Authentifizierungssystem Übersicht

../../../_images/auth-system-overview.png

Anatomie des Authentifizierungssystems

Authentifikationsdatenbank

The new authentication system stores authentication configurations in an SQLite database file located, by default, at <user home>/.qgis3/qgis-auth.db.

Diese Authentifizierungsdatenbank kann ohne Auswirkung auf andere aktuelle QGIS Benutzereinstellungen zwischen QGIS Installationen bewegt werden, da sie völlig unabhängig von normalen QGIS-Einstellungen ist. Eine Konfigurations-ID (eine zufällige 7-stellige alphanumerische Zeichenfolge) wird erzeugt, wenn eine Konfiguration zu der Datenbank gespeichert wird. Dies stellt die Konfiguration dar, wodurch die ID im Klartext als Anwendungskomponenten gespeichert wird (z. B. Projekt-, Plugin- oder Einstellungsdateien) ohne Offenlegung ihrer zugehörigen Anmeldeinformationen.

Bemerkung

Das übergeordnete Verzeichnis des qgis-auth.db`kann mit der folgenden Umgebungsvariablen gesetzt werden, ``QGIS_AUTH_DB_DIR_PATH`, oder mit der --authdbdirectory Option während des Starts auf der Kommandozeile.

Hauptpasswort

Um sensible Informationen zu speichern oder auf diese zuzugreifen, muss der Benutzer ein Hauptpasswort festlegen. Ein neues Hauptpasswort wird angefordert und überprüft, wenn erstmals Daten verschlüsselt in der Datenbank gespeichert werden. Der Benutzer wird nur dann nach dem Hauptpasswort gefragt, wenn auf sensible Informationen zugegriffen wird. Dies wird dann für den Rest der Sitzung (bis die Anwendung verlassen wird) zwischengespeichert, es sei denn, der Benutzer wählt eine Aktion aus, seine zwischengespeicherten Werte zu löschen. Einige Fälle bei der Benutzung des Authentifizierungssystems benötigen keine Eingabe des Hauptpassworts , so wie die Auswahl der existierenden Authentifizierungseinstellungen oder eine Konfiguration einer Serverkonfiguration Anwendung (wie beim Hinzufügen eines WMS-Layers).

../../../_images/auth-password-new_enter.png

Neues Hauptpasswort eingeben

Bemerkung

Ein Pfad zu einer Datei, die das Hauptpasswort beinhalet, kann mit Hilfe der Umgebungsvariablen eingestellt werden QGIS_AUTH_PASSWORD_FILE.

Hauptpasswort verwalten

Einmal eingestellt, kann das Hauptpasswort zurückgesetzt werden, das aktuelle Hauptpasswort wird vor dem Zurücksetzen jedoch benötigt werden. Während dieses Prozesses ist es eine Option, eine vollständige Sicherung der aktuellen Datenbank vorzunehmen.

../../../_images/auth-password-reset.png

Hauptpasswort zurücksetzen

Wenn der Benutzer das Hauptpasswort vergisst, gibt es keine Möglichkeit es abzurufen oder außer Kraft setzen. Es gibt auch keine Mittel die verschlüsselten Informationen abzurufen ohne das Master-Passwort zu kennen.

Wenn ein Benutzer das bestehende Password drei Mal falsch eingibt, wird ein Dialog Ihnen anbieten, die Datenbank zu löschen.

../../../_images/auth-password-invalid-3times.png

Passwortabfrage nach drei ungültigen Versuchen

Authentifikationskonfiguration

Sie können Authentifizierungseinstellungen über Konfigurationen in dem Authentifizierung Reiter des QGIS Optionen Dialog (Einstellungen‣ Optionen) vornehmen.

../../../_images/auth-editor-configs2.png

Konfigurationen Editor

Nutzen Sie den signPlus Knopf, um neue Konfigurationen hinzuzufügen, den signMinus Knopf um Sie zu entfernen und den symbologyEdit Knopf um bestehende zu bearbeiten.

../../../_images/auth-config-create_authcfg-id.png

Konfigurationen von innerhalb des Konfigurationseditors hinzufügen

Die selben Arten von Tätigkeiten für Authentifikationskonfigurationen (Hinzufügen, Bearbeiten und Entfernen) können auch bei der Konfiguration einer Service-Verbindung, wie der Konfiguration einer OWS-Service-Verbindung, getätigt werden. Dafür gibt es Aktionsschaltflächen innerhalb der Konfigurationsauswahl für die vollständige Verwaltungskonfigurationen die man innerhalb der Authentifikationsdatenbank findet. In diesem Fall ist es nicht erforderlich in den Konfigurationen im Authentifikation Reiter zu wechseln, es sei denn Sie müssen weitere umfassende Konfigurationen vornehmen.

../../../_images/auth-selector-wms-connection.png

WMS connection dialog showing Add, Edit, and Remove authentication configuration buttons

Beim erstellen oder bearbeiten einer Authentifikationskonfiguration, ist ein Name, eine Authentifizierungsmethode oder eine andere Information, die die Authentifizierungsmethode benötigt, erforderlich (mehr über die verfügbaren Authentifikationstypen in Authentifizierungsmethoden).

Authentifizierungsmethoden

Available authentications are provided by C++ plugins much in the same way data provider plugins are supported by QGIS. The method of authentication that can be selected is relative to the access needed for the resource/provider, e.g. HTTP(S) or database, and whether there is support in both QGIS code and a plugin. As such, some authentication method plugins may not be applicable everywhere an authentication configuration selector is shown. A list of available authentication method plugins and their compatible resource/providers can be accessed going to Settings ‣ Options and, in the Authentication tab, click the options Installed Plugins button.

../../../_images/auth-method-listing.png

Verfügbare Liste von Methodenerweiterungen

Für neue Authentifikationsmethoden können Plugins erstellt werden, die QGIS nicht benötigen um neu kompiliert zu werden. Seitdem die Unterstützung für Erweiterung nur für C++ laufend (seit QGIS 2.12) ist, muss QGIS neu gestartet werden, um dem Benutzer neue Erweiterungen verfügbar zu machen. Stellen Sie sicher, dass Ihre Erweiterung

../../../_images/auth-config-create_basic-auth.png

Einfache HTTP Authentifikationskonfiguration

../../../_images/auth-config-create_esritoken.png

ESRI Token authentication configs

../../../_images/auth-config-create_oauth2.png

OAuth2 authentication configs

../../../_images/auth-config-create_pem-der-paths.png

PKI Pfad-Authentifikationskonfiguration

../../../_images/auth-config-create_pkcs12-paths.png

PKI PKCS#12 Dateipfad Authentifikationskonfiguration

../../../_images/auth-config-create_stored-identity2.png

Gespeicherte Identität Authentifikationskonfigurationen

Bemerkung

Die URL-Ressource ist derzeit eine nicht ausführbare Funktion, die eine bestimmte Konfiguration automatisch wählt, wenn sie sich mit einer Ressource und gegebenen URL verbindet.

Hauptpasswort und Auth Konfig Hilfsmittel

Unter dem Optionen-Menü (Einstellungen ‣ Optionen) in der Authentifikation Registerkarte gibt es verschiedene Werkzeuge die Authentifikationsdatenbank und -konfigurationen zu verwalten:

../../../_images/auth-editor-configs_utilities-menu.png

Werkzeug-Menü

  • Input master password:

    • Opens the master password input dialog, independent of performing any authentication database command.

  • Clear cached master password:

    • Unsets the master password if it has been set via input dialog.

  • Reset master password:

    • Opens a dialog to change the master password (the current password must be known) and optionally back up the current database.

  • Clear cached authentication configurations: Clears the internal lookup cache for configurations used to speed up network connections. This does not clear QGIS’s core network access manager’s cache, which requires a relaunch of QGIS.

  • Reset master password: Replaces the current master password for a new one. The current master password will be needed prior to resetting and a backup of database can be done.

  • Remove all authentication configurations: Clears the database of all configuration records, without removing other stored records.

  • Erase authentication database: Schedules a backup of the current database and complete rebuild of the database table structure. These actions are scheduled for a later time, so as to ensure other operations like project loading do not interrupt the operation or cause errors due to a temporarily missing database.

    ../../../_images/auth-db-erase.png

    Menü DB Löschverifizierung

Gebrauche Authentifikationskonfiguration

Typischerweise wird eine Authentifizierungskonfiguration in einem Konfigurationsdialog für ein Netzwerk-Dienste (wie WMS) ausgewählt. Allerdings kann das Auswahl-Widget überall, wo Authentifizierung benötigt wird, eingebettet werden oder in einer Nicht-Kernfunktionalität, wie in Dritt-Beteiligten PyQGIS oder C ++ Plugins.

Wenn die Auswahl Keine Authentifizierung im Pop-up-Menü anzeigt, wenn nichts ausgewählt ist, wenn es keine Konfigurationen zur Auswahl gibt oder wenn eine zuvor zugewiesene Konfiguration nicht mehr in der Datenbank gefunden wurde. Die Typ und ID Felder sind schreibgeschützt und stellen eine Beschreibung der Authentifizierungsmethode zur Verfügung und der entsprechenden ID der Config.

../../../_images/auth-selector-no-authentication.png

Authentication configuration selector with no authentication

../../../_images/auth-selector-pkcs12-authentication.png

Authentication configuration selector with selected config

Python-Bindung

Alle Klassen und öffentlichen Funktionen haben sip Bindungen, außer QgsAuthCrypto, da das Management des Master-Passwort-Hashing und die Auth-Datenbank-Verschlüsselung von der Hauptanwendung und nicht über Python behandelt werden sollte. Siehe :ref:authentication_security_considerations` über Python-Zugang.