نقش های حساب سرویس

نقش‌های حساب سرویس یک مدیریت امنیتی و هویتی کلیدی برای سیستم شما تشکیل می‌دهند و این امکان را برای شما فراهم می‌کنند که عملیات‌های مختلف را تنظیم کنید و داده‌های مختلف را برای رانندگان، مصرف‌کنندگان و اپراتورهای ناوگان نمایش دهید.

حساب سرویس چیست؟

برای مدیریت دسترسی به داده‌های خود در Fleet Engine برای برنامه‌های مشتری، حساب‌های خدماتی را ارائه می‌کنید که فعالیت نرم‌افزار را با نقشی از پیش تعیین‌شده به جای احراز هویت کاربران از طریق مکانیزم هویت شخصی‌سازی شده، احراز هویت می‌کنند. کاربرانی که به داده‌های سیستم شما دسترسی دارند، این کار را از طریق یک کلاینت انجام می‌دهند که از این نقش حساب استفاده می‌کند، که سپس مجوز را فقط به آن بخش‌هایی از سیستم شما محدود می‌کند که برای یک هدف خاص مناسب تلقی می‌شوند. این نوع محدودیت دامنه مبتنی بر مفهوم اصل حداقل امتیاز است.

برای توضیح کامل نقش‌های حساب سرویس، به درک نقش‌های IAM در اسناد Google Cloud مراجعه کنید.

نقش‌های حساب سرویس با Fleet Engine چگونه کار می‌کنند؟

  • نقش‌های IAM مجموعه‌ای از مجوزها را در منابع مجاز برای یک اصل تعریف می‌کنند. به عنوان مثال، نقش‌های Admin مجاز به انجام همه کارها با اعتبارنامه پیش‌فرض برنامه هستند، در حالی که نقش راننده غیرقابل اعتماد فقط مجاز است مکان خودرو را به‌روزرسانی کند و محدود به استفاده از JWT برای احراز هویت و مجوز است.

  • برای محیط‌های غیرقابل اعتماد، مانند تلفن‌های همراه و مرورگرهای وب، ادعاهای JWT محدودیت‌های اضافی را فقط برای آن دسته از نهادهایی که تماس‌گیرنده ممکن است روی آن‌ها کار کند، ارائه می‌کند. اینها می توانند برای وسایل نقلیه، سفرها یا کارهای خاص باشند.

  • کد شما که در یک محیط کم اعتماد اجرا می شود، ابتدا باید کد شما را که در یک محیط قابل اعتماد اجرا می شود، فراخوانی کند، که JWT را صادر می کند.

  • Fleet Engine بررسی‌های امنیتی زیر را در تماس‌های API برای یک منبع انجام می‌دهد:

    1. مدیر فراخوان دارای مجوزهای مناسب (از طریق تخصیص نقش) برای اقدام روی منبع است.

    2. برای نقش‌های غیر سرپرست، ادعاهای JWT که در درخواست ارسال می‌شوند، مجوز لازم را برای منبع فراهم می‌کنند.

برای اطلاعات بیشتر، JSON Web Tokens را ببینید.

نقش های حساب خدمات موتور ناوگان

بر اساس سرویس Mobility که انتخاب می کنید، نصب Fleet Engine شما از نقش ها و مجوزهایی استفاده می کند که به شرح زیر توضیح داده شده است.

سفرهای درخواستی

نقش اجازه

مدیریت درخواستی موتور ناوگان

roles/fleetengine.ondemandAdmin

مجوز خواندن و نوشتن را برای همه منابع وسیله نقلیه و سفرها اعطا می کند. مدیران با این نقش نیازی به استفاده از JWT ندارند و در عوض باید از اعتبارنامه پیش فرض برنامه استفاده کنند. ادعاهای سفارشی JWT را نادیده می گیرد. این نقش باید به محیط های قابل اعتماد مانند سرور خود محدود شود.

ممکن است برخی از کاربران Fleet Engine همچنان نقش Super User Service Engine Fleet را ببینند، اما اکنون منسوخ شده است.

کاربر SDK درایور موتور ناوگان

roles/fleetengine.driverSdkUser

مکان ها و مسیرهای خودرو را به روز کنید و اطلاعات مربوط به وسایل نقلیه و سفرها را بازیابی کنید. توکن‌ها معمولاً از برنامه‌های درایور اشتراک‌گذاری یا تحویل استفاده می‌شوند.

کاربر SDK مصرف کننده موتور ناوگان

roles/fleetengine.consumerSdkUser

وسایل نقلیه را جستجو کنید و اطلاعات مربوط به وسایل نقلیه و سفرها را بازیابی کنید. توکن‌ها معمولاً از برنامه‌های مصرف‌کننده اشتراک‌گذاری یا تحویل استفاده می‌شوند.

وظایف برنامه ریزی شده

نقش اجازه

مدیر تحویل موتور ناوگان

roles/fleetengine.deliveryAdmin

مجوز خواندن و نوشتن برای منابع تحویل را اعطا می کند. مدیران با این نقش نیازی به استفاده از JWT ندارند و در عوض باید از اعتبارنامه پیش فرض برنامه استفاده کنند. ادعاهای سفارشی JWT نادیده گرفته می شوند. این نقش باید به محیط های قابل اعتماد مانند سرورهای خود محدود شود.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

به خواندن وسایل نقلیه تحویلی و وظایف و جستجوی کارها با استفاده از شناسه ردیابی اجازه می دهد. توکن های صادر شده توسط یک حساب سرویس با این نقش معمولاً از مرورگر وب اپراتور ناوگان تحویل استفاده می شود.

کاربر راننده غیرقابل اعتماد تحویل موتور ناوگان

roles/fleetengine.deliveryUntrustedDriver

اجازه به‌روزرسانی مکان خودروی تحویل را می‌دهد. رمزهای صادر شده توسط یک حساب سرویس با این نقش معمولاً از دستگاه تلفن همراه راننده تحویل شما استفاده می شود.

توجه: Untrusted به دستگاه راننده ای اطلاق می شود که توسط IT شرکت مدیریت نمی شود، اما در عوض توسط راننده و معمولاً بدون کنترل های امنیتی IT مناسب ارائه می شود. سازمان‌های دارای خط‌مشی‌های Bring Your Own Device باید ایمنی این نقش را انتخاب کنند و برای ارسال به‌روزرسانی‌های مکان وسیله نقلیه به Fleet Engine فقط به برنامه تلفن همراه تکیه کنند. همه تعاملات دیگر باید از سرورهای باطن شما منشاء بگیرند.

کاربر مصرف کننده تحویل موتور ناوگان

roles/fleetengine.deliveryConsumer

به جستجوی کارها با استفاده از شناسه ردیابی و خواندن اما عدم به‌روزرسانی اطلاعات کار اجازه می‌دهد. توکن های صادر شده توسط یک حساب سرویس با این نقش معمولاً از مرورگر وب مصرف کننده تحویل استفاده می شود.

کاربر راننده قابل اعتماد تحویل موتور ناوگان

roles/fleetengine.deliveryTrustedDriver

اجازه ایجاد و به‌روزرسانی وسایل نقلیه و وظایف تحویل، از جمله به‌روزرسانی مکان وسیله نقلیه تحویلی و وضعیت یا نتیجه کار را می‌دهد. رمزهای صادر شده توسط یک حساب سرویس با این نقش معمولاً از دستگاه های تلفن همراه راننده تحویل شما یا از سرورهای پشتیبان شما استفاده می شود.

توجه: Trusted به دستگاه راننده ای اطلاق می شود که توسط IT شرکت مدیریت می شود و دارای کنترل های امنیتی مناسب است. سازمان‌هایی که این دستگاه‌ها را ارائه می‌کنند می‌توانند تعاملات Fleet Engine را در برنامه تلفن همراه ادغام کنند.

بعدش چی

  • برای درک کاربرد آنها در Fleet Engine، درباره JSON Web Tokens بخوانید.