Skip to main content

Onglet : Droits d'accès

Recommandations pour la protection des données

Afin de minimiser le risque de violation de la sécurité des données, nous recommandons les actions organisationnelles et techniques suivantes pour le système sur lequel vos applications sont exécutées. Dans la mesure du possible, évitez d'exposer l'automate et les réseaux de contrôle aux réseaux ouverts et à Internet. Utilisez des couches de liaison de données supplémentaires pour la protection, comme le VPN pour l'accès à distance, et installez des mécanismes de pare-feu. Limitez l'accès aux seules personnes autorisées et modifiez tous les mots de passe par défaut existants lors de la première mise en service, et modifiez-les régulièrement.

Important

Des informations détaillées sur le concept et l'utilisation de la gestion des utilisateurs d'appareils sont fournies dans le Gestion de la gestion des utilisateurs des appareils chapitre.

Vous y trouverez également les instructions suivantes sur l'utilisation de l'éditeur :

  • Première connexion au contrôleur pour l'édition et la visualisation de sa gestion des utilisateurs

  • Créer un nouvel utilisateur dans la gestion des utilisateurs du contrôleur

  • Modification des droits d'accès aux objets du contrôleur dans la gestion des utilisateurs du contrôleur

  • Charger la gestion des utilisateurs à partir d'un fichier *.dum, le modifier et le télécharger dans le contrôleur en mode hors ligne

Dans cet onglet, vous définissez les droits d'accès des utilisateurs de l'appareil aux objets du contrôleur. Comme dans la gestion des utilisateurs du projet, les utilisateurs doivent être membres d'au moins un groupe d'utilisateurs et seuls les groupes d'utilisateurs peuvent se voir accorder certains droits d'accès.

. Exigences pour le Des droits d'accès onglet à afficher :

  • Le Onglet "Afficher les droits d'accès" l'option doit être sélectionnée dans le CODESYS options dans Éditeur d'appareils catégorie.

    Notez que cela CODESYS l'option peut être écrasée par la description de l'appareil.

. Conditions requises pour les droits d'accès à accorder aux groupes d'utilisateurs

  • Un composant pour la gestion des utilisateurs doit être disponible sur le contrôleur. C'est la principale exigence.

  • Les utilisateurs et les groupes d'utilisateurs doivent être configurés sur le Utilisateur et groupes languette.

Barre d'outils de l'onglet

rdncy_icon_update_framed.png Synchronisation

Active et désactive la synchronisation entre l'éditeur et la gestion des utilisateurs sur l'appareil.

Si le bouton n'est pas "enfoncé", alors l'éditeur est vide ou il contient une configuration que vous avez chargée depuis le disque dur.

Lorsque vous activez la synchronisation alors que l'éditeur contient une configuration utilisateur qui n'est pas encore synchronisée avec l'appareil, vous êtes invité à indiquer ce qui doit arriver au contenu de l'éditeur. Option :

  • Téléchargez depuis l'appareil et écrasez le contenu de l'éditeur: La configuration de l'appareil est chargée dans l'éditeur, écrasant le contenu actuel.

  • Téléchargez le contenu de l'éditeur sur l'appareil et écrasez-y la gestion des utilisateurs: La configuration dans l'éditeur est transférée à l'appareil et y est appliquée.

_cds_icon_open_file_framed.png Importer depuis le disque

  • Lorsque vous cliquez sur le bouton du Utilisateurs et groupes onglet pour importer un Fichier de gestion des utilisateurs de l'appareil *.dum2, la boîte de dialogue par défaut de sélection d'un fichier s'ouvre pour sélectionner un fichier de gestion des utilisateurs de l'appareil à partir du disque dur. Après avoir sélectionné le fichier, le Entrer le mot de passe la boîte de dialogue s'ouvre. Vous devez spécifier le mot de passe qui a été attribué lors de l'exportation du fichier. Ensuite, la gestion des utilisateurs est activée.

    Remarque : Avant V3.5 SP16, le Fichiers de gestion des utilisateurs de l'appareil (*.dum) type de fichier a été utilisé qui ne nécessitait aucun cryptage.

  • Lorsque vous cliquez sur le bouton du Des droits d'accès onglet pour importer un Fichier de gestion des droits de l'appareil *.drm, la boîte de dialogue par défaut de sélection d'un fichier s'ouvre pour sélectionner un fichier correspondant sur le disque dur. La configuration existante dans la boîte de dialogue est écrasée par le fichier importé.

_cds_icon_save_to_disc_framed.png Exporter sur disque

  • Lorsque vous cliquez sur le bouton du Utilisateurs et groupes onglet, d'abord le Entrer le mot de passe La boîte de dialogue s'ouvre pour attribuer un mot de passe au fichier de gestion des utilisateurs de l'appareil. Remarque : Ce mot de passe doit être répété ultérieurement lors de l'importation de ce fichier pour activer cette gestion des utilisateurs sur le contrôleur.

    Une fois la boîte de dialogue d'attribution du mot de passe fermée, la boîte de dialogue par défaut de sélection et d'importation d'une configuration de gestion des utilisateurs à partir du disque dur s'ouvre. Dans ce cas, le type de fichier est Fichiers de gestion des utilisateurs de l'appareil (*.dum2).

    Remarque : Avant V3.5 SP16, le Fichiers de gestion des utilisateurs de l'appareil (*.dum) type de fichier a été utilisé qui ne nécessitait aucun cryptage.

  • Lorsque vous cliquez sur le bouton du Des droits d'accès onglet, le type de fichier est Fichiers de gestion des droits des appareils (*.drm). Dans ce cas, il n'est pas nécessaire d'attribuer un mot de passe au fichier avant de l'enregistrer.

Utilisateur de l'appareil

Nom d'utilisateur de l'utilisateur actuellement connecté sur l'appareil

Tableau 51. Objets

Dans l'arborescence, sont listés les objets sur lesquels des actions peuvent être exécutées au moment de l'exécution. Les objets sont chacun affectés par leur source d'objet et partiellement triés en groupes d'objets. Dans le Droits vue, vous pouvez configurer les options d'accès d'un groupe d'utilisateurs à un objet sélectionné.

. Source d'objet (nœud racine)

  • Objets du système de fichiers → Périphérique: Dans ces objets, les permissions peuvent être accordées aux dossiers du répertoire d'exécution courant du contrôleur.

  • Objets d'exécution → /: Dans ces objets, tous les objets sont gérés qui ont un accès en ligne dans le contrôleur et doivent donc contrôler les autorisations.

Une description des objets se trouve dans le Aperçu des objets table.

Groupes d'objets et objets (indentés)

Exemple: Appareil avec des nœuds enfants Enregistreur, PlcLogic, Réglages, Gestion des utilisateurs.



Tableau 52. Autorisations

En général, les sous-objets héritent des autorisations de l'objet racine (Appareil ou /). Cela signifie que si une autorisation d'un groupe d'utilisateurs est refusée ou explicitement accordée à un objet parent, cela affecte d'abord tous les objets enfants.

Le tableau s'applique à l'objet actuellement sélectionné dans l'arborescence. Pour chaque groupe d'utilisateurs, il affiche les droits actuellement configurés pour les actions possibles sur cet objet.

_cds_img_device_user_management_access_rights.png
. Actions possibles sur l'objet :

  • Ajouter enlever

  • Modifier

  • Voir

  • Exécuter

Lorsqu'un objet est cliqué, un tableau sur le côté droit affiche les droits d'accès des groupes d'utilisateurs disponibles pour l'objet sélectionné.

Cela vous permet de voir rapidement :

  • Quels droits d'accès sont évalués par un objet

  • Quel groupe d'utilisateurs a quels droits effectifs sur quel objet

. Signification des symboles

  • _cds_icon_grant.png: Droit d'accès accordé explicitement

  • _cds_icon_deny.png: Droit d'accès refusé explicitement

  • _cds_icon_grant_greyed.png: Droit d'accès accordé par succession

  • _cds_icon_deny_greyed.png: Droit d'accès refusé par héritage

  • _cds_icon_clear_permission.png: Le droit d'accès n'a pas été accordé ou refusé explicitement et n'a pas non plus été hérité par l'objet parent. L'accès n'est pas possible.

  • Aucun symbole : Plusieurs objets sont sélectionnés avec des droits d'accès différents.

Modifiez l'autorisation en cliquant sur le symbole.



Exemple 510. Exemple

le Enregistreur objet sur le Des droits d'accès L'onglet a été créé par le composant "Logger" et contrôle ses droits d'accès. Il est situé directement sous le Appareil objet d'exécution.

Les droits d'accès éventuels pour cet objet ne peuvent être accordés que pour Voir action.

_cds_img_dev_access_right_ex1.png

Initialement, chaque objet dispose d'un accès en lecture. Cela signifie que chaque utilisateur peut lire le "Logger" d'un contrôleur. Si ce droit d'accès doit être refusé à un seul groupe d'utilisateurs (Service dans l'exemple), l'accès en lecture à l'objet logger doit être explicitement refusé.

_cds_img_dev_access_right_ex2.png


Aperçu des objets

Objets d'exécution → Appareil

Logger

L'accès en ligne à l'enregistreur est en lecture seule. Par conséquent, seul le Voir droit d'accès peut être accordé ou refusé ici.

PlcLogic

Toutes les applications CEI sont insérées ici automatiquement en tant qu'objets enfants lors du téléchargement. Lorsqu'une application est supprimée, elle est automatiquement supprimée.

Celui-ci permet un contrôle spécifique de l'accès en ligne à l'application. Les droits d'accès peuvent être attribués de manière centralisée pour toutes les applications du PlcLogique

le Administrateur et Développeur les groupes d'utilisateurs ont un accès complet aux applications IEC. le Service et Regardez les groupes d'utilisateurs n'ont qu'un accès en lecture (par exemple pour la surveillance en lecture seule des valeurs).

Le tableau suivant montre quelle action est affectée en particulier lorsqu'un droit d'accès spécifique est accordé pour une application CEI.

x : L'autorisation doit être définie explicitement.

- : L'autorisation n'est pas pertinente.

Application

Opération

Des droits d'accès

Ajouter enlever

Exécuter

Modifier

Voir

Connexion

-

-

-

x

Créer

x

-

-

-

Créer un objet enfant

x

-

-

-

Supprimer

x

-

-

-

Téléchargement / modification en ligne

x

-

-

-

Créer une application de démarrage

x

-

-

-

Lire la variable

-

-

-

x

Variable d'écriture

-

-

x

x

Forcer la variable

-

-

x

x

Définir et supprimer un point d'arrêt

-

x

x

-

Définir l'instruction suivante

-

x

x

-

Lire la pile d'appels

-

-

-

x

Cycle unique

-

x

-

-

Activer le contrôle de flux

-

x

x

-

Commencer arrêter

-

x

-

-

Réinitialiser

-

x

-

-

Restaurer les variables de conservation

-

x

-

-

Enregistrer les variables de conservation

-

-

-

x

PLCShell

Seulement le Modifier l'autorisation est évaluée à ce moment. Cela signifie que ce n'est que lorsque le Modifier l'autorisation a été accordée à un groupe d'utilisateurs, les commandes du shell API peuvent également être évaluées.

RemoteConnections

Des connexions externes supplémentaires au contrôleur peuvent être configurées sous ce nœud. Actuellement, l'accès au serveur OPCUA peut être configuré ici.

Settings

Il s'agit de l'accès en ligne aux paramètres de configuration d'un contrôleur.

  • Security Settings: Par défaut, accès à Modifier des paramètres de sécurité est accordée uniquement à l'administrateur.

UserManagement

Il s'agit de l'accès en ligne à la gestion des utilisateurs d'un contrôleur. Par défaut, l'accès en lecture/écriture est accordé uniquement à l'administrateur.

Access_rights.png

  • Access Rights: Lorsque cet objet est sélectionné, les permissions peuvent être configurées sur la gestion des permissions dans Droits voir. Cela signifie que vous pouvez configurer quel groupe d'utilisateurs est autorisé à lire simplement la gestion des autorisations, et quel groupe d'utilisateurs est également autorisé à modifier la gestion des autorisations.

  • Groups: Un objet distinct est automatiquement créé pour chaque groupe d'utilisateurs de la gestion des utilisateurs de l'appareil et affiché ci-dessous Groupes. Lorsqu'un objet groupe d'utilisateurs est sélectionné, les autorisations sur le groupe d'utilisateurs peuvent être configurées. Cela signifie que vous pouvez configurer quel groupe d'utilisateurs est autorisé à lire ou à modifier le groupe d'utilisateurs (par exemple, ajouter de nouveaux utilisateurs au groupe d'utilisateurs).

    Par défaut, les objets sont disponibles pour les groupes d'utilisateurs suivants :

    • Administrator

    • Developer

    • Service

    • Watch

    Cela permet de créer des groupes d'administrateurs gradués ou restreints. Par exemple, un groupe d'administrateurs de visualisation peut être configuré qui peut uniquement ajouter des utilisateurs existants au groupe d'utilisateurs de visualisation, mais ne peut pas créer de nouveaux utilisateurs ou modifier les mots de passe des utilisateurs existants.

  • Users: Lorsque cet objet est sélectionné, les permissions du groupe d'utilisateurs sur les utilisateurs peuvent être configurées. Cela signifie que vous pouvez configurer quel groupe d'utilisateurs est autorisé à lire, modifier ou ajouter des utilisateurs (par exemple, ajouter de nouveaux utilisateurs).

Pour plus d'informations, voir : Gestion de la gestion des utilisateurs des appareilsGestion de la gestion des utilisateurs de l'appareil

X509

Cela contrôle l'accès en ligne aux certificats X.509. On distingue ici deux types d'accès :

  • Lire (Voir)

  • Écrire (Modifier)

Chaque opération est affectée à l'un de ces deux droits d'accès. Chaque opération est insérée en tant qu'objet enfant sous X509. Par conséquent, l'accès par opération peut désormais être encore plus précis.

Objets du système de fichiers → /

Tous les dossiers du chemin d'exécution du contrôleur sont insérés sous le "/" objet du système de fichiers. Cela vous permet d'accorder des droits spécifiques à chaque dossier du système de fichiers.

Dans cette section​: