Tài liệu này giải thích cách Fleet Engine bảo mật việc trao đổi thông tin giữa ba môi trường chính của hệ thống Fleet Engine: máy chủ phụ trợ, máy chủ Fleet Engine của bạn, cũng như các ứng dụng khách và trang web của bạn.
Fleet Engine quản lý bảo mật theo hai cách cơ bản, sử dụng nguyên tắc đặc quyền tối thiểu:
Thông tin xác thực mặc định của ứng dụng (ADC): Dành cho các môi trường có đặc quyền cao, chẳng hạn như giao tiếp giữa máy chủ với máy chủ. Được dùng khi máy chủ phụ trợ của bạn tạo phương tiện và chuyến đi, cũng như quản lý chúng trong Fleet Engine. Để biết thông tin chi tiết, xem Thông tin xác thực mặc định của ứng dụng.
Mã thông báo web JSON (JWT): Dành cho các môi trường có độ tin cậy thấp như ứng dụng chạy trên điện thoại thông minh và trình duyệt. Dùng để thực hiện các thao tác có đặc quyền thấp hơn, chẳng hạn như cập nhật vị trí xe trong Công cụ quản lý đội xe.
JWT bắt buộc của môi trường đáng tin cậy thấp được tạo và phát hành bởi máy chủ phụ trợ để bảo vệ khoá bí mật của tài khoản dịch vụ, và bao gồm tuyên bố bổ sung cụ thể đối với Fleet Engine. Để biết thông tin chi tiết, hãy xem JSON Web Mã thông báo.
Ví dụ: nếu bạn có ứng dụng dành cho tài xế, thì tài xế sẽ truy cập vào dữ liệu từ Công cụ quản lý đội xe thông qua ứng dụng. Ứng dụng được xác thực bằng cách sử dụng JWT mà ứng dụng nhận được từ máy chủ phụ trợ. Các thông báo xác nhận JWT đi kèm, cùng với vai trò của tài khoản dịch vụ, xác định những phần của hệ thống mà ứng dụng trình điều khiển có quyền truy cập và những việc mà ứng dụng này có thể làm. Phương pháp này chỉ giới hạn quyền truy cập vào dữ liệu cần thiết để hoàn tất các nhiệm vụ lái xe.
Công cụ của đội xe sử dụng các phương pháp bảo mật này để cung cấp những lợi ích sau:
Xác thực xác minh danh tính của thực thể đưa ra yêu cầu. Fleet Engine sử dụng ADC cho môi trường có độ tin cậy cao và JWT cho mức độ tin cậy thấp môi trường xung quanh.
Uỷ quyền chỉ định tài nguyên mà thực thể đã xác thực có quyền truy cập sang. Công cụ của Fleet sử dụng các tài khoản dịch vụ có vai trò IAM trên Google Cloud, cùng với các tuyên bố JWT đảm bảo rằng các thực thể đã xác thực có quyền xem hoặc thay đổi dữ liệu mà họ đang yêu cầu.
Thiết lập chế độ bảo mật cho máy chủ và máy khách
Để bật tính năng bảo mật bằng Công cụ của Fleet, hãy thiết lập các tài khoản và tính năng bảo mật bắt buộc trên máy chủ phụ trợ, cũng như trên ứng dụng khách và trang web của bạn.
Sơ đồ dưới đây trình bày tổng quan về các bước để thiết lập tính năng bảo mật trên máy chủ phụ trợ và ứng dụng khách.
Để biết thêm thông tin chi tiết, hãy xem các phần sau.
Thiết lập tính năng bảo mật máy chủ phụ trợ
Quản trị viên của đội xe cần làm theo các bước sau:
Tạo và định cấu hình tài khoản dịch vụ:
Trong Google Cloud Console, hãy tạo tài khoản dịch vụ.
Chỉ định vai trò IAM cụ thể cho các tài khoản dịch vụ.
Định cấu hình máy chủ phụ trợ bằng các tài khoản dịch vụ đã tạo. Để biết thông tin chi tiết, hãy xem phần Vai trò của tài khoản dịch vụ.
Định cấu hình giao tiếp bảo mật với Công cụ của đội xe (ADC): Định cấu hình phần phụ trợ để giao tiếp với thực thể Công cụ của đội xe bằng Thông tin xác thực mặc định của ứng dụng với *Tài khoản dịch vụ quản trị thích hợp. Để biết thêm thông tin chi tiết, hãy xem phần Thông tin xác thực mặc định của ứng dụng.
Định cấu hình giao tiếp an toàn với ứng dụng khách (JWT): Tạo một trang web JSON Trình tạo mã thông báo để tạo JWT có các thông báo xác nhận quyền sở hữu thích hợp cho ứng dụng và trang web giám sát. Để biết thông tin chi tiết, hãy xem phần Phát hành mã thông báo web JSON.
Thiết lập tính năng bảo mật ứng dụng
Nhà phát triển ứng dụng cần thêm một cách để tìm nạp mã thông báo web JSON do máy chủ phụ trợ tạo trong ứng dụng hoặc trang web của ứng dụng khách và sử dụng các mã thông báo đó để giao tiếp một cách an toàn với Công cụ của đội xe. Để biết thông tin chi tiết, hãy xem hướng dẫn thiết lập trong tài liệu về Trải nghiệm người lái xe hoặc Trải nghiệm người dùng cho các ứng dụng bạn cần.
Quy trình bảo mật ứng dụng máy chủ và ứng dụng
Sơ đồ trình tự sau đây minh hoạ quy trình xác thực và uỷ quyền của máy chủ và ứng dụng khách bằng Công cụ của đội xe sử dụng ADC với máy chủ phụ trợ và JWT với các ứng dụng khách và trang web.
Máy chủ phụ trợ của bạn tạo xe và chuyến đi hoặc công việc trong Công cụ quản lý đội xe.
Máy chủ phụ trợ của bạn cho biết một chuyến đi hoặc nhiệm vụ đến một chiếc xe: Ứng dụng trình điều khiển khi đang hoạt động sẽ truy xuất bài tập.
Máy chủ phụ trợ của bạn: Ký và đưa ra JWT cho dịch vụ tương ứng tài khoản có vai trò quản lý danh tính và quyền truy cập (IAM) thích hợp đối với nhiệm vụ hoặc chuyến đi được giao.
Ứng dụng khách: Ứng dụng khách sử dụng JWT đã nhận được để gửi thông tin cập nhật về vị trí xe đến Công cụ quản lý đội xe.
Các bước tiếp theo
- Tạo dự án Fleet Engine.
- Tìm hiểu cách Phát hành mã thông báo web JSON từ máy chủ của bạn.
- Tìm hiểu thêm về Các vai trò trong tài khoản dịch vụ.
- Tìm hiểu thêm về JWT.