Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Tổng quan về bảo mật

Tài liệu này giải thích cách Fleet Engine bảo mật việc trao đổi thông tin giữa 3 môi trường chính của hệ thống Fleet Engine: máy chủ phụ trợ, máy chủ Fleet Engine và các ứng dụng và trang web của khách hàng.

Fleet Engine quản lý tính bảo mật theo 2 cách cơ bản, sử dụng nguyên tắc cấp ít quyền nhất:

Thông tin xác thực mặc định của ứng dụng (ADC): Dành cho các môi trường có đặc quyền cao chẳng hạn như giao tiếp giữa máy chủ với máy chủ. Được dùng khi máy chủ phụ trợ của bạn đang tạo xe và chuyến đi cũng như quản lý các xe và chuyến đi đó trong Fleet Engine. Để biết thông tin chi tiết, hãy xem Thông tin xác thực mặc định của ứng dụng.

**Lưu ý:** Mặc dù bạn có thể sử dụng JWT để giao tiếp giữa máy chủ với máy chủ, nhưng Google khuyên bạn nên sử dụng ADC.
Mã thông báo web JSON (JWT): Dành cho các môi trường có độ tin cậy thấp như ứng dụng khách chạy trên điện thoại thông minh và trình duyệt. Được dùng để thực hiện các thao tác có đặc quyền thấp hơn, chẳng hạn như cập nhật vị trí xe trong Fleet Engine.

Các JWT mà môi trường có độ tin cậy thấp yêu cầu sẽ được máy chủ phụ trợ của bạn tạo và cấp để bảo vệ khoá bí mật của tài khoản dịch vụ, đồng thời bao gồm các yêu cầu bổ sung dành riêng cho Fleet Engine. Để biết thông tin chi tiết, hãy xem bài viết Mã thông báo web JSON.

Ví dụ: nếu bạn có một ứng dụng dành cho tài xế, thì tài xế sẽ truy cập vào dữ liệu từ Fleet Engine thông qua ứng dụng đó. Ứng dụng này được xác thực bằng JWT mà ứng dụng nhận được từ máy chủ phụ trợ của bạn. Các yêu cầu JWT được đưa vào, cùng với vai trò của tài khoản dịch vụ, sẽ xác định những phần nào trong hệ thống mà ứng dụng dành cho tài xế có quyền truy cập và những việc mà ứng dụng đó có thể làm. Phương pháp này chỉ cho phép truy cập vào dữ liệu cần thiết để hoàn thành nhiệm vụ lái xe của họ.

Fleet Engine sử dụng các phương pháp bảo mật này để cung cấp những nội dung sau:

Tính năng xác thực sẽ xác minh danh tính của thực thể gửi yêu cầu. Fleet Engine sử dụng ADC cho các môi trường có độ tin cậy cao và JWT cho các môi trường có độ tin cậy thấp.
Tính năng uỷ quyền chỉ định những tài nguyên mà một thực thể đã xác thực có quyền truy cập. Fleet Engine sử dụng các tài khoản dịch vụ có vai trò IAM của Google Cloud, cộng với các yêu cầu JWT để đảm bảo rằng các thực thể đã xác thực có quyền xem hoặc thay đổi dữ liệu mà họ đang yêu cầu.

Thiết lập bảo mật cho máy chủ và ứng dụng khách

Để bật tính năng bảo mật bằng Fleet Engine, hãy thiết lập các tài khoản và tính năng bảo mật cần thiết trên máy chủ phụ trợ cũng như trên các ứng dụng và trang web của khách hàng.

Sơ đồ sau đây cho thấy tổng quan về các bước thiết lập tính năng bảo mật trên máy chủ phụ trợ và ứng dụng khách.

Sơ đồ quy trình bảo mật trong quá trình thiết lập để xác thực ứng dụng máy chủ và ứng dụng khách

Để biết thêm thông tin chi tiết, hãy xem các phần sau.

Thiết lập bảo mật cho máy chủ phụ trợ

Quản trị viên đội xe cần làm theo các bước sau:

Tạo và định cấu hình tài khoản dịch vụ:
1. Trong Bảng điều khiển Google Cloud, hãy tạo tài khoản dịch vụ.
2. Chỉ định các vai trò IAM cụ thể cho tài khoản dịch vụ.
3. Định cấu hình máy chủ phụ trợ bằng các tài khoản dịch vụ đã tạo. Để biết thông tin chi tiết, hãy xem bài viết Vai trò của tài khoản dịch vụ.
Định cấu hình giao tiếp an toàn với Fleet Engine (ADC): Định cấu hình phần phụ trợ để giao tiếp với thực thể Fleet Engine bằng Thông tin xác thực mặc định của ứng dụng với *Tài khoản dịch vụ quản trị* thích hợp. Để biết thông tin chi tiết, hãy xem bài viết Thông tin xác thực mặc định của ứng dụng.
Định cấu hình giao tiếp an toàn với ứng dụng khách (JWT): Tạo trình tạo Mã thông báo web JSON để tạo JWT có các yêu cầu thích hợp cho ứng dụng khách và trang web giám sát. Để biết thông tin chi tiết, hãy xem bài viết Cấp mã thông báo web JSON.

Thiết lập bảo mật cho ứng dụng

Nhà phát triển ứng dụng cần đưa một cách để tìm nạp Mã thông báo web JSON do máy chủ phụ trợ của bạn tạo vào ứng dụng hoặc trang web của khách hàng, đồng thời sử dụng các mã thông báo đó để giao tiếp an toàn với Fleet Engine. Để biết thông tin chi tiết, hãy xem hướng dẫn thiết lập trong tài liệu về Trải nghiệm của tài xế hoặc Trải nghiệm của người tiêu dùng cho các ứng dụng mà bạn cần.

Quy trình bảo mật cho máy chủ và ứng dụng khách

Sơ đồ trình tự sau đây minh hoạ quy trình xác thực và uỷ quyền cho máy chủ và ứng dụng khách bằng Fleet Engine, sử dụng ADC với máy chủ phụ trợ và JWT với các ứng dụng và trang web của khách hàng.

Sơ đồ quy trình bảo mật trong quá trình xác thực hoạt động cho máy chủ và ứng dụng khách

Máy chủ phụ trợ của bạn tạo xe và chuyến đi hoặc nhiệm vụ trong Fleet Engine.
Máy chủ phụ trợ của bạn: Chỉ định một chuyến đi hoặc nhiệm vụ cho một chiếc xe. Khi hoạt động, ứng dụng dành cho tài xế sẽ truy xuất thông tin chỉ định.
Máy chủ phụ trợ của bạn: Ký và cấp JWT cho tài khoản dịch vụ tương ứng có vai trò IAM thích hợp cho nhiệm vụ hoặc chuyến đi được chỉ định.
Ứng dụng khách: Ứng dụng khách sử dụng JWT nhận được để gửi thông tin cập nhật về vị trí xe đến Fleet Engine.

Bước tiếp theo

Tạo dự án Fleet Engine.
Tìm hiểu cách Cấp mã thông báo web JSON từ máy chủ của bạn.
Tìm hiểu thêm về Vai trò của tài khoản dịch vụ.
Tìm hiểu thêm về JWT.