يشرح هذا المستند كيفية تأمين Fleet Engine لتبادل المعلومات بين البيئات الثلاث الأساسية لنظام Fleet Engine: خادم الخلفية، وخادم Fleet Engine، وتطبيقات العميل والمواقع الإلكترونية.
تدير Fleet Engine الأمان بطريقتَين أساسيتَين، باستخدام مبدأ أقل امتياز:
بيانات الاعتماد التلقائية للتطبيق (ADC): للبيئات ذات الأذونات العالية مثل الاتصالات بين الخوادم. يُستخدَم هذا المفتاح عندما ينشئ خادم الخلفية المركبات والرحلات ويُديرها في Fleet Engine. لمزيد من التفاصيل، راجِع بيانات الاعتماد التلقائية للتطبيق.
رموز JSON المميّزة للويب (JWT): للبيئات المنخفضة الثقة مثل العميل التطبيقات التي تعمل على الهواتف الذكية والمتصفحات: تُستخدَم لتنفيذ عمليات ذات امتيازات أقل، مثل تعديل الموقع الجغرافي للمركبة في Fleet Engine.
يتم إنشاء ملفات JWT المطلوبة للبيئات ذات مستوى الثقة المنخفض وإصدارها من قِبل خادم الخلفية لحماية مفاتيح الخدمة السرية، وتتضمّن مطالبات إضافية خاصة بخدمة Fleet Engine. لمعرفة التفاصيل، يُرجى الاطّلاع على رموزم الويب المميّزة بتنسيق JSON .
على سبيل المثال، إذا كان لديك تطبيق للسائقين، يمكن للسائقين الوصول إلى البيانات من Fleet Engine من خلال التطبيق. تتم مصادقة التطبيق باستخدام شهادات JWT التي يحصل عليها من خادم الخلفية. مطالبات JWT المضمّنة، بالإضافة إلى حساب الخدمة تحديد أجزاء النظام التي يمكن لتطبيق برنامج التشغيل الوصول إليها وما يمكن أن يفعله. تفرض هذه الطريقة قيودًا على الوصول إلى البيانات المطلوبة فقط. لإكمال مهام القيادة.
وتستخدم Fleet Engine أساليب الأمان هذه لتوفير ما يلي:
تتحقّق المصادقة من هوية الكيان الذي يقدّم الطلب. يستخدم Fleet Engine بروتوكول ADC للبيئات العالية الثقة وJWT للبيئات المنخفضة الوثوق .
يحدِّد الترخيص الموارد التي يمكن للكيان الذي تمّت مصادقته الوصول إليها. يستخدم Fleet Engine حسابات الخدمة التي تتضمن أدوار Google Cloud IAM، بالإضافة إلى JWT المطالبات التي تضمن حصول الكيانات المصادق عليها على أذونات للاطلاع على البيانات أو تغييرها البيانات التي يطلبونها.
إعداد أمان الخادم والعميل
لتفعيل الأمان باستخدام Fleet Engine، يجب إعداد الحسابات المطلوبة. والأمان على خادم الخلفية وعلى تطبيقات العميل مواقع الويب.
يعرض المخطّط التالي نظرة عامة على خطوات إعداد الأمان على خادم الخلفية وتطبيقات العميل.
لمزيد من التفاصيل، يُرجى الاطّلاع على الأقسام التالية.
إعداد أمان الخادم في الخلفية
على مشرف أسطول السيارات اتّباع الخطوات التالية:
إنشاء حسابات الخدمة وضبطها:
في Google Cloud Console، أنشئ حسابات الخدمة.
اسنِد أدوارًا معيّنة في "إدارة الهوية وإمكانية الوصول" إلى حسابات الخدمة.
اضبط خادم الخلفية باستخدام حسابات الخدمة التي تم إنشاؤها. لمعرفة التفاصيل، يُرجى الاطّلاع على أدوار حسابات الخدمة.
ضبط الاتصالات الآمنة مع Fleet Engine (ADC): يمكنك ضبط الخلفية للتواصل مع مثيل Fleet Engine باستخدام ملف "سمات اعتماد التطبيق التلقائية" مع حساب الخدمة *المشرف المناسب. بالنسبة التفاصيل، راجع بيانات الاعتماد التلقائية للتطبيق.
ضبط الاتصالات الآمنة مع تطبيقات العميل (JWT): أنشئ أداة إنشاء رموًز JSON المميّزة للويب من أجل إنشاء رموز JWT تتضمّن الطلبات المناسبة لتطبيقات العميل ومواقع الويب التي يتم مراقبتها. لمعرفة التفاصيل، يُرجى الاطّلاع على إصدار رموز JSON المميّزة للويب.
إعداد أمان التطبيق
على مطوّري التطبيقات تضمين طريقة لجلب الرموز المميّزة بتنسيق JSON التي ينشئها خادم الخلفية في تطبيقات العميل أو المواقع الإلكترونية، واستخدامها للتواصل بأمان مع Fleet Engine. لمعرفة التفاصيل، يُرجى الاطّلاع على تعليمات الإعداد في تجربة السائق أو المستهلك مستندات التجربة الخاصة التطبيقات التي تحتاجها.
مسار أمان تطبيق الخادم والعميل
يوضّح المخطّط التسلسلي التالي مسار مصادقة تطبيق الخادم والعميل والتفويض باستخدام Fleet Engine باستخدام وحدة التحكّم في حدود الجلسة مع خادم الخلفية ورموز JWT مع تطبيقات العميل والمواقع الإلكترونية.
يُنشئ خادم الخلفية المركبات والرحلات أو المهام في Fleet Engine.
يرسل خادم الخلفية رحلة أو مهمة إلى مركبة: يسترجع تطبيق السائق المهمة عندما يكون نشطًا.
خادم الخلفية: يوقّع ويُصدر ملف JWT لحساب الخدمة المعنيّ الذي يحمل دور إدارة الهوية وإمكانية الوصول (IAM) المناسب للمهمة أو الرحلة المحدّدة.
تطبيق العميل: يستخدم تطبيق العميل رمز JWT المستلَم لإرسال تعديلات الموقع الجغرافي للمركبة إلى Fleet Engine.
الخطوات التالية
- أنشئ مشروع Fleet Engine.
- تعرَّف على طريقة إصدار رموز JSON المميّزة للويب من خادمك.
- مزيد من المعلومات حول أدوار حسابات الخدمات
- مزيد من المعلومات حول JWT