Authentifizierung
Eine OPC-UA-Client-Applikation kann sich über verschiedene IdentityToken am TwinCAT OPC UA Server authentifizieren. Hierbei werden die folgenden IdentityToken unterstützt:
- Anonymous
- Benutzername/Passwort
- Benutzerzertifikat
 | Auslieferungszustand Im Auslieferungszustand des Servers ist das IdentityToken „Anonymous“ aktiviert; der Server erfordert für die Inbetriebnahme jedoch eine einmalige Initialisierung. Anschließend wird dieses IdentityToken deaktiviert und Client-Applikationen müssen sich mit einem Benutzernamen am Server authentifizieren. |
Anonymous
Diese Art der Authentifizierung ermöglicht es, beliebigen OPC UA Clients eine Verbindung zur Serverapplikation herzustellen. Die Angabe einer Benutzeridentität ist hierbei nicht erforderlich, wodurch sich auch keinerlei Möglichkeiten bieten, Zugriffsrechte auf dem Server zu definieren. Beckhoff empfiehlt, diese Authentifizierungsart nach der Inbetriebnahme des Servers zu deaktivieren. Dies kann über den TwinCAT-OPC-UA-Konfigurator erfolgen. Im Folgenden finden Sie einen Beispiel-Screenshot aus der OPC-UA-Client-Applikation "UA Expert":
Benutzername/Passwort
Diese Art der Authentifizierung verwendet eine Benutzername-/Passwort-Kombination zum Authentifizieren des Clients an der Serverapplikation. Auf dem Server lassen sich dann Zugriffsrechte für die jeweilige Benutzeridentität definieren. Die Benutzeridentität kann hierbei auf verschiedenen Ebenen definiert sein:
- Benutzeridentität ist im Server definiert
- Benutzeridentität kommt aus dem unterlagerten Betriebssystem (z. B. ein lokaler Windows Benutzer)
- Benutzeridentität kommt aus dem Active Directory (z. B., wenn der Industrie-PC Teil einer Windows Domäne ist)
| Empfehlung bei Verwendung von User IdentityToken Wenn User IdentityToken zur Authentifzierung von Client-Applikationen verwendet werden sollen, empfiehlt Beckhoff die Verwendung von Betriebssystem-Benutzern. |
Im Folgenden finden Sie einen Beispiel-Screenshot aus der OPC UA Client Applikation "UA Expert":
Benutzerzertifikat
Diese Art der Authentifizierung verwendet ein Zertifikat, um sich an der Serverapplikation zu authentifizieren. Die Handhabung der Benutzerzertifikate auf Serverseite ist identisch zur Verwendung von Zertifikaten auf Transportebene, d. h. der Server muss dem (Benutzer-) Zertifikat vertrauen, bevor sich der Client mit dem Zertifikat erfolgreich am Server authentifizieren kann. Ein separates Verzeichnis ("pkiuser") zur Verwaltung der Benutzerzertifikate steht hierfür im Server zur Verfügung. Im Folgenden finden Sie einen Beispiel-Screenshot aus der OPC UA Client Applikation "UA Expert":
Zusätzlich muss für die Verwendung dieser Authentifizierungsmethode über den TwinCAT OPC UA Configurator ein X.509-Benutzer angelegt werden. Der Name des Benutzers muss mit dem Common Name des Zertifikats übereinstimmen.
Hinweis | |
Authentifizierung und Serverzertifikat Der TwinCAT OPC UA Client benötigt bei der Verwendung des unverschlüsselten Endpunkts in Verbindung mit Authentifizierung dennoch den Public-Key vom OPC UA Server Zertifikat, um das Passwort bei der Übertragung zu verschlüsseln. Dazu muss diesem Zertifikat im TwinCAT OPC UA Client vertraut werden (siehe Zertifikatsaustausch). |
Konfiguration
Die Konfiguration der IdentityToken erfolgt üblicherweise über den TwinCAT OPC UA Configurator. Hier steht Ihnen eine grafische Benutzeroberfläche zur Verfügung, um IdentityToken zu aktivieren, zum Beispiel im Standalone Konfigurator:
