Skip to main content

Scheda: Diritti di accesso

Raccomandazioni per la protezione dei dati

Al fine di ridurre al minimo il rischio di violazioni della sicurezza dei dati, consigliamo le seguenti azioni organizzative e tecniche per il sistema su cui sono in esecuzione le applicazioni. Quando possibile, evitare di esporre il PLC e le reti di controllo a reti aperte e Internet. Utilizzare livelli di collegamento dati aggiuntivi per la protezione, ad esempio VPN per l'accesso remoto, e installare meccanismi firewall. Limitare l'accesso alle sole persone autorizzate e modificare le password predefinite esistenti durante la messa in servizio iniziale e modificarle regolarmente.

Importante

Informazioni dettagliate sul concetto e sull'utilizzo della gestione degli utenti del dispositivo sono fornite nel Gestione della gestione degli utenti del dispositivo capitolo.

Lì troverai anche le seguenti istruzioni su come utilizzare l'editor:

  • Accesso per la prima volta al controller per la modifica e la visualizzazione della gestione degli utenti

  • Configurazione di un nuovo utente nella gestione utenti del controller

  • Modifica dei diritti di accesso agli oggetti del controller nella gestione utenti del controller

  • Caricare la gestione utenti da un file *.dum, modificarlo e scaricarlo nel controller in modalità offline

In questa scheda si definiscono i diritti di accesso degli utenti del dispositivo agli oggetti sul controller. Come nella gestione utenti del progetto, gli utenti devono essere membri di almeno un gruppo di utenti e solo i gruppi di utenti possono avere determinati diritti di accesso.

. Requisiti per il Diritti di accesso scheda da visualizzare:

  • ILScheda "Mostra diritti di accesso".l'opzione deve essere selezionata in CODESYSopzioni dentro Editor del dispositivo categoria.

    Nota che questo CODESYS opzione può essere sovrascritta dalla descrizione del dispositivo.

. Requisiti per i diritti di accesso da concedere ai gruppi di utenti

  • Sul controller deve essere disponibile un componente per la gestione degli utenti. Questo è il requisito principale.

  • Gli utenti e i gruppi di utenti devono essere configurati su Utente e gruppi scheda.

Barra degli strumenti della scheda

rdncy_icon_update_framed.png Sincronizzazione

Attiva e disattiva la sincronizzazione tra l'editor e la gestione utenti sul dispositivo.

Se il pulsante non viene "premuto", l'editor è vuoto o contiene una configurazione caricata dal disco rigido.

Quando si abilita la sincronizzazione mentre l'editor contiene una configurazione utente che non è ancora sincronizzata con il dispositivo, viene richiesto cosa dovrebbe accadere al contenuto dell'editor. Opzioni:

  • Carica dal dispositivo e sovrascrivi il contenuto dell'editor: La configurazione sul dispositivo viene caricata nell'editor, sovrascrivendo il contenuto corrente.

  • Scarica il contenuto dell'editor sul dispositivo e sovrascrivi lì la gestione degli utenti: La configurazione nell'editor viene trasferita al dispositivo e lì applicata.

_cds_icon_open_file_framed.png Importa da disco

  • Quando si fa clic sul pulsante sul Utenti e Gruppi scheda per importare a File di gestione degli utenti del dispositivo *.dum2, si apre la finestra di dialogo predefinita per la selezione di un file per selezionare un file di gestione utente del dispositivo dal disco rigido. Dopo aver selezionato il file, il Inserire la password si apre la finestra di dialogo. È necessario specificare la password assegnata durante l'esportazione del file. Quindi la gestione utenti è abilitata.

    Nota: prima della V3.5 SP16, il File di gestione degli utenti del dispositivo (*.dum) è stato utilizzato un tipo di file che non richiedeva alcuna crittografia.

  • Quando si fa clic sul pulsante sul Diritti di accesso scheda per importare a File di gestione dei diritti del dispositivo *.drm, si apre la finestra di dialogo predefinita per la selezione di un file per selezionare un file corrispondente dal disco rigido. La configurazione esistente nella finestra di dialogo viene sovrascritta dal file importato.

_cds_icon_save_to_disc_framed.png Esporta su disco

  • Quando si fa clic sul pulsante sul Utenti e Gruppi scheda, prima il Inserire la password si apre la finestra di dialogo per l'assegnazione di una password al file di gestione degli utenti del dispositivo. Nota: questa password deve essere ripetuta in seguito quando questo file viene importato per abilitare questa gestione utente sul controller.

    Dopo la chiusura della finestra di dialogo per l'assegnazione della password, si apre la finestra di dialogo predefinita per la selezione e l'importazione di una configurazione di gestione utenti dal disco rigido. In questo caso, il tipo di file è File di gestione degli utenti del dispositivo (*.dum2).

    Nota: prima della V3.5 SP16, il File di gestione degli utenti del dispositivo (*.dum) è stato utilizzato un tipo di file che non richiedeva alcuna crittografia.

  • Quando si fa clic sul pulsante sul Diritti di accesso scheda, il tipo di file è File di gestione dei diritti del dispositivo (*.drm). In questo caso, non è necessario assegnare una password per il file prima del salvataggio.

Utente del dispositivo

Nome utente dell'utente attualmente connesso al dispositivo

Tabella 51. Oggetti

Nella struttura ad albero sono elencati gli oggetti per i quali è possibile eseguire azioni in fase di esecuzione. Gli oggetti vengono assegnati ciascuno in base alla loro origine oggetto e parzialmente ordinati in gruppi di oggetti. Nel Diritti vista, è possibile configurare le opzioni di accesso per un gruppo di utenti a un oggetto selezionato.

. Origine oggetto (nodo radice)

  • Oggetti del file system → Dispositivo: In questi oggetti, le autorizzazioni possono essere concesse alle cartelle della directory di esecuzione corrente del controller.

  • Oggetti runtime → /: In questi oggetti vengono gestiti tutti gli oggetti che hanno accesso online nel controller e quindi devono controllare i permessi.

Una descrizione degli oggetti si trova nella Panoramica degli oggetti tavolo.

Gruppi di oggetti e oggetti (rientrati)

Esempio: Dispositivo con nodi figli Logger, PlcLogic, Impostazioni, Gestione utenti.



Tabella 52. Permessi

In generale, i sottooggetti ereditano i permessi dall'oggetto radice (Dispositivo o /). Ciò significa che se un'autorizzazione di un gruppo di utenti viene negata o concessa in modo esplicito a un oggetto padre, ciò influirà prima su tutti gli oggetti figlio.

La tabella si applica all'oggetto attualmente selezionato nell'albero. Per ogni gruppo di utenti mostra i diritti attualmente configurati per le possibili azioni su questo oggetto.

_cds_img_device_user_management_access_rights.png
. Possibili azioni sull'oggetto:

  • Aggiungi Rimuovi

  • Modificare

  • Visualizzazione

  • Eseguire

Quando si fa clic su un oggetto, una tabella sul lato destro mostra i diritti di accesso dei gruppi di utenti disponibili per l'oggetto selezionato.

Questo ti permette di vedere rapidamente:

  • Quali diritti di accesso vengono valutati da un oggetto

  • Quale gruppo di utenti ha quali diritti effettivi su quale oggetto

. Significati dei simboli

  • _cds_icon_grant.png: Diritto di accesso concesso esplicitamente

  • _cds_icon_deny.png: Diritto di accesso negato in modo esplicito

  • _cds_icon_grant_greyed.png: Diritto di accesso concesso tramite eredità

  • _cds_icon_deny_greyed.png: Diritto di accesso negato per eredità

  • _cds_icon_clear_permission.png: Il diritto di accesso non è stato concesso o negato in modo esplicito e nemmeno ereditato dall'oggetto padre. L'accesso non è possibile.

  • Nessun simbolo: sono selezionati più oggetti con diritti di accesso diversi.

Modificare l'autorizzazione facendo clic sul simbolo.



Esempio 510. Esempio

Il Logger oggetto sul Diritti di accesso tab è stato creato dal componente "Logger" e ne controlla i diritti di accesso. Si trova direttamente sotto il Dispositivo oggetto di esecuzione.

Gli eventuali diritti di accesso per questo oggetto possono essere concessi solo per il Visualizzazione azione.

_cds_img_dev_access_right_ex1.png

Inizialmente, ogni oggetto ha un accesso in lettura. Ciò significa che ogni utente può leggere il "Logger" di un controller. Se questo diritto di accesso deve essere negato per un singolo gruppo di utenti (Servizio nell'esempio), l'accesso in lettura all'oggetto logger deve essere negato in modo esplicito.

_cds_img_dev_access_right_ex2.png


Panoramica degli oggetti

Oggetti runtime → Dispositivo

Logger

L'accesso online al logger è di sola lettura. Pertanto, solo il Visualizzazione il diritto di accesso può essere concesso o negato qui.

PlcLogic

Tutte le applicazioni IEC vengono inserite qui automaticamente come oggetti secondari durante il download. Quando un'applicazione viene eliminata, viene rimossa automaticamente.

Ciò consente un controllo specifico dell'accesso online all'applicazione. I diritti di accesso possono essere assegnati centralmente a tutte le applicazioni in PlcLogic

Il Amministratore e Sviluppatore i gruppi di utenti hanno pieno accesso alle applicazioni IEC. Il Servizio e Guadare i gruppi di utenti hanno solo accesso in lettura (ad esempio per il monitoraggio di sola lettura dei valori).

La tabella seguente mostra quale azione è interessata in particolare quando viene concesso uno specifico diritto di accesso per un'applicazione IEC.

x : L'autorizzazione deve essere impostata in modo esplicito.

- : L'autorizzazione non è rilevante.

Applicazione

Operazione

Diritti di accesso

Aggiungi Rimuovi

Eseguire

Modificare

Visualizzazione

Login

-

-

-

x

Creare

x

-

-

-

Crea oggetto figlio

x

-

-

-

Eliminare

x

-

-

-

Scarica / modifica online

x

-

-

-

Crea applicazione di avvio

x

-

-

-

Leggi variabile

-

-

-

x

Scrivi variabile

-

-

x

x

Forza variabile

-

-

x

x

Imposta ed elimina punto di interruzione

-

x

x

-

Imposta istruzione successiva

-

x

x

-

Leggi lo stack di chiamate

-

-

-

x

Ciclo unico

-

x

-

-

Attivare il controllo del flusso

-

x

x

-

Inizio/Stop

-

x

-

-

Ripristina

-

x

-

-

Ripristina le variabili di conservazione

-

x

-

-

Salva le variabili di conservazione

-

-

-

x

PLCShell

Solo il Modificare l'autorizzazione viene valutata in questo momento. Ciò significa che solo quando il Modificare l'autorizzazione è stata concessa a un gruppo di utenti possono anche essere valutati i comandi della shell del PLC.

RemoteConnections

Ulteriori connessioni esterne al controller possono essere configurate sotto questo nodo. Attualmente, l'accesso al server OPCUA può essere configurato qui.

Settings

Si tratta dell'accesso online alle impostazioni di configurazione di un controller.

  • Security Settings: Per impostazione predefinita, l'accesso a Modificare delle impostazioni di sicurezza è concessa solo all'amministratore.

UserManagement

Questo è l'accesso online alla gestione degli utenti di un controllore. Per impostazione predefinita, l'accesso in lettura/scrittura è concesso solo all'amministratore.

Access_rights.png

  • Access Rights: Quando questo oggetto è selezionato, le autorizzazioni possono essere configurate sulla gestione delle autorizzazioni nel file Diritti Visualizza. Ciò significa che puoi configurare quale gruppo di utenti è autorizzato a leggere semplicemente la gestione delle autorizzazioni e quale gruppo di utenti è autorizzato a modificare anche la gestione delle autorizzazioni.

  • Groups: Viene creato automaticamente un oggetto separato per ciascun gruppo di utenti della gestione utenti del dispositivo e visualizzato di seguito Gruppi. Quando viene selezionato un oggetto gruppo utenti, è possibile configurare le autorizzazioni sul gruppo utenti. Ciò significa che è possibile configurare quale gruppo utenti è autorizzato a leggere o modificare il gruppo utenti (ad esempio, aggiungere nuovi utenti al gruppo utenti).

    Per impostazione predefinita, gli oggetti sono disponibili per i seguenti gruppi di utenti:

    • Administrator

    • Developer

    • Service

    • Watch

    Ciò consente di configurare gruppi di amministratori graduati o ristretti. Ad esempio, è possibile impostare un gruppo di amministratori della visualizzazione che può solo aggiungere utenti esistenti al gruppo utenti della visualizzazione, ma non può creare nuovi utenti o modificare le password degli utenti esistenti.

  • Users: Quando questo oggetto è selezionato, possono essere configurate le autorizzazioni del gruppo di utenti sugli utenti. Ciò significa che puoi configurare quale gruppo di utenti è autorizzato a leggere, modificare o aggiungere utenti (ad esempio, aggiungere nuovi utenti).

Per ulteriori informazioni, vedere: Gestione della gestione degli utenti del dispositivoGestione della gestione degli utenti del dispositivo

X509

Questo controlla l'accesso in linea ai certificati X.509. Si distinguono qui due tipi di accesso:

  • Leggere (Visualizzazione)

  • Scrivere (Modificare)

Ogni operazione è assegnata a uno di questi due diritti di accesso. Ogni operazione viene inserita come oggetto figlio sotto X509. Pertanto, l'accesso per operazione può ora essere ottimizzato ulteriormente.

Oggetti del file system → /

Tutte le cartelle dal percorso di esecuzione del controller sono inserite sotto "/" oggetto file system. Ciò consente di concedere diritti specifici a ciascuna cartella del file system.

In questa sezione: