Freigabe von OPC UA Datenbereichen abhängig von Benutzerrollen und -rechten

In der heutigen Zeit stehen Maschinenhersteller und Betreiber durch vernetzte Systeme immer häufiger vor der Herausforderung Netzwerke und Zugriffe zu trennen bzw. zu verwalten.
Hierbei hat sich der Kommunikationsstandard OPC UA insbesondere in der Bereitstellung von Daten von der OT- zur IT-Ebene und umgekehrt zunehmend als Standardlösung etabliert.

Anwendungsszenario: Trennung der Datenzugriffsbereiche nach CPU-Zugangspunkt (Schnittstelle X1 oder X2)

Im vorliegenden Anwendungsszenario soll der OPC UA-Server eines SIMATIC S7-1500 Controllers mit 2 Ethernet-Schnittstellen (z.B. CPU 1514SP) eingerichtet werden. Ziel ist es, dass der OPC UA Client, welcher über die Schnittstelle X1 des SIMATIC S7-1500 Controllers angeschlossen ist auf andere Datenbereiche und ggfs. mit anderen Berechtigungen zugreifen kann, wie ein weiterer OPC UA Client, welcher über die Schnittstelle X2 mit der CPU gekoppelt ist.

Es stellt sich hierbei die Frage: Kann der Zugriff auf den OPC UA-Server an den verschiedenen physikalischen Schnittstellen beschränkt werden?

Bezogen auf die Möglichkeiten der Hardwareparametrisierung ist die Antwort auf diese Frage klar zu verneinen. Sobald der OPC UA Server in der CPU aktiviert ist, steht der Datenzugriff auf diesen erst einmal an allen kompatiblen physikalischen Schnittstellen zur Verfügung. Neben den internen Schnittstellen (X1-Xn) könnte dies u.a. auch die Schnittstelle eines CP1543-1 sein.

Wie kann ein unterschiedlicher Datenzugriff an den Schnittstellen der CPU realisiert werden?

Lösung: Skalierung der Zugriffsbereiche über Vergabe von Benutzerrollen und -rechten

Der nachfolgend beschriebene Lösungsansatz basiert auf der Einrichtung von separat definierbaren Server-Schnittstellen und deren Zuweisung zu „Benutzer und Rollen". Mit der Bindung der Zugriffsrechte an Benutzerprofile ergibt sich eine hohe Flexibilität jedem OPC UA Client unabhängig seines Zugangspunkts über sein Benutzerrolle nur die Zugriffsrechte zu erteilen, welche für ihn im Vorfeld definiert wurden.

Systemvoraussetzung für die Zugriffssteuerung für OPC UA-Server

Das TIA Portal bietet ab dem Stand V20 den S7-1500 Controllern ab FW ≥ 4.0, die Möglichkeit der Zugriffssteuerung für OPC UA-Server. Hierüber ist es möglich, bestimmten Benutzern Zugriffsrechte auf unterschiedliche OPC UA-Server-Schnittstellen zu vergeben.

Anmerkung:
Die OPC UA-Serverschnittstellen sind unabhängig von den physikalischen Schnittstellen X1/X2, jedoch gibt es die Möglichkeit diese mit Benutzerprofilen zu verknüpfen.

Parametrierschritte

1.2 Aktivierung der Zugriffssteuerung auf dem OPC UA Server

Bild 2: PLC-Geräteeigenschaften – OPC UA Servereinstellungen

2. Benutzereinstellungen in den Security-Einstellungen

2.1 Definition von mindestens 2 Benutzern
(je nachdem wie viele unterschiedliche Zugriffe Sie auf den OPC-Server definieren möchten)

Bild 3: Anlegen von User1 und User2

2.2 Definition von 2 Benutzerrollen mit Zuweisung der OPC UA-Zugriffsrechte

Bild 4: Anlegen der Rollen mit Zuweisung von mind. der OPC UA-Zugriffsrechte

2.3 Verknüpfung der unter Punkt 2.2 definierten Rollen mit User1 und User2

Bild 5: Zuweisung der Rolle OPC-Zugriff1 zu User1

Bild 6: Zuweisung der Rolle OPC-Zugriff2 zu User2

Anmerkung: Die Rollen können nach Bedarf weiter ergänzt und angepasst werden.

3. Einstellungen im Abschnitt „OPC UA-Kommunikation“ des SIMATIC S7-1500 Controllers

3.1 Definition der OPC UA Server-Schnittstellen

Im ersten Schritt werden 1-n OPC UA Server-Schnittstellen definiert, welche auf unterschiedliche Teilmengen eines Datensatzes der CPU (z.B. Global DB) zugreifen können.
Im Beispiel verwenden die Server-Schnittstellen unterschiedliche Datenzugriffsbereich in ein und dem selben Global DB.

Bild 7: Definition der OPC UA-Server-Schnittstelle_1

Bild 8: Definition der OPC UA-Server-Schnittstelle_2

3.2 Zuordnung der OPC UA Benutzer Rollen zu den PLC Benutzer Rollen

Nachdem die Serverschnittstellen definiert wurden, können Sie, über „Zugriffssteuerung beim OPC UA-Server“, OPC UA Rollen hinzufügen. Siehe auch Eistellungen Bild 4 bis Bild 6.
Im Abschnitt „Zugewiesene Standard-Rollenberechtigungen …“ werden auch die Berechtigungen definiert.

Bild 9: Zuweisung Benutzerrolle OPC UA „OPCUserSchnittstelle1“ zu PLC Benutzerrolle „OPC-Zugriff1“ mit Vergabe der Rollenberechtigung

Bild 10: Zuweisung Benutzerrolle OPC UA „OPCUserSchnittstelle2“ zu PLC Benutzerrolle „OPC-Zugriff2“ mit Vergabe der Rollenberechtigung

Anmerkung:
Es ist auch möglich, eine einzige Server-Schnittstelle zu erstellen und über die oben beschriebene Vorgehensweise unterschiedliche Zugriffsrechte für die jeweiligen Benutzer zu vergeben.

Fazit

Um dem eingangs erwähnten Anwendungsfall der Einschränkung des Datenzugriffs je nach Anschluss der physikalischen Schnittstelle gerecht zu werden, sollten die Teilnehmer des jeweiligen Netzes (Anschluss an X1 oder X2) der CPU nur die Login-Daten erhalten, welche für den jeweiligen Netzzugang bestimmt sind. In dem Beispiel würde der OPC UA Client, welcher über die Schnittstelle X1 an die CPU angebunden ist, sich mit User1 anmelden und der OPC UA Client, welcher über die Schnittstelle X2 angebunden ist, sich mit User2 anmelden. Somit handelt es sich bei der oben beschriebenen Lösung ausschließlich um eine Datenzugriffsberechtigung über Benutzerprofile (Rollen und Rechte), welche jedoch die Anforderungen der eingangs beschriebenen Zugriffsbegrenzungen je nach Netzanschluss X1 oder X2 erfüllen lässt.

Wo finde ich weiterführende Informationen?

Eine ausführliche Beschreibung finden Sie in der Online Dokumentation.

Hinweis!

Die o.g. Tipps stellen lediglich einen Auszug von Lösungsansätzen vor, weitere Lösungen sind möglich. Irrtümer und Fehler vorbehalten. Insbesondere sind bei Elektroinstallationen die jeweils vorliegenden Normen und Richtlinien einzuhalten. Die o.g. Anschlussschaltungen sind in diesem Kontext als reines Funktionsprinzip zu verstehen. Ferner bezieht sich die in diesem Artikel beschriebene Vorgehensweise auf den Zeitpunkt der Erstellung dieses Artikels (Stand: Juli 2025).

Viele Grüße

Eure Fachberatung Deutschland (PK)