o comando DisplayClientClose da pasta Logic and Control > Display Client e clique em Finish.

7. Observe a lista drop-down Security Code que pode ser usada para atribuir um código de segurança a um comando.

Selecione Security Code A e clique em Accept.

8. Clique no botão Close na caixa de diálogo Runtime Secured Commands.

9. Quando surgir a mensagem “Save changes to document?” selecione o botão Yes. 10. A caixa de diálogo Runtime Secured Commands fechará.

Nós protegemos o comando “DisplayClientClose”. Somente usuários com Código de segurança A poderão parar o cliente em execução.

Selecione o comando DisplayClientClose e clique em Finish.

Atribuir códigos de segurança às telas

A segurança pode ser atribuída às telas, para limitar quem tem acesso a determinadas telas. Você atribuirá um código de segurança “A” à tela CIP-Valves.

1. Abra a tela CIP-Valves do Explorer.

2. Selecione o item de menu Edit > Display Settings… .

3. A caixa de diálogo Display Settings abrirá. 4. Selecione A da lista drop-down Security Code.

5. Clique no botão OK. 6. Salve a tela.

Configure o Código de segurança da tela para A.

Protegemos a tela CIP - Valves. Somente usuários com Código de segurança “A” poderão acessar a tela.

Atribuir códigos de segurança aos tags

A segurança pode ser atribuída aos tags para limitar quem pode escrever em determinados tags ou em todos os tags.

1. Abra o banco de dados de tag na janela do Explorer. Clique duas vezes em Tags para abrir.

2. A caixa de diálogo Tags abre.

3. Clique no botão Close na caixa de diálogo Tags.

4. Quando surgir a mensagem “Do you wish to continue?” selecione o botão Yes. Você pode estabelecer códigos de segurança a Tags

para evitar que os usuários

5. Usando o banco de dados de tags, podemos proteger tags individuais e atribuir permissões a eles. Usuários poderão escrever em alguns tags, mas em outros não. Se for necessário proteger TODOS os tags de um determinado grupo de usuário ou usuário, então podemos negar a ação “Write” para este usuário.

6. A partir do Explorer, clique com o botão direito em InstantFizz e selecione o item Security…

8. Clique em Cancel para sair.

Verificar as configurações de segurança

Nesta sessão, suas configurações de segurança com o cliente serão verificadas. Você fará o login como o CIPOperator e então tentará suprimir um alarme. Primeiro, você tentará suprimir o alarme da tela Alarm, depois da tela CIP – Valves. Suas tentativas falharão devido às configurações de segurança. Vamos ver o que acontece.

1. Vá para a janela da aplicação Cliente em execução. Abra a aplicação Cliente, caso ainda não esteja. 2. Clique no botão Overview na tela de navegação para ir para as características gerais da fábrica.

É possível selecionar o grupo de usuários ou o usuário (por exemplo Operadores) e em Common Permissions negar a ação Write.

3. Clique no botão Security para abrir a tela de pop-up de segurança. Depois clique em Log In.

5. Conecte-se como o novo usuário ‘CIPOperator’ usando a senha ‘password’. Depois clique em

OK. Observe que o “user name” não faz distinção entre letras maiúsculas e minúsculas.

6. A mensagem de informação “CIPOperator has been logged in.” aparecerá na lista de diagnósticos. 7. Feche a janela Security pop-up.

a. Clique no botão

Security _{b. Depois clique}

8. Clique no botão da tela de navegação.

9. Na tela CIP, clique na válvula do tanque. As válvulas possuem animação de toque (Touch) associadas a elas, que ao clicar abre a tela CIP – Valves.

10. O que aconteceu? Nada! A mensagem “Currently logged-in user does not have security access to CIPValves.” aparecerá na lista de diagnósticos. A segurança de configuração de tela funcionou!

Feche

9. Clique na válvula para abrir a tela CIP – Valves.

11. Clique no botão na tela de rodapé.

12. Alarms é exibido. Não protegemos esta tela, apenas a tela CIP - Valves.

13. Selecione uma linha (alarme) na lista de resumo e clique no botão Suppress .

14. Quando a caixa de diálogo Suppress Alarm surgir, clique no botão suppress para confirmar que você deseja suprimir o alarme.

15. O que acontenceu? Surgiu uma mensagem, certo? A mensagem deve ser a seguinte “Failed to Suppress Alarm alarm [alarm name] TCIPOperator does not have Suppress/Unsuppress permission. A mensagem aparecerá na lista de diagnósticos. Se a opção para “exibir erros da ação do operador em um caixa de diálogo” estava selecionada ao se configurar o sumário de alarmes (o que originalmente estava), uma caixa de diálogo com a mensagem aparecerá. Se a caixa de diálogo mensagem aparecer, clique no botão OK.

16. Clique no botão “Alarm Status Explorer” e Selecione um alarme na lista que aparece e clique em cada um dos primeiros 4 botões (enable alarm, disable alarm, suppress alarm, unsuppress alarm) para tentar realizar estas ações. Observe o que acontece. As ações são protegidas e o operador não pode realizá-las.

17. Clique com o botão direito no alarme no sumário e selecione o item Ack.

18. O alarme será reconhecido uma vez que o CIPOperator tem permissão para realizar essa ação.

19. Feche a tela Alarms .

20. Nós aplicamos segurança ao comando DisplayClientClose. Somente usuários com Código de segurança “A” podem executar este comando. Nosso CIPOperator não possui a permissão de código de segurança “A”.

Vamos verificar a segurança do comando.

21. Clique no botão Exit na janela de navegação para fechar o cliente em execução.

22. O que acontenceu? O cliente não fechou. Uma mensagem aparecerá na lista de diagnósticos, indicando que o usuário atual não tem permissões para fechar o cliente.

24. Conecte-se como o novo usuário ‘administrator’ usando a senha ‘rockwell’. Depois clique em OK. Observe que “user name” não faz distinção entre letras maiúsculas e minúsculas.

25. A mensagem de informação “administrator has been logged in.” aparecerá na lista de diagnósticos.

26. Feche a janela Security pop-up. a. Clique no botão

Security _{b. Depois clique}

em Log In.

No documento Apostila Factory Talk View 1 (páginas 177-199)