Vertrauensstellung verwalten

Viele Spotfire-Benutzer möchten die Spotfire-Umgebung auf unterschiedliche Weise erweitern. Wenn Sie zulassen, dass benutzerdefinierter Code innerhalb einer Analyse ausgeführt wird, oder wenn Sie die direkte Interaktion mit anderen Systemen ermöglichen, ist es wichtig, die Sicherheit zu berücksichtigen. Jedes benutzerdefinierte Element, das von einer böswilligen Person erstellt wurde, könnte möglicherweise unerwartete oder unerwünschte Aktionen ausführen. Daher verwendet Spotfire verschiedene Vertrauensmechanismen, um die Sicherheit Ihres Systems zu gewährleisten.

In lokalen Umgebungen können Administratoren steuern, welche Benutzer benutzerdefinierte Inhalte erstellen dürfen, die nach Lizenzen und Gruppenzugehörigkeit verifiziert werden sollen, und die Vertrauenswürdigkeit kann vorab festgelegt werden. Wenn keine vorab festgelegte Vertrauensstellung verfügbar ist, erhalten Sie eine Warnung, wenn benutzerdefinierte Elemente verwendet werden.

Anmerkung: Alle benutzerdefinierten Elemente in einer Analyse, die eine Art von Vertrauen erfordern, können unter Datei > Vertrauensstellung verwalten überprüft werden. Sie sollten Elementen nur vertrauen, wenn Sie sicher sind, dass sie aus einer zuverlässigen Quelle stammen.

Spotfire-Visualisierungs-MODs, Aktions-MODs und externe Aktionen

Spotfire-MODs können von einem Benutzer mit ausreichenden Berechtigungen erstellt und auch in die Spotfire-Bibliothek hochgeladen werden. Ebenso kann eine externe Aktion, die möglicherweise Daten senden oder mit einem externen System interagieren kann, von Benutzern mit ausreichenden Berechtigungen konfiguriert werden. Ein lokaler Spotfire-Administrator hat Zugriff auf viele Tools, um sicherzustellen, dass nur vertrauenswürdige Entwickler oder Programmierer Code hinzufügen und ausführen oder externe Aktionen konfigurieren dürfen. Weitere Informationen finden Sie unterBenutzerdefinierten Inhalt in der Spotfire-Umgebung als vertrauenswürdig einstufen im Installations- und Administrationshandbuch zur Spotfire Server-Umgebung.

Als Endbenutzer haben Sie je nach Ihrer Rolle in der Umgebung möglicherweise unterschiedliche Optionen, um von anderen hinzugefügten Elementen zu vertrauen.

Signierte Elemente

Jeder, der eine MOD oder eine externe Aktion in der Spotfire-Umgebung erstellt oder hinzufügt, kann sie signieren. Die Signatur informiert andere Benutzer über die Herkunft der MOD und ermöglicht es, fundierte Entscheidungen darüber zu treffen, ob der MOD vertraut werden kann oder nicht. Signierte MODs ermöglichen es, die Authentizität, Integrität und den Herausgeber des Codes zu überprüfen.

Die Signatur kann entweder über Zertifikate erfolgen, die von einer Zertifizierungsstelle erstellt wurden, oder über das Spotfire-Konto der Person, die ein MOD-Projekt in eine Analysedatei lädt. Wenn Sie offline sind, können Sie MODs nur mit einem Zertifikat von einer Zertifizierungsstelle signieren, nicht mit einem Spotfire-Konto. Weitere Informationen zum Signieren von MODs mit einem Zertifikat finden Sie unter Spotfire Developer Documentation > Spotfire Package Builder.

Externe Aktionen werden immer mit Ihrem Spotfire-Konto signiert.

Anmerkung: Standardmäßig können nur gültige Signaturen als vertrauenswürdig eingestuft werden. In besonderen Fällen kann ein Administrator in einem lokalen System diese Einschränkung lockern, indem er eine Einstellung im Verwaltungs-Manager (Anwendung > Vertrauensstellung > Gültige Signatur erforderlich, um Vertrauen zuzulassen) ändert. Benutzer, die den installierten Spotfire-Client ohne Server ausführen, dürfen immer ungültigen Signaturen vertrauen und sollten daher besonders vorsichtig sein.

Einstufen von MODs, Aktionen oder Signaturgebern als vertrauenswürdig

Wenn eine MOD oder externe Aktion signiert ist, ist es einfacher zu entscheiden, ob Sie ihr vertrauen können. Das heißt, Sie stufen das Unternehmen oder die Person als vertrauenswürdig ein, das bzw. die die MOD signiert hat. Es ist möglich, entweder alle von einer bestimmten Person hinzugefügten MODs oder externe Aktionen als vertrauenswürdig einzustufen (also den Signaturgeber als vertrauenswürdig einzustufen) oder nur bestimmte Elemente als vertrauenswürdig einzustufen. Data Science-Add-ons, die von der Cloud Software Group signiert wurden, werden automatisch als vertrauenswürdig eingestuft. Bei Data Science-Add-ons kann die Vertrauenswürdigkeit nur von der Cloud Software Group oder einem Administrator widerrufen werden.

Wenn Sie einer bestimmten MOD-Version vertrauen, wird die MOD in allen Analysen, in denen sie vorhanden ist, als vertrauenswürdig eingestuft. Wenn allerdings zu einem späteren Zeitpunkt Änderungen an der MOD vorgenommen werden, muss die Vertrauenswürdigkeit erneut eingestuft werden. Eine externe Aktion wird immer im Kontext einer Analyse konfiguriert und muss neu konfiguriert und damit neu signiert werden, wenn sich die Analyse ändert und die Konfiguration zu einem Datenleck führen könnte. Wenn Sie sich entscheiden, den Signaturgeber statt eine bestimmte MOD als vertrauenswürdig einzustufen, werden alle zukünftigen MODs oder neuen Versionen einer MOD von diesem Signaturgeber automatisch als vertrauenswürdig eingestuft.

Die Einstufung der Vertrauenswürdigkeit kann auf einer einzelnen Ebene von Endbenutzern durchgeführt werden, die über die Berechtigung zur Einstufung der Vertrauenswürdigkeit von Elementen verfügen. Ein Administrator kann aber auch Vertrauensstellungen für eine Gruppe von Benutzern in der Spotfire-Umgebung definieren. Um unnötige Vertrauensaufforderungen zu vermeiden, wird letzteres nach Möglichkeit oft bevorzugt.

Nicht vertrauenswürdige MODs

Unabhängig davon, ob die MOD signiert ist oder nicht, führt der Versuch, eine für eine Analyse als nicht vertrauenswürdig eingestufte MOD hinzuzufügen, zu der Frage, ob dieser MOD vertraut werden soll (wenn Sie nicht über die Berechtigung zur Einstufung der Vertrauenswürdigkeit verfügen, kann sie nicht hinzugefügt werden). MODs sollten nur als vertrauenswürdig eingestuft werden, wenn Sie sicher sind, dass sie aus einer zuverlässigen Quelle stammen.

Nicht vertrauenswürdige Aktionen

Wenn eine Aktion zu einer Analyse hinzugefügt wird und der MOD-Entwickler oder Konfigurator vom Administrator nicht als vertrauenswürdig eingestufter Signaturgeber hinzugefügt wurde, werden Sie beim Klicken auf den Auslöser für die Aktion in einer Visualisierung (z. B. eine unverankerte Schaltfläche oder das Popup-Menü) gefragt, ob Sie der Aktion vertrauen, und im Falle von externen Aktionen wird angezeigt, welche Daten von der Aktion betroffen sind.

Vertrauensstellung widerrufen

Wenn Sie über die Berechtigung verfügen, Signaturgebern und Elementen zu vertrauen, können Sie auch die Vertrauensstellung widerrufen, die Sie einer Analyse mithilfe des Dialogfelds Datei > Vertrauensstellung verwalten hinzugefügt haben. Die Schaltfläche Alle als vertrauenswürdig eingestuften Signaturgeber anzeigen führt Sie zur Seite Mein Konto auf dem Server, auf der Sie einen Überblick über alle vertrauenswürdigen Signaturgeber und Elemente erhalten und die vom Administrator nicht zugewiesene Vertrauensstellung widerrufen können. Beachten Sie, dass ein Administrator die Vertrauensstellung für eine Person oder ein Element, der bzw. dem Sie vertraut haben, jederzeit entziehen oder die Signatur eines Benutzers jederzeit für ungültig erklären kann.

Signatur für ungültig erklären

Wenn Ihr Benutzerkonto zum Signieren von Elementen verwendet wurde und Sie Ihre Entscheidung rückgängig machen möchten, können Sie alle Ihre Signaturen ab einem bestimmten Zeitpunkt und bis zum gegenwärtigen Zeitpunkt für ungültig erklären. Verwenden Sie hierfür die Seite Mein Konto (falls Signaturen verfügbar sind).

Ein Administrator kann das Zertifikat für einen Signaturgeber auch widerrufen, um eine Signatur für ungültig zu erklären, oder einen Signaturgeber oder eine bestimmten MOD blockieren, um zu verhindern, dass Sie sie hinzufügen.

Vertrauen für Skripte, die in IronPython, JavaScript oder innerhalb von Datenfunktionen geschrieben wurden

IronPython- und JavaScript-Skripte und Datenfunktionen unterstützen das Signieren nicht, daher werden diese Elemente immer unter „Nicht signierte Elemente“ im Dialogfeld „Vertrauensstellung verwalten“ angezeigt. Stattdessen verwendet Spotfire einen Vertrauensmechanismus, bei dem Benutzer mit dem Namen „Skriptautoren“ (verifiziert durch Lizenzen und Gruppenzugehörigkeit) die einzigen sind, die ein Skript für jeden in der Organisation vertrauenswürdig machen können.

In den Webclients ist es nicht möglich, diesen Skripten eine Vertrauensstellung zuzuweisen. Wenn Sie auf eine Analyse mit nicht vertrauenswürdigen Skripten stoßen, müssen Sie entweder die Analyse im installierten Client öffnen und den Skripten vertrauen, bevor Sie die Datei speichern, oder Sie wenden sich an einen Skriptautor, der dies für Sie erledigt.

Skriptautoren

Als Skriptautor haben Sie die Verantwortung, anderen Benutzern in Ihrem Unternehmen sichere und funktionierende Skripte zur Verfügung zu stellen. Wenn Sie eine Datenfunktion oder eine Analyse mit einem Skript entwickelt haben, müssen Sie sicherstellen, dass das Skript oder die Datenfunktion vertrauenswürdig ist, bevor Sie es bzw. sie in der Bibliothek speichern, um sicherzustellen, dass es bzw. sie von anderen verwendet werden kann. Sie können alle Skripte und Datenfunktionen in einer Analyse überprüfen und ihnen nacheinander vertrauen, oder Sie können alle Ihre Skripte in einer Analyse genehmigen, indem Sie Datei > Vertrauensstellung verwalten auswählen und auf Allen vertrauen klicken.

Wenn Sie die Skripts bearbeiten müssen, bevor Sie ihnen vertrauen, wechseln Sie zu „Datei > Dokumenteigenschaften > Skripte“ oder zu „Daten > Datenfunktionseigenschaften“, wo Sie eine Übersicht über alle Skripte bzw. Datenfunktionen sehen können.

Indem Sie Skripte in einer Aktions-MOD speichern, anstatt sie einfach mit IronPython zur Analyse hinzuzufügen, können Sie sowohl Administratoren als auch anderen Benutzern das Vertrauen in Skripte und deren gemeinsame Nutzung erleichtern.

Spotfire-Analyseautoren

Wenn Sie ein Analyseautor sind, kann es vorkommen, dass Sie ein Skript oder eine Datenfunktion ausführen möchten, die von einem Skriptautor nicht genehmigt und als vertrauenswürdig eingestuft wurde. Beispielsweise können Sie zu Testzwecken eine lokale Datei von einem Kollegen erhalten.

Wenn Sie eine Analyse mit nicht vertrauenswürdigen Skripten öffnen, haben Sie die Möglichkeit, die Skripte oder Datenfunktionen mithilfe des Dialogfelds „Vertrauensstellung verwalten“ selbst zu überprüfen. Wenn Sie die Skripte bearbeiten müssen, bevor Sie ihnen vertrauen, gehen Sie im installierten Client zu Datei > Dokumenteigenschaften > Skripte oder Daten > Datenfunktionseigenschaften, wo Sie eine Übersicht über alle Skripte bzw. Datenfunktionen sehen können. Sie können das Skript für eine Datenfunktionsinstanz auch im Datenbereich bearbeiten.

Wenn Sie nicht der Hauptautor des Skripts sind und nicht qualifiziert sind, zu verstehen, ob das Skript sicher ist, sollten Sie ihm nur dann vertrauen, wenn Sie sicher sind, dass es aus einer zuverlässigen Quelle stammt.

Anmerkung: In einigen Situationen müssen Sie möglicherweise Daten erneut laden, nachdem einem Skript oder einer Datenfunktion vertraut wurde, um die korrekten Daten zu erhalten.

Webclient-Benutzer

In den Webclients ist es nicht möglich, einem Skript eine Vertrauensstellung zuzuweisen. Die Zuweisung ist nur für Aktions-MODs möglich. Wenn Sie auf eine Analyse mit nicht vertrauenswürdigen Skripten stoßen, müssen Sie entweder die Analyse im installierten Client öffnen und den Skripten vertrauen, bevor Sie die Datei speichern, oder Sie wenden sich an einen Skriptautor, der dies für Sie erledigt.

In R geschriebene Datenfunktionen

Spotfire verfügt über eine eigene Implementierung der R-Sprache, Spotfire® Enterprise Runtime for R (auch bekannt als TERR™), die in Spotfire-Anwendungen enthalten ist. TERR verfügt über einen eingeschränkten Modus, der eine sichere Umgebung beim Arbeiten mit Datenfunktionen bietet. Wenn die Datenfunktion vertrauenswürdig ist, kann sie ohne Einschränkungen ausgeführt werden. Wenn eine TERR-basierte Datenfunktion nicht vertrauenswürdig ist, versucht Spotfire, die Datenfunktion im eingeschränkten Modus auszuführen. Wenn das Skript Anweisungen verwendet, die im eingeschränkten Modus nicht verfügbar sind, wird die Ausführung der Datenfunktion so lange verhindert, bis sie vertrauenswürdig ist.

Anmerkung: Für Inline-TERR-Skripte (wenn TERR direkt in benutzerdefinierten Ausdrücken verwendet wird, ist nur der eingeschränkte Ausführungsmodus verfügbar).

Anmerkung: Wenn Sie über die Lizenzfunktion „Autorenskripte“ verfügen, aber kein Mitglied der Gruppe „Skriptautoren“ sind, können Sie keine R-Skripte ausführen, die Sie selbst (mit dem installierten Client) erstellt haben, wenn der Spotfire® Service for R verwendet wird. Siehe auch Verwendung von Skripten und Datenfunktionen.