Usando Geofence para adicionar segurança em nível de camada no Geoserver

O sistema de segurança do Geoserver é muito bom por si só. Ele permite criar vários Papéis, Grupos, Usuários e fazer combinações entre eles, protegendo nossos dados. Caso você não conheça o sistema de segurança do GeoServer temos uma série com 1, 2, 3, 4 posts aqui no blog.

Como mencionado no título, iremos utilizar neste post o GeoFence, e para um melhor entendimento irei descrever um problema para demonstrar o funcionamento do plugin.

1. Descrição do Problema

Imagine um cenário, onde você tem uma camada que contém informações para todas as regiões do mundo e diversos atributos. Por exemplo, a camadas de Lugares (Places) que pode ser encontrada em https://www.naturalearthdata.com/downloads/10m-cultural-vectors/10m-populated-places/

Baixe o shape no link acima e configure como uma camada do workspace cite no seu GeoServer.

Neste cenário nós queremos restringir o acesso de acordo com a planilha abaixo:

Se você perceber estamos entrando no nível de camada, e querendo realizar restrições nas informações (ex: ter acesso apenas aos lugares localizados no Brasil e apenas a alguns atributos específicos por role e/ou usuário).

Para conseguir isso, usaremos o GeoFence, que nos permite subir ao nível da camada e definir a permissão conforme nossa necessidade. A ferramenta de GeoFence pode ser usada via interface do usuário ou como uma API REST.

2. Trabalhando com GeoFence

2.1 Instalação

Se você estiver usando GeoServer a partir da versão 2.18, lembre-se de instalar apenas o plugin GeoFence Server, e não instalar o plugin GeoFence Client. Para este teste, eu estou usando a versão 2.18.4, desta forma a página para download é http://geoserver.org/release/2.18.4/

Uma vez realizado o download, coloque todos os jars em /geoserver/webapps/geoserver/WEB-INF/lib/ e reinicie o geoserver. Uma vez feito, você verá novas opções adicionadas na guia de segurança:

2.2 Configuração

Finalizada a instalação, você deve ir na guia GeoFence e clicar no botão de conexão de teste e ver a mensagem de conexão bem-sucedida. Se você não vir isso, significa que você não instalou o plugin corretamente, ou seja, reveja os passos anteriores.

2.3 Definindo papéis e usuários

Precisamos definir os usuários e papéis (roles) de acordo com a declaração do problema, na guia Configurações -> Usuários, Grupos, Funções. Veja como:

2.3.1. Criar os papéis (roles) brasil_gov, brasil_public e latam
2.3.2. Criar os usuários class_1, class_2 e normal vinculados ao papel brasil_public
2.3.3. Criar o usuário gov vinculado ao papel brasil_gov
2.3.4. Criar o latam_user vinculado ao papel latam

A configuração deverá ficar assim:

2.4 Definindo regras de dados do GeoFence

Para definir as regras de dados do GeoFence de acordo com a declaração do nosso problema vamos em Secutiry -> Geofencing Data Rules, e em seguinte clique em adicionar nova regra:

Vamos agora entender os parâmetros para realizar as configurações:

Priority — Mantenha essa prioridade

Role — Selecione o nome da role

Username — Se você deseja criar uma regra específica para um determinado usuário, selecione o nome, caso contrário, mantenha o valor selecionado como *

Service – Se você deseja criar uma regra específica para o serviço (WMS, WFS, etc.), selecione o nome do serviço, caso contrário, mantenha o valor selecionado como *

Request — Se você selecionar qualquer serviço específico, as solicitações vinculadas a ele estarão disponíveis para seleção

Workspace — Selecione a área de trabalho em qual sua camada pertence, mantendo * aplicará uma regra a todas as áreas de trabalho

Layer — Se você deseja aplicar a regra a uma camada específica na workspace selecionada, selecione o nome, mantendo * aplicará a regra a todas as camadas da workspace

IP Address range — O endereço IP permitido que pode usar o geoserver pode ser escrito aqui, mantendo ele em branco tornará o geoservidor disponível globalmente

Access — Aqui definimos se queremos permitir que o usuário/função selecionado acesse o espaço de trabalho/camada selecionado. as opções disponíveis são ALLOW (PERMITIR), DENY (NEGAR), LIMIT (LIMITAR).

Layer details — Se você selecionar um nome de camada específico, essa opção estará disponível. Aqui será definida a regra de acordo com a especificação da camada. Marque ✅ a caixa de seleção “Specify Layer Details” para ver mais opções.

Allowed Styles — Aqui você pode definir o estilo permitido visível para o usuário, se deixado em branco, todos os estilos estarão disponíveis

CQL Read Filter — Aqui você pode definir o filtro CQL que será aplicado à camada, limitando assim os recursos baseados a este filtro

CQL Write Filter — Aqui você pode definir o filtro que será aplicado na solicitação de gravação (por exemplo, WFSTransaction)

Allowed area (WKT) — Usando isso, você pode restringir a visibilidade dos recursos específicos apenas para determinadas áreas. Como indica o rótulo do campo, o formato aceito é o WKT, como no exemplo abaixo:

POLYGON ((-127.96875 -57.51582286553883, -32.34375 -57.51582286553883, -32.34375 31.952162238024975, -127.96875 31.952162238024975, -127.96875 -57.51582286553883))

Layer Attributes — Selecione os atributos da camada que você deseja permitir que os usuários usem. Certifique-se de que o atributo de geometria esteja sempre ATIVADO para que você possa ver a camada. As opções disponíveis para seleção são:

None — para ocultar o atributo
Readonly — Apenas para ler os dados, mas a transação não será permitida
Readwrite — O usuário pode ler e gravar este atributo

PS: Lembre sempre de permitir o acesso ao campo geometria

Assim, todas as regras serão definidas. Veja:

Para criar as regras acima, na guia “Layer Details” foram usados os campos de CQL para todas as regras que continham as roles brasil_gov e brasil_public. Para a regra latam, não foi utilizado o campo CQL e sim o campo WKT, passando um polígono com as dimensões da América Latina.

3. Testes

Quando fizermos login como gov, veremos os seguintes dados: