Настройка авторизации

Авторизация в компоненте реализуется с помощью стороннего ПО. В текущей версии доступна интеграция с ПО Keycloak, Avanpost и BVS. Необходимо предватерительно осуществить настройки согласно разделам “Keycloak”, “FAM Avanpost” или “BVS”.

Для подключения авторизации, необходимо изменить параметры файла конфигурации проекта: /opt/skala-r/etc/vision/server/vision_core/config.yml:

  1. Сделайте копию файла конфигурации проекта:

    cp /opt/skala-r/etc/vision/server/vision_core/config.yml /opt/skala-r/etc/vision/server/vision_core/config.yml.bak

  2. Отредактируйте файл, например:

    nano /opt/skala-r/etc/vision/server/vision_core/config.yml

  3. В ключе “auth” необходимо указать:

    enabled         # установить значение true
auth_server     # URL Keycloak, например "https://192.168.1.1:8080"
admin_server    # URL для административного доступа в IAM. Для Keycloak и BVS это поле должно иметь то же значение что и поле auth_server, для Avanpost может использоваться URL отличный от auth_server
auth_type       # тип подключения, может принимать значения "keycloak" или "avanpost"
realm           # имя Realm.
client_id       # ID клиента в Realm.
client_secret   # значение является ключом из хранилища секретов. Не изменять.

    Также необходимо добавиль роли администраторов Визион, см. Руководство администратора .

    Пример секции авторизации для Keycloak:

    auth:
  enabled: true
  auth_server: https://192.168.1.1:8080
  admin_server: https://192.168.1.1:8080
  auth_type: keycloak
  realm: vision
  client_id: vision-core-client
  client_secret: vault.auth.client_secret

    Для авторизации через Аванпост следует указать в поле auth_type значение avanpost.

    Значение client_secret необходимо указать в хранилище секретов (п. 6).

  4. Сделайте копию файла хранилища секретов:

    cp /opt/skala-r/vision/.secrets_vault /opt/skala-r/vision/.secrets_vault.bak

  5. Откройте файл с хранилищем секретов (п.6.2).

  6. Для ключа vault.auth.client_secret установите значение Client secret из раздела Credentials клиента (см. Приложение “Настройка аутентификации через Keycloak” руководства администратора).

  7. Сохраните файл и перезапустите сервис vision_core.service:

    systemctl restart vision_core.service

  8. Проверьте статус службы vision_core командой:

    systemctl status vision_core.service

  9. Убедитесь, что в логе нет ошибок после перезапуска:

    journalctl -fu vision_core -n 20

  10. В браузере перейдите в веб-интерфейс Визиона, доступный по ссылке:

    https://<vision_ip>

    Здесь <vision_ip> — IP-адрес сервера Визион.

. Убедитесь, что была запрошена авторизация через Keycloak.