Thiết kế bảo mật cho Fleet Engine

Bây giờ, sau khi đã đọc thông tin cơ bản về vai trò trong tài khoản và JWT trong Fleet Engine, Bạn có thể xem lại phần này để hiểu quy trình xác thực cơ bản và các hoạt động uỷ quyền trong Fleet Engine.

Thiết kế bảo mật

Thiết kế bảo mật của Fleet Engine bao gồm các yếu tố sau:

  • Vai trò:
    • Các vai trò quản lý danh tính và quyền truy cập (IAM) xác định phạm vi hoạt động được phép đối với người gọi. Ví dụ: vai trò ondemandAdmin hoặc deliveryAdmin được cho phép để làm mọi việc, trong khi driverSdkUser hoặc Vai trò deliveryUntrustedDriver có thể chỉ thực hiện những lần cập nhật vị trí rất nhỏ.
    • Các vai trò IAM được liên kết với tài khoản dịch vụ.
  • Yêu cầu
    • JWT tuyên bố sẽ hạn chế hơn nữa các thực thể mà phương thức gọi có thể hoạt động. Đó có thể là những nhiệm vụ cụ thể hoặc phương tiện giao hàng.
    • Các yêu cầu gửi đến Fleet Engine luôn chứa JWT.
    • Vì JWT được liên kết với tài khoản dịch vụ, nên các yêu cầu sẽ được gửi đến Nhóm Công cụ được ngầm liên kết với tài khoản dịch vụ được liên kết với JWT.
    • Để yêu cầu JWT thích hợp mà sau đó bạn có thể chuyển đến Fleet Engine, mã của bạn chạy trong môi trường ít tin cậy trước tiên phải gọi trên chạy trong môi trường hoàn toàn đáng tin cậy.
  • Kiểm tra bảo mật bằng Fleet Engine
    • Các vai trò IAM liên kết với tài khoản dịch vụ cung cấp đúng thông tin uỷ quyền để phương thức gọi thực hiện lệnh gọi API.
    • Các xác nhận quyền sở hữu JWT được chuyển vào yêu cầu cung cấp ủy quyền chính xác cho phương thức gọi hoạt động trên thực thể.

Quy trình xác thực ứng dụng

Sơ đồ trình tự sau đây minh hoạ quy trình xác thực ứng dụng khách này chi tiết.

  • Quản trị viên hệ thống thiết bị thiết lập các tài khoản như sau:
    • Tạo tài khoản dịch vụ
    • Chỉ định vai trò IAM cụ thể cho các tài khoản dịch vụ
    • Định cấu hình phần phụ trợ bằng tài khoản dịch vụ
  • Ứng dụng khách yêu cầu JWT từ máy chủ của bạn. Người yêu cầu có thể là ứng dụng Driver, ứng dụng Consumer hoặc ứng dụng giám sát.
  • Fleet Engine đưa ra JWT cho tài khoản dịch vụ tương ứng.
  • Ứng dụng khách thực hiện những việc sau:
    • Nhận JWT
    • Sử dụng JWT để kết nối với Fleet Engine để đọc hoặc sửa đổi dữ liệu, tuỳ thuộc vào các vai trò IAM được chỉ định trong giai đoạn thiết lập.

Sơ đồ quy trình bảo mật trong quá trình thiết lập để xác thực ứng dụng

Các bước tiếp theo