TIAPortal 保存用户自定义角色中的 CPU 功能权限分配,以及每个 CPU 中分配了这些角色的 用户。不存在包含预定义 CPU功能权限的系统定义角色。 在下载组态后,用户管理功能在相应的 CPU 中生效。下载后,每个 CPU 都“了解”用户可以访问的服务以及可以执行的具体功能。 这一新功能在下文中也称为“本地用户管理和访问控制”。 说明 CPU 功能权限不提供全局用户支持TIA Portal 中的另一种用户管理方式是集中用户管理 UMC(用户管理组件)。使用此组件,可管理服务器上的全局用户,也可以通过连接 MS Active Directory 来实现。通过 UMC 进行身份验证。UMC目前不支持对 CPU 特定功能权限进行全局用户管理。 用户、角色和功能权限 - 新功能的详细信息 在上一个版本中,用户和角色已经在TIA Portal 的“安全设置 > 用户和角色”(Security settings > Users androles) 下进行管理。除了现有 HMI 设备的用户管理之外,自 TIA Portal V19 起还 可以通过此编辑器管理所有CPU 功能权限。 CPU 功能权限在运行期间有效。这些权限位于用户和角色编辑器的“运行系统权 限”(Runtimerights) 选项卡中。对于项目中的每个 CPU,都有一个专门区域用于选择所有 CPU 功能权限 - 根据 CPU 服务,例如PG/HMI 通信(工程组态访问、访问级别),Web 服务器和 OPC UA 划分为不同的部分。 除了项目的用户管理 的属性中还提供Web 服务器和 OPC UA 服务器的用户管理(固件版本 不超过 V3.0 的 CPU 支持静态用户管理): • OPC UA服务器的用户(身份验证) • Web 服务器的用户(身份验证和访问控制) 自 TIA Portal V19 和 CPU 固件版本V3.1 起,这些额外的用户管理功能集成到项目导航的本 地用户管理中。 本地用户管理和访问控制简介 对于固件版本不超过 V3.0(S7-1500) 或 V4.6 (S7-1200) 的 CPU,在 CPU 属性下根据“Web 服 务器”(Web server)和“OPC UA”等服务划分的相应区域来管理用户。Web 服务器用户在“Web 服务器”(Web server)区域中进行参数设置,OPC UA 用户在“OPC UA”区域中进行参数设置。 要通过不同的访问级别限制 PG/HMI 对 CPU的访问,需要组态相应访问级别的密码。例如, 通过此步骤,HMI 访问可以不受限制,但写访问需要。各访问级别的密码在 CPU属性的“保护和安全”(Protection & Security) 区域进行设置。访问保护针对具有相应密码的组,而不是具体的用户。 自 TIA Portal V19 版本起引入本地用户管理和访问控制后,TIA Portal 的项目导航中的“安全设置 > 用户和角色”(Security settings > Users and roles)区域适用于所有用户及其角色和 CPU 的功能权限。这也适用于工程组态/HMI 访问的访问保护,自 TIA Portal 版本 V19起,默 认不再启用密码保护实现的访问级别,也通过用户管理进行访问保护。 有关新访问保护的更多信息,请参见此处(页 1362)。 例如,正如引入的工程组态权限一样,使用角色分配来组合单个功能权限。在后续步骤中,可将角色分配给各个用户。在“已分配的权限”(Assigned rights) 选项卡中列出了通过角色分配给用户的所有功能权限,以及该用户可对相应 CPU 行使的功能权限。 CPU 的可用和激活功能权限示例如下图所示。必须至少有一个用户对CPU 具有完全访问权限, 否则将无法编译组态。为此,必须先创建对 CPU 具有完全访问权限的角色。
默认特性访问控制预设了“激活访问控制”(Activate access control) 选项。用户及其分配的密码、角色和功能权限均可进行参数设置。 下载到设备 可在 CPU 处于 STOP 和 RUN 模式时下载有关本地用户管理和访问控制的组态更改。运行系统超时时间 可在“安全设置 > 用户和角色”(Security Settings > Users andRoles) 中为角色和用户设置运 行系统超时。 对于 S7-1500 CPU,各种服务可采用这些设置,具体如下: • 例如,通过Web API,可创建采用运行系统超时设置的 Web 页面或应用。标准 Web 页面 不采用运行系统超时设置,并会使用默认值。 •其它服务(PG/HMI 通信和 OPC UA 服务器)不使用运行系统超时;已登录用户在设定时 间后不会退出。本地用户管理和访问控制的优势 (S7-1500) 下一节介绍了 S7-1200/S7-1500 CPU的新本地用户管理具备的优势,以及具体的变化。本地用户管理的快速激活/禁用 用户管理选项位于“保护和安全 >访问控制”(Protection & Security > Access control) 选项卡 中: •访问控制禁用:除了用于在线传送证书的 GDS 推送功能外,每个用户都可以完全访问所 有功能。 危险禁用访问控制功能可能会发生未经授权的访问,从而造成人身伤害和财产损失。 例如,在调试期间,仅在受保护的环境中使用此设置。 •访问控制启用:已组态的用户及其分配的角色和附带的关联功能权限在下载后生效。 PG/HMI 访问的访问保护,现在采用用户身份验证对于固件版本 < V3.1 的 CPU (S7-1500 CPU) 或 < V4.7 的 CPU (S7-1200CPU),可对访问级 别的密码进行参数设置,而对于Zui新版本的 CPU,也可为用户组态相应的功能权限。这意味 着,PG/HMI访问的身份验证选项对应于 OPC UA 或 Web 服务器访问提供的选项。 集中管理 无论在 CPU中组态用户、角色和权限时使用何种服务:必须在同一个位置管理数据。 无论是管理项目的工程组态权限还是项目中每个 CPU的本地运行系统权限,所有用户均可 在用户和角色编辑器的项目导航中找到。 强大的密码功能 • 创建密码时对复杂性规则的遵守情况:从创建密码阶段开始,可以在 TIA Portal 中检查复杂性规则的遵守情况(例如密码长度、 大写/小写字母)(项目导航的“安全设置> 设置”(Security settings > Settings) 区域)。 在下载用户管理时,复杂性规则也保存在CPU 中。在线修改密码时,由 CPU 判断是否遵 守了这些规则。这可防止用户覆盖组态工程师设置的复杂性规则并分配不安全的密码。 •密码的有效期可更改: 为了防止用户继续长期使用已泄露的密码访问 CPU,可设置密码的有效期。在有效期到期之前,登录时提示剩余的有效时间,以提醒用户及时更改密码。运行期间下载用户管理 自固件版本 V3.1 起,STOP 操作状态和 RUN操作状态均可加载安全相关的组态数据。加载硬件配置并不一定会导致 CPU 进入 STOP 状态。 STOP 操作状态和 RUN操作状态下可进行以下更改(“下载到设备 > 硬件配置”(Download to device > Hardwareconfiguration)): • 扩展/更改本地用户管理 • 添加/修改 TIA Portal 组态的证书 • 更改 Syslog组态 如果对硬件配置进行其它更改(例如,添加模块、重新参数化等),则 CPU 将在加载之前 自动提示用户,CPU 将进入 STOP状态。 如果只是将一个修改过角色/功能权限的用户加载到 CPU,并不会导致 CPU 进入 STOP 状态。下载的预览对话框包含一个安全区域,以便用户确定具体的下载时间,CPU 处理发生更改的用户数据的方式(非初始下载)。允许保留对用户数据的更改(例如,运行期间的密码更 改)。 将设备作为新站下载 - 包含用户数据如果将已组态的 CPU 下载到新项目中,由于没有原始项目,用户数据将下载到此新项目中, 并可用于处理 CPU 设置。在操作期间更改密码 通过 Web 服务器 API 编写的应用程序,每个用户均可在运行系统中更改密码,前提条件是正确输入了原始密码,并且新密码符合设置的密码准则。 要求:已启用 CPU 访问控制。用户可随时修改密码,不受密码已过期的影响。如果密码过期,用户必须更改密码。过期的 密码将无法登录系统。 使用的 API 方法: •Api.ChangePassword • Api.GetPasswordPolicy有关 API方法的更多信息,请参见功能手册《S7-1500 CPU 的 Web 服务器》。 说明 运行期间更改的密码优先于下载的密码如果在运行操作期间更改了密码并在随后下载了项目,则在运行期间分配的密码优先于项目 中设置的密码(默认设置)。如果要通过下载项目来覆盖在运行期间更改的密码,则必须选择“下载所有用户管理数据(复 位为项目数据)”(Load all useradministration data (reset to project data)) 选项。在这种情况下,运行期间更改的所有密码都将丢失。 从用户的访问级别到功能权限 (S7-1500) 以下部分介绍了如何使用 CPU的新本地用户管理来实现访问保护。 作为功能权限的访问级别 其中,对于固件版本Zui高为 V3.0 的 S7-1500 CPU(对于S7-1200:Zui高为 V4.6),只能通 过密码控制访问;对于自固件版本 V3.1 起的 CPU(对于 S7-1200:Zui高为V4.6),若要进 行访问控制,可创建具有必要功能权限的相应用户和角色。访问级别和相关功能权限之间的 分配基于已知的访问级别: •要拥有完全访问权限,用户必须具有功能权限“完全访问”的角色,对于 F-CPU,必须 具有功能权限“完全访问(包括故障安全)”的角色。只有当至少一个用户具有“完全访问”或“完全访问(故障安全)”功能权限时,才能 编译和下载 CPU 组态。 •要拥有只读访问权限,用户必须具有功能权限“只读访问”的角色。 • 要拥有 HMI 访问权限,用户必须具有功能权限“HMI访问”的角色。 如果用户不具备这些指定的功能权限,则该用户也没有 CPU 的访问权限。 访问级别的层级结构以及相应的功能权限保持不变:• 具有完全访问权限的用户仍具有“只读访问”和“HMI 访问”功能权限。 • 具有只读访问权限的用户仍具有“HMI 访问”功能权限。继续使用访问级别 新的本地用户管理通过用户的相应功能权限取代了常规访问保护,但访问保护功能仍然可用。例如,对于仅支持访问级别并且尚无法发挥新用户管理功能优势的 HMI 设备而言,仍 需要使用访问保护功能。