Настройка безопасности сессий администратора JIRA

JIRA защищает доступ к своим административным функциям, требуя безопасного сеанса (сессии) администрирования при использовании экранов администрирования JIRA. (Это также известно как websudo.) Когда администратор JIRA (который входит в JIRA) пытается получить доступ к функции администрирования, ему  будет предложено снова войти в систему. Это ведет администратора во временную защищенную сессию, которая предоставляет доступ к экранам администрирования JIRA.

Временная защищенная сессия имеет повторяющийся тайм-аут (по умолчанию 10 минут). Если нет активности   администраторов в экранах администрирования JIRA  на период времени, превышающий тайм-аут, администратор будет выведен из сеанса защищенного администратора (обратите внимание, что он останется включенным в JIRA). Если администратор нажимает на функцию администрирования, тайм-аут будет сброшен.

Обратите внимание, что функции администрирования проекта (как определено в разрешении «Администратор проекта») не требуют безопасного сеанса администрирования.

Ручное завершение безопасной сессии администратора

Администратор может вручную завершить свой безопасный сеанс вручную, нажав ссылку «drop access» на баннере, отображаемом в верхней части экрана.

Отключение безопасных сеансов администратора

Безопасные сеансы администратора (т. е. подтверждение пароля перед доступом к функциям администрирования) включены по умолчанию. Если это вызывает проблемы для вашего сайта JIRA (например, если вы используете пользовательский механизм проверки подлинности), вы можете отключить эту функцию, указав следующую строку в файле jira-config.properties:


jira.websudo.is.disabled = true

 Для того, чтобы этот параметр вступил в силу, вам необходимо перезапустить JIRA- сервер.

Изменение тайм- аута

Для того чтобы изменить количество минут бездействия, после которых сеанс защищенного администратора будет в тайм- ауте, укажите свойство jira.websudo.timeout (в файле jira-config.properties), значение которого представляет собой количество минут бездействия, необходимых перед безопасным администрированием времени сеанса.

Например, следующая строка в файле jira-config.properties завершит сеанс безопасного администрирования через 10 минут:


jira.websudo.timeout = 10

Для того, чтобы этот параметр вступил в силу, вам необходимо перезапустить JIRA- сервер.

Заметки разработчика

Если вы написали плагин с действиями веб-поиска в разделе администрирования JIRA, эти действия должны содержать аннотацию @WebSudoRequired, добавленную в класс (а не метод или пакет, в отличие от Confluence).

Если вы хотите защитить другие типы плагинов, такие как службы REST или сервлеты, см. раздел «Добавление поддержки WebSudo в ваш плагин».

 

По материалам Atlassian JIRA Administrator's Guide: Configuring Secure Administrator Sessions