Contrôle d'accès basé sur les rôles (RBAC)
Définition du contrôle d'accès basé sur les rôles
Le contrôle d'accès basé sur les rôles (RBAC, role-based access control) consiste à attribuer aux utilisateurs différents niveaux d'accès qui définissent les fonctionnalités auxquelles ils peuvent accéder.
L’accès à l’interface EIFE est contrôlé par le mécanisme RBAC lorsque la connexion est effectuée via les moyens suivants :
-
Pages Web de l'interface EIFE
-
Logiciel EcoStruxure Power Commission (EPC)
Pour plus d'informations sur l'activation de RBAC lorsque la connexion est effectuée via le logiciel EPC, reportez-vous à Paramètres des services réseau IP .
Définition des rôles
Les rôles suivants sont définis par défaut pour l'accès à distance :
-
Administrateur de la sécurité (SECADM)
-
Ingénieur
-
Installateur
-
Opérateur
-
Visualiseur
L'administrateur de la sécurité attribue un rôle à chacun des utilisateurs. Chaque rôle comprend un ensemble d'autorisations sur l’interface EIFE .
L'administrateur de la sécurité peut gérer les utilisateurs de l’interface EIFE :
-
Dans les pages Web de l’interface EIFE
-
A l'aide du logiciel EcoStruxure Cybersecurity Admin Expert (CAE)
Logiciel EcoStruxure Cybersecurity Admin Expert
Le logiciel Cybersecurity Admin Expert (CAE) est utilisé pour configurer la sécurité de l’interface EIFE avec firmware de version 004.009.000 ou ultérieure.
L'administrateur de la sécurité peut utiliser le logiciel CAE pour :
-
Gérer les utilisateurs de l’interface EIFE
-
Définir la stratégie de sécurité de l’interface EIFE
-
Télécharger des configurations de sécurité vers plusieurs interfaces EIFE
-
Modifier les paramètres spécifiques à l'équipement (DSS) pour chaque interface EIFE individuellement
Pour plus d'informations, consultez la documentation EcoStruxure Cybersecurity Admin Expert Guide dans Documents associés.
-
Activer HTTPS pour le transfert sécurisé des configurations du logiciel CAE vers l’interface EIFE .
-
Activer DPWS pour la détection de l’interface EIFE sur le logiciel CAE.
Paramètres du logiciel CAE
L'administrateur de la sécurité peut définir les paramètres suivants dans le logiciel CAE :
|
Paramètre |
Description |
Valeur |
|---|---|---|
|
|
Après cette durée sans aucune action de l'utilisateur, les pages Web de l'interface sont verrouillées. |
|
|
|
Nombre de tentatives de connexion maximum autorisé |
|
|
|
A l’expiration de cette période, le compte utilisateur précédemment verrouillé est déverrouillé. |
|
|
|
pour autoriser le compte utilisateur |
Réglage par défaut : Désactivé |
|
pour saisir l'adresse IP du serveur Syslog. |
– |
|
|
pour saisir le numéro de port du serveur Syslog. |
|
|
|
|
lors de la création d’un rôle. |
Réglage par défaut : Désactivé |
Paramètres CAE spécifiques aux équipements
Les paramètres spécifiques à l'équipement (DSS) sont uniques à l’interface EIFE , ce qui permet d'adapter la configuration à chaque équipement. Cette fonctionnalité permet, par exemple, d'activer la communication Modbus sécurisée sur une interface EIFE particulière et de la laisser inactive sur les autres.
Les paramètres DSS suivants sont disponibles dans le logiciel CAE :
|
Paramètre |
Description |
Réglage par défaut |
|---|---|---|
|
|
Active la découverte DPWS sur l’interface EIFE . |
Activé |
|
|
Active le serveur FTP sur l’interface EIFE . |
Désactivé |
|
|
Active la communication Modbus sécurisée sur l’interface EIFE . |
Désactivé |
|
|
Active la communication Modbus TCP sur l’interface EIFE . |
Activé |
Autorisations par rôle
L'administrateur de la sécurité peut modifier les autorisations associées à chaque rôle à l'aide du logiciel CAE.
Le tableau suivant décrit les autorisations associées par défaut à chaque rôle :
|
Autorisation |
Rôles |
||||
|---|---|---|---|---|---|
|
Visualiseur |
Ingénieur |
Opérateur |
Installateur |
Administrateur de la sécurité |
|
|
Informations de maintenance - Lecture |
– |
✔ |
✔ |
✔ |
– |
|
Paramètres de maintenance - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Contrôle de la maintenance - Ecriture |
– |
✔ |
✔ |
✔ |
– |
|
Informations publiques - Lecture |
✔ |
✔ |
✔ |
✔ |
✔ |
|
Informations sur les mesures des appareils - Lecture |
✔ |
✔ |
✔ |
✔ |
✔ |
|
Paramètres des mesures des appareils - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Contrôle des mesures des appareils - Ecriture |
– |
– |
✔ |
– |
– |
|
Paramètres des appareils - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Informations sur les dispositifs - Lecture |
✔ |
✔ |
✔ |
✔ |
✔ |
|
Informations sur les communications - Lecture |
– |
✔ |
✔ |
✔ |
– |
|
Paramètres de communication - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Contrôle des communications - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Paramètres de date et d’heure - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Informations de date et d’heure - Lecture |
✔ |
✔ |
✔ |
✔ |
✔ |
|
Informations de sécurité - Lecture |
– |
– |
– |
– |
✔ |
|
Paramètres de sécurité - Ecriture |
– |
– |
– |
– |
✔ |
|
Contrôle de la sécurité - Ecriture |
– |
– |
– |
– |
✔ |
|
Contrôle des disjoncteurs - Ecriture |
– |
– |
✔ |
– |
– |
|
Contrôle des disjoncteurs - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Informations sur les disjoncteurs - Lecture |
– |
✔ |
✔ |
✔ |
– |
|
Informations de protection - Lecture |
– |
✔ |
✔ |
✔ |
– |
|
Paramètres de protection - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Contrôle de la protection - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Informations sur les E/S - Lecture |
– |
✔ |
✔ |
✔ |
– |
|
Paramètres d'E/S - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Contrôle des E/S - Ecriture |
– |
✔ |
– |
✔ |
– |
|
Informations des journaux de sécurité - Lecture |
– |
– |
– |
– |
✔ |
|
Paramètres des journaux de sécurité - Lecture |
– |
– |
– |
– |
✔ |
|
Paramètres des journaux de sécurité - Ecriture |
– |
– |
– |
– |
✔ |