本主题说明如何配置和使用用户访问控制,这些访问控制管理每个用户可以在与其 Virtualize 桌面安装程序连接的 Virtualize 服务器上执行的操作。章节目录:
注意,本主题不涉及被测试应用程序(AUT)访问的虚拟资产或消息代理中的安全访问控件。 相关内容在使用消息代理和配置部署在 HTTPS 上的服务中已有涉及。
关于 Virtualize 服务器用户访问控制
用户访问控件允许控制每个用户可以在连接到其 Virtualize 桌面安装程序的 Virtualize 服务器上执行哪些操作。这允许您确定哪些用户可以查看、提供、创建、修改、删除和部署资产。例如,可以控制哪些用户可以启动和停止代理记录,修改和激活数据组和性能配置文件,创建和修改消息代理,使用 JDBC 控制器等。
身份验证
当用户访问控制生效时,用户必须在将远程 Virtualize 服务器添加到其 Virtualize 桌面端时提供凭据。一旦用户通过身份验证,它就只能执行指定角色所允许的操作。
角色
可用角色有管理员、系统和设置。这些角色配置在 CTP 中。它们还控制对 CTP 操作的访问。
总的来说:
- 未指定(即用户通过身份验证,但未通过 CTP 分配角色):用户可以查看和监控资产,但不能提供、创建、修改、删除或部署资产。这是只读访问。
- 设置:用户可以查看和监控资产以及设置资产(比如,修改代理配置、性能配置文件和数据组)。
- 系统和管理员:用户可以查看、监控、提供、创建、修改、删除和部署资产。这是完全访问。注意,所有这些角色在 Virtualize 桌面端授权了相同的权限;在 CTP 上,管理员角色提供了额外的权限(比如,创建并配置用户账户)。
关于每个角色所允许的操作的更多详细信息,请参阅Understanding Role-Based Permissions。
它是如何运作的:详细说明
无论何时将服务器配置为连接到 CTP 安装时,Virtualize 服务器用户访问控制都会生效。如果配置了这样一个连接,并且用户成功通过身份验证,则用户将授权合适的访问权限。如果配置了这样一个连接,但用户没有通过身份验证(比如,由于没有提供有效的凭据或 Virtualize-CTP 连接失败),则用户将不会被授予对 Virtualize 服务器的任何访问权限(甚至包括只读访问权限)。
如果在 CTP 中指定了任何资源限制,则同样的限制也适用于从 Virtualize 桌面端执行的操作。例如,假设 CTP 将特定的 Virtualize 服务器限制为只有一小部分用户。在本例中,只有可访问该 Virtualize 服务器的用户和角色为管理员或系统的用户将能够在该服务器上创建、修改、删除和部署资产。
如果 Virtualize 服务器没有配置为连接到 CTP,则所有用户都可以完全访问所有可用的操作和资产。
Virtualize 服务器缓存从 Virtualize 桌面接收的凭据的访问控制角色,其生命周期为一分钟。这意味着,如果角色/用户在 CTP 中进行了修改,则 Virtualize 服务器可能需要一分钟的时间来执行新的访问控制。同时,由于 Virtualize 桌面端上的缓存,Virtualize 桌面端可能需要一分钟的时间来更新访问控制标签,允许右键点击菜单选项,然后启用编辑器中的控件。
它是如何运作的:概要
| CTP (EM) | Virtualize 服务器 |
|---|---|
| Virtualize 服务器没有配置为连接到 EM | 完全访问 |
| 管理员角色 + EM 成功通过身份验证 | 完全访问 |
| 系统角色 + EM 成功通过身份验证 | 完全访问 |
| 设置角色 + EM 成功通过身份验证 | 只提供访问权限 |
| 没有分配角色 + EM 成功通过身份验证 | 只读访问权限 |
| 未经身份验证(EM 没有通过身份验证) | 没有访问权限 |
| 没有提供凭据 + Virtualize 服务器没有配置为连接到 EM | 没有访问权限 |
| Virtualize 服务器配置为连接到 EM,但是连接失败 | 没有访问权限 |
| EM 限制到 Virtualize 服务器的访问 | 仅根据所选用户的角色访问所选用户列表。所有其他经过身份验证的用户都对受限制的资源具有只读访问权限 |
| EM 没有限制到 Virtualize 服务器的访问 | [基于用户角色] |
从 9.5 或更早版本的 Virtualize 迁移
如果 9.5 或更早版本的 Virtualize 被配置为连接到 CTP,则升级到 Virtualize 9.6 或更新版本将导致在该服务器上启用用户访问控制。由于升级,对服务器的完全访问将受到限制。
若要恢复对升级后的 Virtualize 服务器的 Virtualize 桌面端访问:
- 请确保在 CTP 中配置了该服务器所需的角色和访问控件。
- 对于之前连接到 Virtualize 服务器的每个 Virtualize 桌面端,重新连接身份验证(双击 Virtualize 服务器视图中的现有远程服务器节点,指定有效的用户名/密码,然后保存服务器配置编辑器)
为 Virtualize 服务器配置用户访问控制
若要为 Virtualize 服务器配置用户访问控制:
前往首选项> CTP,将 Virtualize 服务器连接到 CTP。详情请参阅CTP 设置。
HTTPS 注意事项
如果通过 HTTPS 连接部署 CTP(推荐),则 Virtualize 服务器的 CTP 连接应该使用 HTTPS URL。这将确保 Virtualize 服务器将通过 SSL 安全地与 CTP 进行通信。
如果配置 CTP 的 SSL 证书不受 Virtualize 服务器信任(例如自签名的情况),则将需要配置 Virtualize 服务器以信任所有证书,或将该特殊 CTP 证书添加到 Virtualize 默认的 Java cacerts 文件中,并选择相应的选项。可在首选项 > 安全性设置(如安全性设置中所述)中进行配置。
- 如果还没有这样做,请使用 CTP 来配置用户帐户和权限。详情请参阅 CTP 用户指南。
使用用户访问控制
下面几节解释了 Virtualize 服务器用户访问控制如何影响 Virtualize 桌面端用户。
添加远程服务器
在添加远程服务器时,用户需要在添加服务器对话框中输入有效的用户名和密码。
如果您已配置授权 OpenID Connect(请参阅首选项中的 OpenID Connect)进行身份验证,则会出现相关声明,而不是用户名和密码字段。
HTTPS 注意事项
默认情况下,SSL 连接器(在端口 9443 上)使用默认的自签名证书启用,Virtualize 桌面端默认信任该证书。如果在远程服务器被添加到 Virtualize 桌面端时选择了 HTTPS 选项,则 Virtualize 桌面端将通过 SSL 安与 Virtualize 服务器进行通信。
如果使用用户提供的密钥库修改 Virtualize 服务器证书(通过编辑 server.xml,如为 Virtualize 服务器配置 SSL(HTTPS)中所述),则客户端证书(公共证书)应该添加到 Virtualize 桌面端安全首选项,如安全设置中所述。通过这种方式,Virtualize 桌面端将信任该服务器证书。否则,SSL 连接可能会失败,因为信任建立将失败。
此外,访问级别将在服务器配置页面中指定:
为现有服务器重新输入凭据
如果用户需要重新输入凭据(例如通过 CTP 修改了用户角色的情况),则可以在 Virtualize 服务器的身份验证选项卡中提供这些数据:
了解基于角色的权限
下表旨在帮助了解哪些功能与可用的角色相关联:
| 性能 | 完全访问权限 | 仅提供访问权限 | 只读访问权限 |
|---|---|---|---|
| 查看资产(虚拟资产、代理、文件) | X | X | X |
| 启动/停止监控 | X | X | X |
| 启用/禁用资产 | X | X | |
| 配置 JDBC 控制程序设置 | X | X | |
| 修改 Parasoft JDBC 驱动程序模式 | X | X | |
| 启动/停止录制 | X | X | |
| 修改活跃的数据组 | X | X | |
| 修改活跃的性能配置文件 | X | X | |
| 修改服务器配置面板中的设置(监控、服务器配置、连接等) | X | ||
| 刷新服务器 | X | ||
| 添加资产 | X | ||
| 删除资产 | X | ||
| 重新部署所有资产 | X |
