PI Data Archive Guia de Configuração de Segurança

PI Data Archive 2016

Guia de Configuração de Segurança

San Leandro, CA 94577 USA Tel: (01) 510-297-5800 Fax: (01) 510-357-8136 Web: http://www.osisoft.com

Guia de Configuração de Segurança PI Data Archive 2016 © 2009-2016, OSIsoft, LLC. Todos os direitos reservados.

Nenhuma parte desta publicação pode ser reproduzida, armazenada em um sistema de recuperação ou transmitida, em qualquer forma ou por quaisquer meios, sejam mecânicos, de fotocópia, registro ou outro, sem a prévia autorização por escrito da OSIsoft, LLC.

OSIsoft, o logotipo e a logomarca da OSIsoft, Managed PI, OSIsoft Advanced Services, OSIsoft Cloud Services, OSIsoft Connected Services, PI ACE, PI Advanced Computing Engine, PI AF SDK, PI API, PI Asset Framework, PI Audit Viewer, PI Builder, PI Cloud Connect, PI Connectors, PI Coresight, PI Data Archive, PI DataLink, PI DataLink Server, PI Developer’s Club, PI Integrator for Business Analytics, PI Interfaces, PI JDBC driver, PI Manual Logger, PI Notifications, PI ODBC, PI OLEDB Enterprise, PI OLEDB Provider, PI OPC HDA Server, PI ProcessBook, PI SDK, PI Server, PI Square, PI System, PI System Access, PI Visualization Suite, PI Web API, PI Web Services e RLINK são todos marcas comerciais da OSIsoft, LLC. Todas as outras marcas ou nomes comerciais usados neste documento são de propriedade de seus respectivos proprietários.

DIREITOS DO GOVERNO DOS EUA

O uso, a duplicação ou a divulgação pelo Governo dos EUA estão sujeitos às restrições definidas no contrato de licença da OSIsoft, LLC e conforme fornecido nas DFARS 227.7202, DFARS 252.227-7013, FAR 12.212, FAR 52.227, conforme aplicável. OSIsoft, LLC.

Versão: 3.4.400

Configuração de segurança... 1

Introdução à segurança PI Data Archive... 3

Uma breve visualização da segurança PI Data Archive...3

Como o modelo de segurança foi alterado...3

O que são as PI identities e os PI mappings?... 5

Por que usar a segurança integrada do Windows?... 10

Configuração de segurança em uma nova instalação PI Data Archive...13

Configuração de início rápido... 13

Sobre a configuração...14

Implementar a configuração de segurança de início rápido...14

Melhorar a configuração de início rápido... 15

Configuração recomendada... 16

Configurar autenticação... 17

Configurar permissões de acesso...23

Outras configurações de segurança... 26

Usar segurança local do Windows...27

Usar segurança local do Windows com AD... 30

Usar PI users e PI groups...30

Configurar as conexões da interface PI... 32

Sobre os PI trusts...33

Criar um trust... 33

Configuração de segurança para atualizações do PI Data Archive... 37

Quais são os recursos do novo modelo de segurança?... 37

Por que um novo modelo de segurança?... 38

As opções de upgrade... 38

Migração de segurança de início rápido... 39

Migrar com o tempo...40

Definir uma nova configuração de segurança... 47

Manter a configuração existente... 47

Segurança para PI Data Archive coletivos...49

Visão geral da segurança nos coletivos PI Data Archive...49

Configurações de segurança personalizadas... 49

Habilitar o parâmetro de ajuste de falha na pesquisa...50

Criação de mapeamentos com uma ID de Segurança do Windows (SID)...51

Estreitando a segurança...53

Proteger o piadmin... 53

Desabilitar logins explícitos para piadmin... 53

Proteger o utilitário piconfig... 54

Desabilitar autenticação por senha PI (logins explícitos)...54

Desabilitar todos os logins explícitos... 55

Desabilitar logins explícitos com senhas em branco...55

Desativar logins explícitos para contas de usuário individuais...56

Desativar trusts SDK... 56

Autenticação do Windows versus trusts SDK... 57

Configure os protocolos de autenticação do SDK... 57

Desabilitar trusts SDK...57

Desabilitar o PIWorld... 59

Como o PI Data Archive 3.4.380 afetará os clientes e as interfaces?... 61

Produtos que se conectam por meio de um trust...61

Verificação de conexões API não autenticadas... 62

Produtos que se conectam a um servidor de aplicativo... 62

Aplicativos administrativos de clientes...62

Ferramentas administrativas compatíveis com o PI Data Archive... 63

Como manter as permissões de acesso com compatibilidade reversa...63

Considerações da sincronização de segurança do MDB para o AF... 65

Referências de permissões de acesso baseadas em tarefas... 67

Problemas de referência e configuração das permissões de acesso a produtos ... 71

Cliente do PI AF 2.x...71

Servidor PI AF 1.3...71

Cliente do PI AF 1.3...72

Controle DataSheet... 72

PI groups e DataSheet Control...72

PI ACE... 73

PI BatchView...74

Configuração de segurança do PI BatchView... 74

PI DataLink...75

PI DataLink Server (PI DLS)... 75

Configuração de segurança do PI DLS... 76

PI Manual Logger... 76

Configurando a segurança do PI Manual Logger... 77

PI Notifications...77

PI OLEDB... 77

PI ProcessBook...78

RtAlerts...79

RtReports Server (para PI Data Archive)... 79

RtReports Editor (para PI Data Archive)... 80

Configurando a segurança do RtReports... 80

PI WebParts e PI Data Services...81

Configurando a segurança dos produtos do PI Data Access... 81

Interfaces...82

Interfaces que criam pontos... 82

Interface PI a PI TCP/IP... 83

Interfaces PI OPC DA PI OPC HDA...83

PI APS... 84

PI ICU...86

Lista de verificação: Configurar a autenticação do Windows para obter atualizações...

89

Lista de verificação: Configurar a autenticação do Windows para novas instalações...

91

Suporte técnico e outros recursos... 93

Configuração de segurança

Este manual explica como configurar o Windows Integrated Security nos servidores PI Data Archive, como e quando criar PI Mappings e trusts e como melhorar a segurança PI Data Archive. Ele discute identidades integradas do PI Data Archive, como piadmin, piadmins e PIWorld. Ele fornece uma tabela de permissões de acesso necessárias para realizar diferentes tarefas do PI Data Archive, bem como permissões de acesso solicitadas por procutos PI específicos.

Alterações na terminologia

A OSIsoft está revisando sua terminologia para refletir o crescimento do PI System em relação a sua arquitetura original de servidor único. Na terminologia revisada, PI Data Archive refere-se ao componente que armazena os dados de séries cronológicas (anteriormente chamado de PI Server), e PI Server refere-se ao PI Data Archive e ao PI Asset Framework. Este documento usa a terminologia revisada.

Esta convenção começou com o lançamento do PI Server 2010, que incluiu o PI Data Archive 3.4.385. Neste documento, diferentes versões do produto PI Data Archive são referidas pelo nome designado no momento do lançamento. Isso significa que nos referimos às versões do software anteriores ao e incluindo o PI Data Archive 3.4.380 como PI Server. Quando nos referimos a versões posteriores à 3.4.380 ou quando não estamos nos referindo a uma versão específica, usamos o termo PI Data Archive.

Introdução à segurança PI Data Archive

A versão 3.4.380 do PI Data Archive apresentou a segurança integrada do Windows no servidor PI Data Archive, permitindo que você gerencie a autenticação do PI Data Archive através do Windows e do Microsoft Active Directory (AD). Este novo modelo de segurança aprimora a segurança do PI Data Archive, reduz sua carga de gerenciamento e fornece a experiência de sign-on único aos usuários.

Nota:

O servidor PI Data Archive continua a ter suporte para os mecanismos de segurança anteriores do PI Data Archive. Caso decida-se não usar o novo modelo de segurança, nenhuma ação será necessária. Caso escolha manter sua configuração de segurança existente, você tem a liberdade de migrar gradualmente para o novo modelo de segurança em uma data posterior.

Nesta seção

• Uma breve visualização da segurança PI Data Archive

• Por que usar a segurança integrada do Windows?

Uma breve visualização da segurança PI Data Archive

A segurança do computador tem duas partes: autenticação (quem é o usuário e como confirmamos que o usuário é realmente quem afirma ser?) e autorização (uma vez que sabemos quem é o usuário, o que esse usuário tem permissão de fazer?).

O modelo de segurança integrada do Windows conta com a segurança do Windows para autenticação, mas fornece sua própria autorização ao objetos PI. Isso é obtido por meio de duas estruturas: PI identities, para as quais você define permissões PI, e, PI mappings, que fornece o mapeamento dos usuários e grupos do Windows para PI identities.

Nesta seção

• Como o modelo de segurança foi alterado

• O que são as PI identities e os PI mappings?

Como o modelo de segurança foi alterado

Começando no PI Data Archive versão 3.4.380, tanto o mecanismo de autenticação quanto o de autorização são diferentes dos mecanismos das versões anteriores. Embora o modelo antigo continue a ter suporte, os novos mecanismos são mais flexíveis, fáceis de gerenciar e mais seguros.

Nesta seção • Autenticação

• Autorização

Autenticação

Antes da versão 3.4.380 PI Data Archive, dois métodos de autenticação estavam disponíveis: autenticação PI trusts e senha PI (também chamada de logins explícitos).

• PI trusts eram normalmente usados por interface do PI, que são executadas sem supervisão. A autenticação por trust funciona por comparação das credenciais de conexão de um aplicativo conectando-se a registros de trust no banco de dados do trust. Não é necessária intervenção humana no momento da conexão.

• Os usuários que se conectam ao PI Data Archive através de aplicativos cliente eram

normalmente autenticados por logins explícitos, o que significa que o usuário faz login no PI Data Archive inserindo um nome de usuário PI e senha. Os logins explícitos têm várias desvantagens: eles necessitam que os usuários façam login separadamente no Windows e no PI Data Archive; eles necessitam de administradores do sistema para manter contas de usuários separadas para cada usuário no PI Data Archive; e eles não são especialmente seguros.

Começando com a versão 3.4.380 do PI Data Archive, um terceiro método de autenticação ficou disponível: autenticação do Windows. Com esse método de autenticação, os usuários fazem login em suas contas de usuário do Windows e são automaticamente autenticados no servidor PI Data Archive. Em vez de solicitar contas de usuário individuais no servidor PI Data Archive, no novo modelo você define as categorias de usuário, chamadas PI identities, no servidor PI Data Archive. Então, você cria mapeamentos dos grupos de usuários do Windows para as categorias de usuários relevantes. PI identities e PI mappings são novos objetos na versão 3.4.380 do PI Data Archive.

Este modelo de autenticação fornece sign-on único para usuários PI, exige menos manutenção para administradores do PI e aumenta significativamente a segurança em relação ao modelo anterior. Ambos os PI trusts e os logins explícitos permanecem como mecanismos de autenticação no servidor PI Data Archive. Os PI trusts ainda são o método recomendado de autenticação da maioria das interfaces. No entanto, os logins explícitos não são recomendados. Eles estão disponíveis para proporcionar compatibilidade reversa.

Autorização

O novo modelo de segurança inclui um modelo muito mais flexível para permissões de acesso. Nas versões anteriores do servidor PI Data Archive, era possível definir permissões apenas para um proprietário, um grupo de usuário e para acesso global (qualquer outra pessoa). Com o novo modelo de segurança, cada objeto do PI Data Archive pode ter permissões de leitura e/ou gravação definidas para qualquer número de PI identities.

O que são as PI identities e os PI mappings?

PI identities e PI mappings são os componentes centrais do novo modelo de segurança do PI Data Archive. Elas determinam quais usuários do Windows estão autenticados no servidor PI Data Archive e quais permissões de acesso eles têm lá (por exemplo, o usuário tem permissão para criar uma tag? Executar um backup?)

Cada PI identity representa um conjunto de permissões de acesso no servidor PI Data Archive. Cada PI mapping aponta de um grupo ou usuário do Windows para uma PI identity (ou PI user ou PI group). Você não pode conceder diretamente um usuário do Windows ou acesso de grupo a um recurso PI Data Archive (como uma tag ou módulo). Em vez disso, você cria uma PI identity que tem tal acesso e, em seguida, cria um PI mapping entre o usuário do Windows e ou grupo e essa PI identity.

Os membros dos grupos do Windows mapeados para uma PI identity têm permissões de acesso concedidas automaticamente para essa PI identity. Por exemplo, na ilustração a seguir, a PI identity chamada PIEngineers tem acesso de leitura/gravação aos dados do ponto TestTag. Como a equipe de engenharia do grupo Active Directory (AD) está mapeada para PIEngineers, todos os membros nesse grupo AD tem permissão de leitura/gravação para os dados de tag.

Cada recurso PI Data Archive (como o TestTag na ilustração acima) pode ter definido

permissões de acesso para qualquer número de PI identities. Embora o usuário do Windows tenha permissões de acesso para uma ou mais PI identities, o servidor PI Data Archive mantém registro da ID de usuário do Windows específica, tanto na trilha de auditoria quanto nas informações sobre alteração mais recente.

Nota:

Embora o servidor PI Data Archive possa usar a segurança do Windows para autenticação, você ainda precisa definir as permissões de acesso explicitamente no servidor PI Data Archive.

Nesta seção

• E os PI users e PI groups?

• Gerenciando PI identities e PI mappings

• PI identities, PI users e PI groups incorporados

E os PI users e PI groups?

As versões anteriores do servidor PI Data Archive contavam com contas de usuário individuais que pudessem ser incluídas em grupos. O novo modelo de segurança não incentiva contas de usuário (ou grupos de usuários) no servidor PI Data Archive. Elas foram substituídas por PI identities, que fornecem uma camada de abstração que podemos usar para estabelecer uma conexão entre os usuários do Windows e permissões de acesso do PI Data Archive.

Para compatibilidade reversa, os usuários e os grupos ainda têm suporte e as contas integradas padrão (como piadmin e pidemo) ainda são fornecidas. Isso permite que os servidores PI Data Archive atualizados para a versão 3.4.380 mantenham suas configurações de segurança existentes. Isso também fornece um mecanismo de autenticação alternativo se a autenticação do Windows não for uma opção viável para você.

Nas versões 3.4.380 e posteriores do PI Data Archive, PI groups e usuários PI são

implementados como tipos especiais de PI identities. A ferramenta Users and Groups do PI System Management Tools (SMT) é disponibilizada na ferramenta Identities, Users, & Groups. É possível usar as guias Usuários PI e PI Groups para gerenciar os usuários e grupos existentes,

assim como você fazia em versões anteriores do servidor PI Data Archive.

Gerenciando PI identities e PI mappings

Para gerenciar as PI identities, use a ferramenta Identities, Users & Groups no PI SMT. Por padrão, guias separadas mostram identidades, usuários e grupos, mas é possível exibir tudo em uma única lista, se preferir (clique no botão Opções para selecionar as opções de

visualização).

Nota:

A guia PI Identities aparece apenas se você estiver conectado a pelo menos um servidor

PI Data Archive versão 3.4.380 ou posterior. Se não, apenas as guias Usuários PI e PI Groups serão exibidas.

Para ver a quais identidades o usuário está conectado, veja as informações de conexão no canto inferior esquerdo do PI SMT. Elas exibem a ID de usuário do Windows, seguida pela lista de identidades (e/ou usuários PI e PI groups).

Se clicar nas identidades, uma caixa de diálogo mostrará como a conexão foi realizada (por exemplo, por meio de um mapeamento, um trust ou como um usuário padrão).

Nota:

Sua conta do Windows sempre é exibida, mesmo se você não estiver conectado ao servidor PI Data Archive através de um mapeamento.

Para gerenciar os PI mappings no PI SMT, use a ferramenta Mappings & Trusts. Clique na guia

Nota:

A guia Mappings aparece apenas se você estiver conectado a pelo menos um servidor PI

Data Archive versão 3.4.380 ou posterior. Se não estiver, então apenas a guia Trusts será

exibida.

PI identities, PI users e PI groups incorporados

PI Data Archive inclui vários PI identities, usuários e grupos integrados. Os mais importantes são:

• piadmin — Um usuário PI com acesso de superusuário • piadmins — Um PI group com acesso administrativo • PIWorld — Uma PI identity com acesso geral

PI users, PI groups e PI

identities Descrição

Usuário piadmin Um PI user com superprivilégios. O usuário piadmin sempre tem acesso de leitura/gravação completo a todos os recursos PI Data Archive. Não é possível modificar as permissões de acesso do piadmin. Na maioria dos casos, não se deve mapear o piadmin para um grupo ou usuário AD. No máximo, pode-se mapeá-lo para um pequeno grupo de administradores. Apesar de não ser possível excluir o usuário piadmin, pode-se desativá-lo para vários graus.

Grupo piadmins Um PI group destinado a representar os administradores PI Data Archive. É possível usar piadmins para todas as tarefas administrativas de rotina.

Em novos servidores PI Data Archive que executam versões 3.4.380 e posteriores, esse grupo pré-configurado tem acesso de leitura e gravação a todos os recursos PI Data Archive e tags padrão. Em versões anteriores e em atualizações de instalações antigas, o grupo piadmins não tem essas permissões de acesso pré-configuradas.

Você só pode mapear piadmins para o grupo AD que representa seus administradores de sistema PI Data Archivee você só pode ajustar as permissões de acesso piadmins para atender às suas necessidades. Você não pode excluir o grupo piadmins e você não pode configurar um login explícito para o grupo piadmins.

Grupo piusers Um PI group incorporado sem permissões de acesso pré-configuradas. Identidades PIOperators,

PIEngineers e PISupervisors

Identidades de amostra sem permissões de acesso pré-configuradas. Essas identidades não executam nenhuma ação. No entanto, é possível usá-las como ponto de partida, se desejado. Essas PI identities de amostra são totalmente configuráveis. Se desejar, elas podem ser excluídas. Apenas versões 3.4.380 e posteriores do PI Data Archiveincluem essas PI identities.

PI users, PI groups e PI

identities Descrição

Identidade PIWorld Uma PI identity com permissões de acesso padrão apenas de leitura para a maioria dos recursos PI. A identidade PIWorld representa o conceito "todos" do Windows. Ela especifica os direitos de usuários ou grupos não explícitos. Por padrão, PIWorld tem acesso de leitura concedido para a maioria dos bancos de dados e objetos do PI Data Archive. Toso os usuários autenticados do PI Data Archive recebem, pelo menos, privilégios PIWorld. PIWorld está disponível apenas nas versões 3.4.380 e posteriores do PI Data Archive.

É possível renomear a identidade PIWorld e é possível alterar suas permissões de acesso. Não se pode excluir o PIWorld. Não é possível mapear o PIWorld para um grupo AD e não possível usá-lo em um trust.

Nota:

Há também um usuário oculto e um grupo oculto: PIUserIncompatible e

PIGroupIncompatible. O PI Data Archive usa-os para exibir um proprietário e um grupo em ferramentas administrativas antigas que não têm suporte para autenticação do Windows. Eles não aparecem na lista de identidades por padrão. Para exibi-las, use o botão Opções. Essas PI identities estão incluídas apenas nas versões 3.4.380 e

posteriores do PI Data Archive.

O usuário piadmin

O usuário piadmin é a conta de superusuário PI Data Archive integrada. Como piadmin, você tem acesso completo a todos os objetos e operações no servidor PI Data Archive,

independentemente da especificação de segurança. Não é possível excluir ou desabilitar esta poderosa conta.

As versões anteriores do servidor PI Data Archive reservavam várias operações de manutenção para a conta piadmin. Essas operações podem ser delegadas. Isso leva à prática comum usando a conta piadmin de todas as tarefas administrativas. Esta é uma prática perigosa, pois a conta piadmin é muito poderosa.

Nas versões 3.4.380 e posteriores, o servidor PI Data Archive não reserva nenhuma tarefa para a conta piadmin. Não se deve usar a conta piadmin para quaisquer tarefas administrativas normais. Delegue tarefas administrativas comuns ao piadmins (ou a um PI group ou PI identity diferente) e use a conta piadmin apenas para procedimentos excepcionais ou de recuperação. Consulte O grupo piadmins.

É necessário realizar etapas adicionais para proteger a conta piadmin, se possível. Consulte

Proteger o piadmin.

O grupo piadmins

O grupo piadmins é um PI group incorporado cuja função é representar os administradores do PI Data Archive. A OSIsoft recomenda que o piadmins seja usado no lugar da conta de

superusuário (piadmin) nas tarefas administrativas comuns.

Nas novas instalações do PI Data Archiveversões 3.4.380 e posteriores, o PI group incorporado chamado de piadmins recebe permissões de acesso administrativas completas por padrão, por isso, não é necessário configurar as permissões de acesso a ele.

As versões anteriores do servidor PI Data Archive não concediam acesso administrativo piadmins por padrão e as instalações de atualizações não alteraram as permissões de acesso para o piadmins. Nos servidores PI Data Archive atualizados, o grupo piadmins tem qualquer acesso concedido a ele. Talvez seja necessário reconfigurar as permissões de acesso do

piadmins para usar o PI group nas tarefas administrativas. Para tanto, adicione acesso de leitura/gravação ao piadmins para:

• Todas as entradas de segurança do banco de dados (no PI SMT) • Todos os pontos e módulos existentes.

Consulte Como configurar as permissões de acesso para obter mais informações. Então, será possível mapear o piadmins para os usuários e/ou grupos do Windows que representam os administradores de sistema PI Data Archive.

Nota:

O PI group piadmins chamava-se piadmin nas versões anteriores do servidor PI Data Archive. Isso significa que os servidores PI Data Archive têm um usuário PI chamado piadmin e um PI group chamado piadmin. O nome PI group foi alterado para piadmins (no plural) na versão 3.4.380 do PI Data Archive para evitar conflito com a conta de usuário piadmin.

A identidade PIWorld

O PI Data Archive 3.4.380 apresenta uma PI identity incorporada especial, chamada PIWorld. A identidade PIWorld representa o conceito Todos do Windows. Ela especifica os direitos de usuários ou grupos não explícitos. Todos os usuários autenticados do PI Data Archive

automaticamente recebem as permissões de acesso definidas no PIWorld (além de quaisquer outras permissões de acesso concedidas a eles).

Nota:

É possível desativar o PIWorld. Se isso for feito, então, os usuários não receberão mais acesso ao PI Server junto com as permissões de acesso explicitamente concedidas a eles. No entanto, isso pode ser arriscado, especialmente para upgrades. Talvez o usuário esteja usando o PIWorld em diversos locais sem conhecê-lo. Consulte Desabilitar o PIWorld. A identidade PIWorld substitui o acesso global às versões anteriores do servidor PI Data Archive; o acesso global sempre foi concedido a todos os usuários autenticados, mas não havia uma conta de usuário global explícita. No PI Data Archive 3.4.380 e posteriores, o acesso global previamente implicado tornou-se explícito com a identidade PIWorld.

Por padrão, PIWorld tem acesso de leitura concedido para a maioria dos bancos de dados e objetos do PI Data Archive. A identidade PIWorld não tem acesso às seguintes tabelas:

PIARCADMIN, PIARCDATA, PIBACKUP, PIMSGSS, PIReplication, PITuning, PIAFLINK, PIAUDIT, PIMAPPING e PITRUST. As permissões de acesso concedidas ao PIWorld podem ser alteradas, mas não é possível excluir a identidade. A identidade PIWorld não pode ser usada em um mapeamento ou trust.

Por que usar a segurança integrada do Windows?

A segurança integrada do Windows fornece benefícios substanciais em segurança, eficiência e flexibilidade.

• Menos trabalho para os administradores de PI Data Archive.

Você não precisa mais criar e gerenciar contas de usuário individuais no servidor PI Data Archive. Quando um usuário insere, deixa ou altera funções, você só precisa modificar a configuração do Windows. A segurança PI Data Archive automaticamente reflete essas mudanças. Você também obtém rastreabilidade total das contas específicas do Windows nos

• Sign-on único de usuários.

Os usuários só precisam fazer login em suas contas do Windows. Os clientes PI

automaticamente autenticarão usando o PI SDK. Não é necessário fazer login adicional no PI Data Archive.

• Segurança aprimorada:

◦ Autenticação segura.

As conexões são autenticadas por meio da Interface do provedor de suporte de

segurança (SSPI) da Microsoft. Se vocês estiver usando AD, então, significa que você tem a autenticação Kerberos mais segura, que aprimora muito a segurança do seu PI Data Archive.

◦ Controle sobre as políticas de autenticação do servidor.

Com o novo modelo de segurança, você tem controle sobre os protocolos de autenticação que aplicativos cliente podem usar para se conectar ao servidor PI Data Archive. É possível desabilitar os métodos de autenticação menos seguros e manter apenas os métodos de conexão necessários.

• Mais controle sobre as permissões de acesso.

O novo modelo de segurança inclui um modelo muito mais flexível para permissões de acesso. Nas versões anteriores do servidor PI Data Archive, era possível definir permissões apenas para um proprietário, um grupo de usuário e para acesso global ao (qualquer outra pessoa). Com o novo modelo de segurança, cada recurso do PI Data Archivepode ter permissões de leitura e/ou gravação definidas para qualquer número de PI identities.

Configuração de segurança em uma nova

instalação PI Data Archive

Esta seção discute como configurar a segurança para novas instalações PI Data Archive. Se você implementar uma dessas configurações agora, você poderá realizar alterações a qualquer momento.

• Opção 1:

Configuração de início rápido descreve uma configuração simples que você pode usar enquanto estiver trabalhando em um plano de configuração de segurança mais abrangente. Apesar de sua implementação ser muito rápida, essa configuração não é tão segura nem flexível quanto a configuração recomendada. No entanto, há opções inclusas para aumentar a segurança e a flexibilidade dessa configuração. Para sistemas simples, ela deve ser suficiente.

• Opção 2:

Configuração recomendada explica como criar e implementar uma configuração de segurança personalizadaPI Data Archive que usa o Microsoft Active Directory (AD) para autenticação (mas não para permissões de acesso PI; estas ainda são definidas diretamente no servidor PI Data Archive). Esse é o caminho de configuração recomendado.

As opções de configuração acima supõem que você esteja usando o AD para autenticação e que todos os usuários estejam no mesmo domínio ou em domínios totalmente confiáveis. Se o servidor PI Data Archive for acessado pelos aplicativos cliente em domínios não confiáveis, então, essas configurações poderão ser difíceis de implementar. Como alternativa, pode-se usar a segurança local do Windows sozinha ou junto com o AD. Consulte Outras configurações de segurança para determinar suas opções.

Para obter instruções sobre atualizações, consulte Configuração de segurança para atualizações do PI Data Archive.

Nesta seção

• Configuração de início rápido

• Configuração recomendada

• Outras configurações de segurança

• Configurar as conexões da interface PI

Configuração de início rápido

Esta configuração fornece uma opção de implementação rápida que poderá ser usada enquanto um plano de segurança mais completo estiver sendo desenvolvido. Nos sistemas muito simples, pode-se usar essa configuração no longo prazo; nesse caso, faça alguns ajustes para melhorar a segurança e aumentar a flexibilidade.

Nesta seção

• Sobre a configuração

• Implementar a configuração de segurança de início rápido

Sobre a configuração

Nesta configuração, você atribui dois níveis de permissões de acesso que se aplicam a todos os recursos PI Data Archive: os usuários obtêm acesso de leitura/gravação ou acesso de apenas

leitura para tudo. No AD, seus usuários devem ser agrupados de acordo com esses dois níveis

de acesso do PI Data Archive. No servidor PI Data Archive em si, você precisa de duas identidades, usuários ou grupos nos quais definir acesso: um para acesso de apenas leitura e um para acesso de leitura/gravação.

Nessa rápida configuração, aproveitam-se dois componentes incorporados com permissões de acesso pré-configuradas:

• piadmins:

piadmins é um PI group integrado que está pré-configurado com acesso de leitura/gravação para todos os recursos do PI Data Archive. Como usamos piadmins, não precisamos definir

permissões de acesso explicitamente para o grupo de leitura/gravação. Simplesmente criamos um mapeamento entre piadmins e o grupo ou grupos AD que necessitam de acesso de leitura/gravação.

Nota:

piadmins tem acesso de leitura/gravação para tudo nas novas instalações. As atualizações não reconfiguram automaticamente as permissões de acesso do piadmins, por isso, as opções de configuração não funcionam. Consulte Configuração de segurança para atualizações do PI Data Archive.

• PIWorld:

PIWorld é um PI identity integrado que está pré-configurado com acesso de leitura para a maioria dos recursos do PI Data Archive. Não é possível usar o PIWorld diretamente em um mapeamento. No entanto, todos os usuários autenticados no servidor PI Data Archive obtêm, pelo menos, acesso PIWorld. Mapeie um grupo AD em qualquer PI identity (ou PI group ou PI user). Todos os usuários do Windows nesse grupo AD automaticamente recebem acesso pré-configurado ao PIWorld. Consulte A identidade PIWorld para obter mais informações sobre o PIWorld.

Nota:

Esta configuração conta com acesso PIWorld. Ela não funciona se você desabilitar PIWorld.

Implementar a configuração de segurança de início rápido

Neste modelo bem simples, os usuários têm somente acesso de leitura a tudo no servidor PI Data Archive ou têm acesso de leitura/gravação a tudo no servidor PI Data Archive. Não é necessário configurar diferentes níveis de acesso para diferentes recursos PI. No AD, seus usuários devem ser agrupados de acordo com esses dois níveis de acesso do PI Data Archive. (Na configuração AD, o departamento de TI da empresa é provavelmente o melhor recurso). Procedimento

1. Identifique que grupo ou grupos AD terão privilégios de administrador (leitura/gravação) no servidor PI Data Archive. Identifique quais grupos terão acesso de somente leitura. 2. Mapeie o grupo AD que representa os administradores PI ao PI group incorporado,

chamado piadmins. Podem-se mapear múltiplos grupos AD para o piadmins, se necessário. Como o piadmins tem acesso de leitura/gravação predefinido a todas as configurações e

Nota:

Certifique-se de usar o grupo piadmins, não o usuário piadmin.

3. Mapeie o grupo AD contendo os usuários com acesso de somente leitura aos piusers do PI group incorporado. Podem-se mapear múltiplos grupos AD para o piusers, se necessário. Todos os usuários do Windows nesses grupos serão autenticados como piusers. Como todos os usuários autenticados recebem acesso de leitura à identidade PIWorld, não é necessário configurar explicitamente as permissões de acesso dos piusers.

O que Fazer Depois

Configuração de interfaces do PI. Consulte Configurar as conexões da interface PI.

Melhorar a configuração de início rápido

Se planeja-se basear a configuração de segurança de longo prazo na configuração de início rápido, é necessário fazer essas melhorias sugeridas:

• Para tornar essa configuração de segurança de início rápido mais flexível, é possível adicionar PI identities para representar diferentes categorias de usuários. Por exemplo, pode-se desejar conceder aos administradores de TI permissão para realizar backup. Para tanto, é necessário criar uma PI identity e dar as permissões de acesso necessárias a ela. Em seguida, crie um mapeamento entre o grupo AD para os administradores de TI e essa PI identity.

• Para tornar uma configuração de segurança de início rápido mais segura, é possível definir explicitamente as permissões de acesso ao grupo piusers, em vez de usar as permissões de acesso do PIWorld. Na configuração de início rápido, a OSIsoft confiou no PIWorld para tornar o processo de configuração mais fácil e rápido. No entanto, uma melhor prática é usar as permissões de acesso explicitamente configuradas. Se o PIWorld for usado, será difícil com o passar do tempo determinar quais usuários ou aplicativos estão confiando nesse acesso.

Os exemplos a seguir demonstram como implementar cada um desses aprimoramentos sugeridos.

Exemplo 1. Configurar as categorias de acesso administrativo

Este exemplo demonstra como configurar explicitamente o acesso administrativo para realizar backups.

1. Primeiro, crie uma PI identity chamada ITAdmins (Criar uma PI identity).

2. Inicie o PI SMT e conecte-se ao servidor PI Data Archive como piadmins (apenas nas novas instalações; em atualizações, conecte-se como piadmin).

3. Abra a ferramenta de Segurança do banco de dados (selecione Segurança > Segurança do banco de dados).

4. Na ferramenta Database Security, dê à identidade ITAdmins acesso de leitura/gravação à entrada PIBACKUP.

Exemplo 2. Configurar permissões de acesso do piusers

Inicie o PI SMT e conecte-se ao servidor PI Data Archive como piadmins. Abra a ferramenta de Segurança do banco de dados (selecione Segurança > Segurança do banco de dados).

1. Para cada entrada na ferramenta de segurança de banco de dados, defina as permissões de acesso de piusers como somente leitura. Consulte Definir permissões na ferramenta Database Security.

2. Definir as permissões dos pontos incorporados. A instalação PI Data Archive inclui vários pontos padrão. Eles são úteis para fins de teste. Para conceder explicitamente acesso de leitura ao grupo piusers, edite os pontos. Você pode fazê-lo usando o Point Builder (para um pequeno número de pontos) ou o PI Builder (para muitos pontos). Consulte Definir

permissões em pontos e módulos específicos.

3. Definir as permissões para os pontos existentes. No mínimo, a instalação PI Data Archive inclui o módulo incorporado %OSI. Dependendo de quais aplicativos clientes estão instalados, pode haver outros. Para conceder explicitamente acesso de leitura ao grupo piusers, edite os módulos. É possível fazer isso usando a ferramenta Banco de dados do módulo no PI SMT.

Ao criar novos módulos, o grupo piusers automaticamente terá acesso somente de leitura. Isso porque novos módulos automaticamente têm as mesmas permissões de acesso da entrada PIModules na ferramenta Database Security. Consulte Acesso padrão aos novos pontos e módulos para obter as instruções.

Configuração recomendada

Estas instruções pressupõem que o Microsoft Active Directory (AD) esteja sendo usado para autenticação. Pode-se usar a segurança local do Windows, mas ela não é tão segura e precisa de configuração adicional. Consulte Usar segurança local do Windows.

Procedimento

1. Configurar a autenticação do usuário.

Na maioria dos casos, isso simplesmente significa criar uma PI identity para cada grupo AD que requer acesso PI e criar um mapeamento entre eles.

a. Identificar categorias de acesso do usuário.

Identifique os usuários que precisam de acesso ao servidor PI Data Archive. Entenda a função deles e os tipos de acesso de que precisam. Por exemplo: quem precisa de permissão para criar tags? Quem deve ter permissão para editar módulos? Quem realizará os backups PI Data Archive? Consulte Identificar categorias de acesso do usuário.

b. Crie PI identities.

No servidor PI Data Archive, crie uma PI Identity para cada categoria de usuário. Consulte Criar uma PI identity.

c. Revise grupos Active Directory.

No Windows, identifique os grupos do Active Directory que representem seus usuários PI Data Archive. Em alguns casos, talvez seja necessário ajudar o administrador de domínio para criar grupos, agrupar os grupos existentes ou ajustar as associações ao grupo. Consulte Revisar a configuração AD.

d. Mapeie grupos AD para as PI identities.

Quando os grupos AD e as PI identities necessárias existirem, a próxima etapa será configurar um mapeamento entre eles. Consulte Mapear grupos AD para PI identities. 2. Configure permissões de acesso.

Dê às suas PI identities acesso aos recursos necessários do PI Data Archive. Essas

permissões de acesso especificam quais tarefas cada PI identity pode realizar no servidor PI Data Archive. Consulte Configurar permissões de acesso.

3. Configure o acesso da interface do PI (e Ferramenta cliente do PI) ao servidor PI Data Archive.

a. Configure o acesso às interfaces PI.

É necessário configurar os PI trusts para interfaces que se conectarão ao servidor PI Data Archive. Cada trust é definido em uma PI identity com as permissões de acesso

necessárias a essa interface. Consulte Configurar as conexões da interface PI para obter instruções sobre como criar PI trusts para interfaces.

b. Configure o acesso aos aplicativos cliente (opcional).

Os aplicativos cliente normalmente de conectam ao servidor PI Data Archive usando PI SDK. O SDK 1.3.6 ou posterior é necessário para usar a autenticação do Windows. Certos aplicativos Ferramenta cliente do PI necessitam de uma conexão a um servidor de aplicativo separado, além do servidor PI Data Archive (por exemplo, PI DLES e PI WebParts). Esses tipos de aplicativos requerem etapas adicionais de configuração. Consulte Como o PI Data Archive 3.4.380 afetará os clientes e as interfaces? para obter mais informações.

O que Fazer Depois

Há várias coisas que podem ser feitas para fornecer segurança extra ao PI Data Archive. Consulte Estreitando a segurança para obter sugestões e instruções.

Nesta seção

• Configurar autenticação

• Configurar permissões de acesso

Configurar autenticação

Esta seção discute a abordagem recomendada para configurar sua autenticação PI Data Archive.

Nota:

Se você já sabe qual grupo ou grupos AD terão acesso ao PI Data Archive, então, você pode simplesmente criar uma PI identity para cada um desses grupos e mapear cada grupo AD para a identidade apropriada.

Para configurar a autenticação PI Data Archive, siga estas etapas. Procedimento

1. Identificar categorias de acesso do usuário.

2. Criar PI identities.

3. Revisar a configuração AD.

4. Mapear grupos AD para PI identities.

Identificar categorias de acesso do usuário

• Quem precisa usar o servidor PI Data Archive?

• Que recursos do PI Data Archive eles precisam acessar?

• Que nível de acesse eles precisam ter para cada recurso? (Acesso de leitura? acesso de leitura/gravação?)

Defina as categorias de usuários que precisam do mesmo conjunto de permissões de acesso. Essas serão as suas PI identities. Pode-se ter o número de categorias desejado. Normalmente, as instalações PI iniciam em um dos seguintes modelos básicos:

• Modelo de duas categorias: operadores/administradores

Os usuários PI Data Archive estão divididos em duas categorias, chamadas neste documento deoperadores e administradores. A categoria de operador tem acesso de somente leitura a todos os recursos do PI Data Archive. A categoria de administrador tem acesso de leitura/ gravação a todos os recursos do PI Data Archive.

• Modelo de três categorias: operadores/administradores/administradoresdeTI

Este modelo adiciona uma terceira categoria que será chamada de Administradores de TI. A categoria de administradores de TI tem acesso de leitura/gravação a apenas um

subconjunto de recursos do servidor PI Data Archive. Esse modelo permite que

administradores de TI recebam permissões de acesso separadas a algumas tarefas, como backups.

• Modelo de quatro categorias: operadores/administradores/administradoresdeTI/ engenheiros

Neste modelo, a categoria de engenheiros é adicionada. A categoria de engenheiros recebe acesso de leitura/gravação ao banco de dados do ponto e ao banco de dados do módulo, permitindo a criação e o apagamento de módulos e pontos. No entanto, a categoria de engenheiros não recebe permissões para tarefas administrativas, como gerenciamento de identidades, usuários e grupos.

Esses modelos de categoria são apresentados como exemplos. Podem-se ajustá-las para atender às necessidades do usuário ou usar a estratégia deles. Em alguns casos, talvez um nível maior de granulidade nessas permissões de acesso seja necessário. Por exemplo, diferentes categorias de usuários podem precisar ler, gravar ou configurar diferentes pontos.

Criar PI identities

Após a identificação das categorias de usuários, será necessário designar uma PI identity ou um PI group para cada categoria. É possível criar suas próprias PI identities ou usar PI identities e PI groups incorporados inclusos na instalação do PI Data Archive.

A maioria delas são PI identities de exemplo, não configuradas com permissões de acesso. No entanto, o grupo piadmins está pré-configurado com acesso de leitura/gravação para todos os recursos PI Data Archive. Usar o piadmins para a principal categoria de administrador pode reduzir o tempo de configuração.

O exemplo a seguir mostra como é possível usar as PI identities incorporadas para as quatro categorias de usuário descritas em Identificar categorias de acesso do usuário.

• Usuários:

Usar o PI group incorporado chamado piusers. Esse grupo não tem permissões de acesso pré-configuradas, por isso, será necessário defini-las manualmente. Como atalho, é possível usar as permissões de acesso do PIWorld em vez de configurar explicitamente as

Usar a PI identity incorporada chamado PIEngineers. Essa PI identity não tem permissões de acesso pré-configuradas, por isso, será necessário defini-las manualmente.

• Administradores:

Usar a PI identity incorporada chamada piadmins. Por padrão, essa identidade tem acesso de leitura/gravação para todos os recursos PI Data Archive. É possível ajustar essas permissões de acesso, conforme necessário.

• Administradores de TI:

Criar uma PI identity chamada ITAdmins. É necessário definir as permissões de acesso manualmente.

A criação de PI identities é apenas a primeira etapa. Também é necessário:

• Mapear cada grupo AD à PI identity apropriada(Mapear grupos AD para PI identities). • Configurar as permissões de acesso para cada PI identity (Configurar permissões de acesso).

Criar uma PI identity

Ao criar uma nova identidade, o nome da identidade é necessário. Observe as seguintes restrições sobre os nomes da identidade:

• O nome deve ser exclusivo.

• O nome não pode conter o caractere de barra vertical (|) ou de dois-pontos (:).

• O nome não pode ser um número inteiro positivo, apesar de poder conter números. Por exemplo, o nome 407 não é válido, mas o nome Admins407 é válido.

• O nome não é sensível a maiúsculas e minúsculas. Procedimento

1. Em Coletivos e Servidores, selecione um servidor.

2. Em System Management Tools, selecione Security > Identities, Users, & Groups >

Identities, Users, & Groups. 3. Selecione a guia PI Identities.

4. Clique no botão Nova identidade para abrir a caixa de diálogo Nova identidade, em que

você pode criar e configurar uma nova PI identity. 5. Em Identity, digite um nome para a nova identidade.

Esse campo é obrigatório. Se for tentado criar uma identidade com nome inválido, uma mensagem de erro será exibida e a identidade não será criada. Observe que é possível alterar um nome de identidade a qualquer momento após a sua criação.

6. Selecione o servidor apropriado da lista suspensa Server.

Esta lista é preenchida com os servidores selecionados em Coletivos e Servidores. Somente

as versões 3.4.380 e posteriores do PI Data Archive aparecem na lista; as versões anteriores não têm suporte para PI identities.

7. Opcional: insira uma breve descrição em Description.

8. Na parte inferior da caixa de diálogo, marque a caixa de seleção Identidade não pode ser excluída.

Isso evita que a identidade seja acidentalmente excluída. Neste caso, para excluir essa identidade, primeiro, é necessário editá-la e desmarcar a caixa de seleção.

Revisar a configuração AD

Na maioria dos casos, é possível usar os grupos AD existentes, mas não é necessário realizar nenhuma configuração AD. Trabalhe com o administrador de domínio do Windows para revisar os grupos existentes e fazer todos os ajustes necessários.

Nota:

Embora o servidor PI Data Archive possa usar a autenticação AD, ele não usa as permissões de acesso do Windows para determinar os níveis de acesso do servidor PI Data Archive. Você ainda tem de definir permissões de acesso explicitamente no servidor PI Data Archive.

Siga estas diretrizes:

• Certifique-se de ter os grupos AD apropriados para cada tipo de usuário PI Data Archive. Para cada PI identity, o ideal é ter um único grupo AD correspondente. Os usuários que pertencem a mais de um grupo AD recebem as permissões de acesso cumulativas a todas as PI identities associadas.

• Revise suas associações de grupos do AD para se certificar de que todos os usuários do Windows tenham as permissões PI Data Archive apropriadas (Permissões de acesso do PI Data Archive e AD).

• Estabeleça uma convenção de nome para PI identities e/ou grupos AD para que fique claro qual grupo está sendo mapeado para qual identidade. Com o tempo, você poderá controlar o acesso do usuário ao servidor PI Data Archive simplesmente editando as associações de grupo no AD ou Windows

Assim que você tiver um conjunto de trabalho de grupos AD, você está pronto para mapear grupos AD para PI identities.

Nota:

Se seus grupos AD atuais não são suficientes e você não consegue obter suporte do seu administrador do AD, use uma solução simples: crie grupos locais do Windows em seu servidor PI Data Archive e, em seguida, coloque os grupos AD existentes dentro dos grupos locais.

Permissões de acesso do PI Data Archive e AD

Cada permissão de acesso do usuário é determinada pelas PI identities às quais o usuário está associado. Os grupos AD são mapeados para as PI identities. Os usuários do Windows que pertencem a esse grupo recebem permissões de acesso para essa PI identity.

Veja as necessidades de acesso para todos os usuários do Windows. A quais grupos AD o usuário pertence? Para quais PI identities esses grupos estão mapeados? Os usuários que pertencem a mais de um grupo AD recebem as permissões de acesso cumulativas a todas as PI identities associadas. Por exemplo, na ilustração a seguir, o usuário do Windows, Bob, pertence a ambos os grupos AD. Portanto, Bob recebe as permissões configuradas para PI Identity1 e

permissões configuradas para PI Identity2.

Da mesma forma, os usuários recebem as permissões de acesso cumulativas a todos os grupos AD pai (para grupos AD aninhados). Por exemplo, na ilustração a seguir, o usuário do

Windows, Bob, pertence ao ADGroup2. Como o ADGroup2 está aninhado dentro do ADGroup1,

os usuários no ADGroup2 recebem todas as permissões de acesso do ADGroup1, bem como as

permissões do ADGroup2.

Nota:

Apesar de ser possível mapear usuários AD individuais nas PI identities, essa não é uma prática recomendada. Mapeamentos baseados em usuários AD impedirão você de gerenciar seu acesso de segurança ao PI Data Archive manipulando as associações em grupo.

Mapear grupos AD para PI identities

Assim que você tiver as PI identities e grupos do AD necessários, você precisará mapear cada grupo do AD para uma PI identity. O mapeamento associa a o grupo AD à PI identity

especificada. O servidor PI Data Archive autenticará automaticamente os membros desse grupo AD como a PI identity especificada.

Procedimento 1. Abra o PI SMT.

2. Em Coletivos e Servidores, selecione o servidor.

3. Em Ferramentas de Gerenciamento do Sistema, selecione Segurança > Identidades, Usuários & Grupos.

4. Selecione a guia PI Identities.

5. Selecione a PI identity a ser mapeada.

6. Na barra de ferramentas, clique no botão Propriedades .

A caixa de diálogo Propriedades é aberta.

7. Na caixa de diálogo Propriedades, clique na guia Mapeamentos e Trusts.

A parte superior da caixa de diálogo mostra todos os mapeamentos existentes para a PI Identity. A parte inferior mostra todos os PI Trusts existentes para esta PI Identity. 8. Clique no botão Adicionar na parte de mapeamentos da caixa de diálogo.

Há também um botão Adicionar na parte de trusts, então, certifique-se de clicar no botão

correto.

Nota:

O botão Adicionar será desativado se a PI Identity estiver marcada como desativada ou

não puder ser usada em um mapeamento.

A caixa de diálogo Adicionar Novo Mapeamento é aberta. 9. Insira a conta do Windows.

Ela pode ser um grupo ou usuário principal do AD ou local do Windows. Para selecionar a conta:

◦ Clique no botão do navegador para ir até a conta.

◦ Digite o nome da conta. Se você escolher digitar o nome da conta, clique no botão resolução de SID para verificar se é uma conta válida. Se a conta for válida, um SID será exibido no campo. Caso contrário, uma caixa de diálogo com uma mensagem de erro será aberta.

Consulte Especificando usuários e grupos AD para obter mais informações.

Especificando usuários e grupos AD

Para especificar explicitamente um AD principal, é possível usar:

• Nome de conta totalmente qualificado: domain_name\principal_name

• Nome de DNS totalmente qualificado: my_domain.com\principal_name

• Nome principal do usuário (UPN): principal_name@my_domain.com

• SID: S-1-5-21-nnnnnnnnnn-…-nnnn Nota:

Para usuários ou grupos locais do Windows, podem-se usar apenas formatos SID ou nome da conta totalmente qualificado (nome_do_computador\nome_principal).

Para encontrar o identificador de segurança (SID) ou verificar a validade de um domínio principal, use o utilitário psgetsid. Esse utilitário é parte de um conjunto de ferramentas de linha de comando chamada PsTools, disponível no site da Microsoft TechNet. Se você executar o utilitário do servidor PI Data Archive, o SID que o utilitário psgetsid tem garantia de ser válido para o mapeamento.

Por exemplo, após instalar o utilitário, você poderia digitar o seguinte de uma janela de comando no servidor PI Data Archive:

psgetsid.exe domain\somegroup

O utilitário psgetsid retorna algo parecido com:

PsGetSid v1.43 - Translates SIDs to names and vice versa Copyright (C) 1999-2006 Mark Russinovich

Sysinternals - www.sysinternals.com SID for domain\somegroup:

S-1-5-21-1234567890-1234567890-1234567890-4321

Configurar permissões de acesso

Uma vez definidos os mapeamentos entre os grupos AD e PI identities, configure as permissões de acesso para que cada PI identity seja autorizada a realizar as tarefas apropriadas no

servidor PI Data Archive. Nesta seção

• Sobre as permissões de acesso no servidor PI Data Archive

• Como configurar as permissões de acesso

Sobre as permissões de acesso no servidor PI Data Archive

O servidor PI Data Archive tem uma variedade de recursos para os quais é possível controlar o acesso. Entre esses recursos estão pontos, módulos, configurações de archive, backups, bateladas, trilhas de auditoria etc. Nós nos referimos aos recursos PI para os quais é possível definir permissões de acesso como objetos seguros.

Cada objeto protegido pode ser configurado para ter permissões de acesso em um número ilimitado de PI identities, conforme mostrado na ilustração.

O servidor PI Data Archive armazena as configurações de cada objeto em uma lista de controle

de acesso (ACL). Cada objeto seguro no PI Data Archive tem uma ACL que define as permissões

de acesso desse objeto. (As tags têm duas ACLs: uma para os dados de tag e uma para a configuração da tag.) A ACL contém uma entrada para cada identidade (ou usuário ou grupo) para a qual as permissões de acesso são definidas nesse objeto. A ACL para os dados

TEST_POINT na figura anterior deve parecer com:

Identity1:A(r,w) | Identity2:A(r,w) | Identity3:A(r) | IdentityN:A(r,w)

As permissões de acesso de cada PI identity são separadas por um símbolo de barra vertical (|). Cada entrada é chamada de entrada de controle de acesso (ACE) e consiste no nome da PI identity, em seguida, dois pontos (:) seguidos pelos privilégios de acesso, que são definidos no

formato: A(r,w). A A nessa notação significa Allow (Permitir) e "r,w" indica os privilégios de acesso permitidos — leitura e gravação, neste exemplo.

Os possíveis tipos de privilégios de acesso são leitura e gravação. As possíveis combinações exclusivas de privilégio são "r" de leitura apenas, "w" gravação apenas, "r,w" de leitura e gravação e "" (vazio) para nenhuma opção.

Nota:

Diferente do Windows, o servidor PI Data Archive não permite que você negue privilégios de acesso explicitamente.

Permissões de acesso: configuração padrão

O servidor PI Data Archive tem uma identidade, um usuário e um grupo que vêm pré-configurados com permissões de acesso:

• A identidade PIWorld identity tem apenas acesso de leitura à maioria dos recursos PI. Se a identidade PIWorld não estiver desabilitada, então, todos os usuários autenticados têm, pelo menos, acesso PIWorld.

• Para novas instalações, o grupo piadmins tem acesso de leitura/gravação para todos os recursos PI Data Archive. Nos servidores PI Data Archive atualizados de uma versão anterior, o grupo piadmins não tem permissões de acesso pré-configuradas.

• O usuário piadmin é a conta de superusuário. Ele tem acesso garantido de leitura/gravação a todos os recursos PI Data Archive, independentemente das configurações de segurança. O servidor PI Data Archive também inclui as identidades PI Operators, PI Engineers e PI Supervisors. Essas identidades de amostra não têm permissões de acesso pré-configuradas, então, elas realmente não fazem nada. No entanto, é possível usá-las como ponto de partida. Essas PI identities de amostra são completamente configuráveis e podem ser excluídas.

Como configurar as permissões de acesso

As etapas básicas para configurar permissões de acesso nas novas instalações PI Data Archive são as seguintes:

• Definir as permissões de acesso padrão para novos pontos e módulos. Depois que isso é feito, todos os pontos e módulos criados terão automaticamente essas configurações padrão. Consulte Acesso padrão aos novos pontos e módulos

• Defina permissões de acesso de nível elevado na ferramenta de segurança do banco de dados PI SMT. Entre elas estão permissões para configurar archives, visualizar a trilha de auditoria, alterar os parâmetros de ajuste, executar backups e assim por diante. Consulte

Definir permissões na ferramenta Database Security.

• Configure permissões de acesso para pontos e módulos individuais editando os próprios objetos. A instalação PI Data Archive inclui ferramentas para fazer isso. Consulte Definir permissões em pontos e módulos específicos.

Nesta seção

• Acesso padrão aos novos pontos e módulos

• Definir permissões na ferramenta Database Security

• Definir permissões em pontos e módulos específicos

Acesso padrão aos novos pontos e módulos

É possível definir permissões de acesso padrão para pontos e módulos. Ao criar um novo ponto ou módulo sem permissões explícitas de acesso a configurações, o ponto ou módulo terá as permissões de acesso padrão.

• As permissões de acesso padrão para todos os novos pontos (dados de pontos e

configuração de ponto) correspondem às permissões de acesso ao banco de dados do ponto (PIPOINT). As permissões para PIPOINT podem ser definidas na ferramenta Database Security.

• Da mesma forma, as permissões de acesso padrão para módulos raiz correspondem às permissões de acesso para o Module database (PIModules). As permissões para PIModules podem ser definidas na ferramenta Database Security. Novos módulos abaixo do nível raiz são herdados de seus pais.

Definir permissões na ferramenta Database Security

A ferramenta de segurança de banco de dados controla o acesso à maioria dos recursos do PI Data Archive. A exceção é que as permissões para tags e módulos específicos são configuradas nos próprios objetos.

Para obter uma lista completa de tarefas PI Data Archive e permissões de acesso associadas, consulte Referências de permissões de acesso baseadas em tarefas.

Procedimento 1. Abra o PI SMT.

2. Em Coletivos e Servidores, selecione o servidor.

3. Em Ferramentas de gerenciamento do sistema, selecione Segurança > Segurança de banco de dados.

A ferramenta Database Security aparece.

4. Clique duas vezes na tabela na qual deseja-se configurar o acesso (veja abaixo). A caixa de diálogo Properties é aberta.

5. Selecione a PI identity, o PI user ou o PI group para o qual deseja-se modificar as permissões de acesso.

Se o PI identity, usuário ou grupo não aparecer na lista, clique no botão Adicionar para

adicionar.

6. Marque as caixas apropriadas para atribuir acesso de leitura e/ou gravação à PI identity.

Definir permissões em pontos e módulos específicos

Você configura permissões de acesso para pontos e módulos individuais editando os próprios objetos. A instalação PI Data Archive inclui ferramentas para editar esses objetos. Todas essas ferramentas podem ser acessadas pelo PI System Management Tools (SMT). Algumas delas podem ser localizadas em Ferramentas de gerenciamento do sistema e outras podem ser

localizadas no menu Ferramentas.

Para controlar o acesso em: Use:

Ponto Point Builder (ferramenta PI SMT) ou PI Builder

Para controlar o acesso em: Use:

Módulo Ferramenta Banco de dados do módulo

(Ferramenta PI SMT) ou Module Database Builder (acessar do menu Ferramentas PI SMT )

PIUnit Ferramenta Banco de dados do módulo

(Ferramenta PI SMT) ou Module Database Builder (acessar do menu Ferramentas PI SMT )

Tarefas administrativas Ferramenta Database Security (ferramenta PI SMT)

Para obter informações sobre quais privilégios de acesso são necessários para tarefas específicas, consulte Revisar as permissões de acesso.

Controle de acesso para tarefas administrativas básicas do PI Data Archive

A tabela a seguir lista algumas tarefas administrativas básicas do PI Data Archive e informa quais tabelas na ferramenta Database Security controlam o acesso a essas tarefas.

Tarefa administrativa Tabela que controla a tarefa

Gerenciar archives PIARCADMIN (tarefas de administração de archive básicas: criação, registro e troca de archive) e PIARCDATA (dados do archive não específicos à tag; tarefas de solução de problemas de archive)

Gerenciar backups PIBACKUP

Gerenciar identidades, usuários e grupos PIUSER

Gerenciar mapeamentos PIMAPPING

Gerenciar trusts PITRUST

Gerenciar auditoria PIAUDIT

Criando/excluindo pontos PIPOINT

Criando/excluindo módulos PIModules

Editando a tabela de segurança do banco de dados PIDBSEC Gerenciar a tabela de firewall, ajustando

parâmetros

PITUNING

Gerenciar logs de mensagens PIMSGSS

Gerenciando coletivos do PI Data Archive PIReplication, PIBACKUP

Outras configurações de segurança

Se não houver acesso ao AD ou se o acesso for de alguma forma limitado, as seguintes opções estarão disponíveis para autenticação da configuração:

• Use a segurança local do Windows: é possível usar a segurança local do Windows para autenticação, em vez do AD. São duas as desvantagens em fazer isso:

◦ A segurança local do Windows usa o NTLM para autenticação, que não é tão segura quanto o Kerberos (o AD usa Kerberos).

◦ É necessária configuração extra. As contas de usuário do Windows no servidor PI Data Archive devem corresponder exatamente às contas em cada estação de trabalho cliente. Caso tenha muitas estações de trabalho cliente com muitos usuários, então, talvez a

No entanto, a autenticação usando a segurança local do Windows ainda é mais segura que a autenticação usando as contas PI trust e usuário PI. Consulte Usar segurança local do Windows.

• Use uma combinação de segurança local do Windows e AD: se desejar usar o AD para autenticação, mas não puder configurar os grupos AD para atender todas as necessidades, use esta solução. Podem-se usar grupos locais do Windows para organizar os usuários AD. Então, podem-se mapear os grupos locais nas PI identities. Consulte Usar segurança local do Windows com AD.

• Use uma autenticação por senha PI: caso não seja possível usar a segurança local do Windows ou AD para autenticação, apenas dois métodos de autenticação estão disponíveis:PI Data Archive contas de usuário/senhas e PI trusts. Normalmente, a

autenticação do usuário é configurada pelas contas PI user. Use os PI groups para agrupar os usuários de forma que não seja preciso definir as permissões de acesso para os usuários individuais. Consulte Usar PI users e PI groups.

Nesta seção

• Usar segurança local do Windows

• Usar segurança local do Windows com AD

• Usar PI users e PI groups

Usar segurança local do Windows

É possível usar a segurança local do Windows para conceder acesso ao servidor PI Data Archive e a seus recursos, caso o AD não esteja disponível. Usar a segurança local do Windows requer manutenção significativa. Os nomes da conta e senhas devem ser idênticos no servidor PI Data Archive e todos com computadores cliente. Quando uma senha for trocada ou um usuário for adicionado ou excluído, deve-se fazer essa alteração no servidor PI Data Archive e em todos os computadores cliente participantes (esse é, na verdade, um requisito do

Windows).

Nota:

Se o servidor PI Data Archive for parte de um coletivo PI Data Archive, consulte

Segurança para PI Data Archive coletivos antes de usar grupos locais do Windows. Procedimento

1. Identificar categorias de acesso do usuário.

Identifique os usuários que precisam de acesso ao servidor PI Data Archive. Entenda a função deles e os tipos de acesso de que precisam. Por exemplo: quem precisa de permissão para criar tags? Quem deve ter permissão para editar módulos? Quem realizará os backups PI Data Archive? Consulte Identificar categorias de acesso do usuário.

2. Crie PI identities.

No servidor PI Data Archive, crie PI identities para pessoas com necessidades de acesso semelhantes. Consulte Criar uma PI identity.

3. Configure grupos locais do Windows.

No Windows, identifique os grupos do Windows que representem as funções PI Data Archive. Consulte Configurar grupos do Windows.

4. Mapeie grupos do Windows para PI identities. Consulte Criar mapeamentos.

Dê às suas PI identities acesso aos recursos necessários do PI Data Archive. Essas

permissões de acesso especificam quais tarefas cada PI identity pode realizar no servidor PI Data Archive. Consulte Configurar permissões de acesso.

6. Configure o acesso aos aplicativos cliente .

Os aplicativos cliente normalmente de conectam ao PI Data Archive usando PI SDK. O SDK 1.3.6 ou posterior é necessário para usar a autenticação do Windows. Certos aplicativos Ferramenta cliente do PI necessitam de uma conexão a um servidor de aplicativo separado, além do servidor PI Data Archive (por exemplo, PI DLES e PI WebParts). Esses tipos de aplicativos requerem etapas adicionais de configuração. Consulte Como o PI Data Archive 3.4.380 afetará os clientes e as interfaces? para obter mais informações.

7. Configure o acesso às interfaces.

É necessário configurar os trusts para interfaces que se conectarão ao servidor PI Data Archive. Cada trust é baseado em uma PI identity. Consulte Configurar as conexões da interface PI.

O que Fazer Depois

Há várias coisas que podem ser feitas para fornecer segurança extra ao servidor PI Data Archive. Consulte Estreitando a segurança para obter sugestões e instruções.

Nesta seção

• Configurar grupos do Windows

• Criar mapeamentos

Configurar grupos do Windows

Use grupos do Windows para autenticação do PI Data Archive. Procedimento

1. Configure as contas de usuários nas estações de trabalho de servidor e cliente.

Para utilizar usuários e grupos do Windows, as contas de usuário do Windows no servidor PI Data Archive devem corresponder exatamente às contas em cada estação de trabalho cliente. Os nomes e senhas da conta devem ser idênticos.

2. Configure os grupos do Windows e as PI identities para que haja uma relação um para um entre eles,

Siga estas diretrizes:

◦ Mapeie cada grupo do Windows para uma PI identity.

◦ Estabeleça uma convenção de nome para PI identities e/ou grupos do Windows para que fique claro qual grupo está sendo mapeado para qual identidade.

◦ Gerencie as associações de grupo usando o Windows. Observe que não é possível aninhar grupos do Windows, da mesma forma que os grupos AD.

3. Revise seus grupos do Windows para se certificar de que todos os usuários do Windows tenham as permissões PI Data Archive apropriadas.

(Consulte Gerenciando as permissões de acesso de usuários com grupos do Windows).

Gerenciando as permissões de acesso de usuários com grupos do Windows

usuários do Windows que pertencem a esse grupo do Windows recebem permissões de acesso para essa PI identity.

Os usuários do Windows que pertencem a mais de um grupo do Windows recebem as permissões de acesso cumulativas a todas as PI identities associadas. Por exemplo, na

ilustração a seguir, o usuário do Windows, Bob, pertence a ambos os grupos do Windows. Bob, portanto, recebe as permissões configuradas para PI Identity1 e PI Identity2.

Veja as necessidades de acesso para todos os usuários do Windows. A quais grupos do Windows os usuários pertencem? Para quais PI identities esses grupos do Windows estão mapeados? Certifique-se de que cada usuário do Windows pertença aos grupos apropriados do Windows.

Criar mapeamentos

Assim que você tiver as PI identities e grupos do Windows necessários, você precisará mapear cada grupo do Windows para uma PI identity. O mapeamento associa a PI identity especificada com o grupo especificado do Windows. Os membros de todos os grupos do Windows serão autenticados automaticamente no servidor PI Data Archive, conforme a PI identity

especificada. Procedimento 1. Abra o PI SMT.

2. Em Coletivos e Servidores, selecione o servidor.

3. Em Ferramentas de Gerenciamento do Sistema, selecione Segurança > Identidades, Usuários & Grupos.

4. Selecione a guia PI Identities.

Caso não veja a guia PI Identities, verifique se você está conectado a um servidor PI Data

Archive versão 3.4.380 ou superior. Essa guia não aparece no PI SMT com versões antigas do servidor PI Data Archive.

5. Clique duas vezes na identidade para abrir a caixa de diálogo Propriedades. 6. Clique na guia Mappings e Trusts.

A parte superior da caixa de diálogo mostra todos os mapeamentos existentes para a PI Identity. A parte inferior mostra todos os PI Trusts existentes para esta PI Identity.

7. Clique no botão Adicionar na parte de mapeamento da caixa de diálogo para abrir a caixa de