نقشهای حساب سرویس یک مدیریت امنیتی و هویتی کلیدی برای سیستم شما تشکیل میدهند و این امکان را برای شما فراهم میکنند که عملیاتهای مختلف را تنظیم کنید و دادههای مختلف را برای رانندگان، مصرفکنندگان و اپراتورهای ناوگان نمایش دهید.
حساب سرویس چیست؟
برای مدیریت دسترسی به دادههای خود در Fleet Engine برای برنامههای مشتری، حسابهای خدماتی را ارائه میکنید که فعالیت نرمافزار را با نقشی از پیش تعیینشده به جای احراز هویت کاربران از طریق مکانیزم هویت شخصیسازی شده، احراز هویت میکنند. کاربرانی که به دادههای سیستم شما دسترسی دارند، این کار را از طریق یک کلاینت انجام میدهند که از این نقش حساب استفاده میکند، که سپس مجوز را فقط به آن بخشهایی از سیستم شما محدود میکند که برای یک هدف خاص مناسب تلقی میشوند. این نوع محدودیت دامنه مبتنی بر مفهوم اصل حداقل امتیاز است.
برای توضیح کامل نقشهای حساب سرویس، به درک نقشهای IAM در اسناد Google Cloud مراجعه کنید.
نقشهای حساب سرویس با Fleet Engine چگونه کار میکنند؟
نقشهای IAM مجموعهای از مجوزها را در منابع مجاز برای یک اصل تعریف میکنند. به عنوان مثال، نقشهای Admin مجاز به انجام همه کارها با اعتبارنامه پیشفرض برنامه هستند، در حالی که نقش راننده غیرقابل اعتماد فقط مجاز است مکان خودرو را بهروزرسانی کند و محدود به استفاده از JWT برای احراز هویت و مجوز است.
برای محیطهای غیرقابل اعتماد، مانند تلفنهای همراه و مرورگرهای وب، ادعاهای JWT محدودیتهای اضافی را فقط برای آن دسته از نهادهایی که تماسگیرنده ممکن است روی آنها کار کند، ارائه میکند. اینها می توانند برای وسایل نقلیه، سفرها یا کارهای خاص باشند.
کد شما که در یک محیط کم اعتماد اجرا می شود، ابتدا باید کد شما را که در یک محیط قابل اعتماد اجرا می شود، فراخوانی کند، که JWT را صادر می کند.
Fleet Engine بررسیهای امنیتی زیر را در تماسهای API برای یک منبع انجام میدهد:
مدیر فراخوان دارای مجوزهای مناسب (از طریق تخصیص نقش) برای اقدام روی منبع است.
برای نقشهای غیر سرپرست، ادعاهای JWT که در درخواست ارسال میشوند، مجوز لازم را برای منبع فراهم میکنند.
برای اطلاعات بیشتر، JSON Web Tokens را ببینید.
نقش های حساب خدمات موتور ناوگان
بر اساس سرویس Mobility که انتخاب می کنید، نصب Fleet Engine شما از نقش ها و مجوزهایی استفاده می کند که به شرح زیر توضیح داده شده است.
سفرهای درخواستی
نقش | اجازه |
---|---|
مدیریت درخواستی موتور ناوگان | مجوز خواندن و نوشتن را برای همه منابع وسیله نقلیه و سفرها اعطا می کند. مدیران با این نقش نیازی به استفاده از JWT ندارند و در عوض باید از اعتبارنامه پیش فرض برنامه استفاده کنند. ادعاهای سفارشی JWT را نادیده می گیرد. این نقش باید به محیط های قابل اعتماد مانند سرور خود محدود شود. ممکن است برخی از کاربران Fleet Engine همچنان نقش Super User Service Engine Fleet را ببینند، اما اکنون منسوخ شده است. |
کاربر SDK درایور موتور ناوگان | مکان ها و مسیرهای خودرو را به روز کنید و اطلاعات مربوط به وسایل نقلیه و سفرها را بازیابی کنید. توکنها معمولاً از برنامههای درایور اشتراکگذاری یا تحویل استفاده میشوند. |
کاربر SDK مصرف کننده موتور ناوگان | وسایل نقلیه را جستجو کنید و اطلاعات مربوط به وسایل نقلیه و سفرها را بازیابی کنید. توکنها معمولاً از برنامههای مصرفکننده اشتراکگذاری یا تحویل استفاده میشوند. |
وظایف برنامه ریزی شده
نقش | اجازه |
---|---|
مدیر تحویل موتور ناوگان | مجوز خواندن و نوشتن برای منابع تحویل را اعطا می کند. مدیران با این نقش نیازی به استفاده از JWT ندارند و در عوض باید از اعتبارنامه پیش فرض برنامه استفاده کنند. ادعاهای سفارشی JWT نادیده گرفته می شوند. این نقش باید به محیط های قابل اعتماد مانند سرورهای خود محدود شود. |
Fleet Engine Delivery Fleet Reader | به خواندن وسایل نقلیه تحویلی و وظایف و جستجوی کارها با استفاده از شناسه ردیابی اجازه می دهد. توکن های صادر شده توسط یک حساب سرویس با این نقش معمولاً از مرورگر وب اپراتور ناوگان تحویل استفاده می شود. |
کاربر راننده غیرقابل اعتماد تحویل موتور ناوگان | اجازه بهروزرسانی مکان خودروی تحویل را میدهد. رمزهای صادر شده توسط یک حساب سرویس با این نقش معمولاً از دستگاه تلفن همراه راننده تحویل شما استفاده می شود. توجه: Untrusted به دستگاه راننده ای اطلاق می شود که توسط IT شرکت مدیریت نمی شود، اما در عوض توسط راننده و معمولاً بدون کنترل های امنیتی IT مناسب ارائه می شود. سازمانهای دارای خطمشیهای Bring Your Own Device باید ایمنی این نقش را انتخاب کنند و برای ارسال بهروزرسانیهای مکان وسیله نقلیه به Fleet Engine فقط به برنامه تلفن همراه تکیه کنند. همه تعاملات دیگر باید از سرورهای باطن شما منشاء بگیرند. |
کاربر مصرف کننده تحویل موتور ناوگان | به جستجوی کارها با استفاده از شناسه ردیابی و خواندن اما عدم بهروزرسانی اطلاعات کار اجازه میدهد. توکن های صادر شده توسط یک حساب سرویس با این نقش معمولاً از مرورگر وب مصرف کننده تحویل استفاده می شود. |
کاربر راننده قابل اعتماد تحویل موتور ناوگان | اجازه ایجاد و بهروزرسانی وسایل نقلیه و وظایف تحویل، از جمله بهروزرسانی مکان وسیله نقلیه تحویلی و وضعیت یا نتیجه کار را میدهد. رمزهای صادر شده توسط یک حساب سرویس با این نقش معمولاً از دستگاه های تلفن همراه راننده تحویل شما یا از سرورهای پشتیبان شما استفاده می شود. توجه: Trusted به دستگاه راننده ای اطلاق می شود که توسط IT شرکت مدیریت می شود و دارای کنترل های امنیتی مناسب است. سازمانهایی که این دستگاهها را ارائه میکنند میتوانند تعاملات Fleet Engine را در برنامه تلفن همراه ادغام کنند. |
بعدش چی
- برای درک کاربرد آنها در Fleet Engine، درباره JSON Web Tokens بخوانید.