Hinweise und Einschränkungen

Folgende Hinweise und Einschränkungen müssen bei der Verwendung der serverseitigen Authentifizierung für UI-Manager beachtet werden:

Hinweise

-ssa UI Manager Parameter

Der neue UI Parameter "-ssa" definiert, dass bei der gleichzeitigen Verwendung des "-server" Parameters kein Download der Projektdateien und das damit verbundene Anlegen eines lokalen Projektcaches durchgeführt wird. Dieser Parameter sollte dann verwendet werden, wenn bereits alle für den Betrieb des UIs erforderlichen Projektdateien auf dem Client, auf welchem das UI ausgeführt wird, vorhanden sind.

Security Aspekt

Bitte beachten Sie, dass nur die Verwendung der serverseitigen Authentifizierung für UI-Manager zu keiner alleinigen Verbesserung der Anlagensicherheit führt. Es ist weiterhin darauf zu achten, dass alle Anforderungen der Security Guideline eingehalten werden müssen, um eine entsprechend abgesicherte Anlage zu betreiben.

User Interface Authentifizierung

Die serverseitige Authentifizierung für UI-Manager authentifiziert nur den UI-Manager. Eine Authentifizierung anderer Manager, z.B. Dist, Redu oder Ctrl, wird nicht durchgeführt. Jedoch wird das accessControlPlugin von allen Managern geladen und ist daher erforderlich für die ganze Manager-Kommunikation.

Abbildung 1. DIST SSA-Projekte und ältere nicht SSA-Projekte

Wenn es nicht möglich ist ein älteres WinCC OA-System zu aktualisieren, das die serverseitige Authentifizierung (<=3.15) noch nicht unterstützt, ist es möglich die serverseitige Authentifizierung für diese DIST-Verbindung mit dem Config-Eintrag enforceAccessControl=0 (in der pmon-Sektion der Config-Datei) auszuschalten. Ein Abbruch ist nur zulässig, wenn die Risikoanalayse ergibt, dass dies nicht relevant ist, z.B. in einer vertrauenswürdigen Zone. Unsere Empfehlung lautet, dass alle WinCC OA-Systeme mit den neuesten Patches laufen sollten. Die Abbildung unterhalb zeigt eine mögliche DIST-Konfiguration mit verschiedenen WinCC OA -Versionen.

Einschränkungen

Bitte beachten Sie folgende Einschränkungen:

  • Ein Benutzerwechsel innerhalb des ULC UX erfordert es, den Browser neu zu starten! Anderenfalls ist ein Wechsel nicht möglich.
  • Die serverseitige Authentifizierung für UI-Manager wird nicht unterstützt, wenn Single Sign On verwendet wird.