Управление доступом - функциональность в Avanpost FAM, направленная на упрощение регулирования привилегий пользователей.
Доступ к сетевым службам, включая бизнес-приложения, электронную почту и файловые сервисы, невозможен без прохождения пользователями аутентификации. Управление массами пользователей в индивидуальном порядке слишком трудоемко. Настройка доступа через группы упрощает управление пользователями, так как изменения в правах доступа и сценариях аутентификации группы автоматически применяются ко всем ее членам.
Функциональность управления доступом в Avanpost FAM позволяет администратору решать следующие задачи:
- Создавать, удалять и настраивать группы пользователей.
- Управлять членством пользователей в различных группах.
- Управлять сценариями аутентификации группы.
- Передавать информацию о группе, в которой состоят пользователи, в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации.
- Управлять доступом группы к конкретным приложениям и их отдельным функциям.
Передавать информацию о группе, в которой состоят пользователи в механизм управления приложениями для разрешения/запрета доступа пользователя к конкретным приложениям и их отдельным функциям.
- Управлять парольной политикой групп пользователей.
- Управлять политикой уведомлений для групп пользователей.
- Отображать администратору информацию о группах, включая список ее членов, назначенные и доступные роли, возможности доступа к приложениям, настроенные сценарии аутентификации и параметры безопасности.
Функциональность управления группами позволяет администратору осуществлять следующие операции:
- поиск и получение информации о группах;
- создание, настройка и удаление групп;
- добавление и удаление пользователей в группы;
- назначение/отзыв доступа группы к тому или иному приложению;
- настройка сценариев аутентификации для группы;
- назначение/отзыв ролей для группы;
- настройка парольной политики для группы;
- настройка правил уведомления для групп.
Управление доступом осуществляется в режиме «Группы». Режим «Группы» содержит следующие компоненты:
- реестр групп, отображающий базовую информацию;
- элементы управления поиском, включающие поисковую строку;
- кнопку «Добавить группу», переводящую на вкладку с формой добавления новой группы.
Поиск групп
Управление поиском осуществляется при помощи поисковой строки. Поиск осуществляется по наименованиям групп. При этом в реестре отображается следующая информация:
Название параметра | Значение параметра |
---|---|
Наименование | Наименование группы |
Домен | Домен группы |
Пользователи | Количество пользователей в группе |
Приложения | Количество приложений, к которым членство в группе дает доступ |
Группа по умолчанию
В реестре присутствует возможность выбора группы по умолчанию. Это базовая группа, в которую добавляются новые пользователи системы, автоматически получая права, полномочия и сценарии аутентификации, настроенные для данной группы.
Новые пользователи не добавляются в группу по умолчанию в тех случаях, когда это настроил администратор. Данная настройка доступна как для добавления пользователей вручную, так и при загрузке при помощи LDAP-провайдеров, внешних провайдеров идентификации и пр. Более подробная информация дана в разделе Управление пользователями".
Для установки группы по умолчанию следует нажать напротив нее "Сделать по умолчанию" в реестре групп. После этого напротив выбранной группы появится некликабельная метка "По умолчанию". При этом только одна группа может быть выбрана по умолчанию.
Добавление новых групп
Для добавления новой группы следует перейти в форму добавления новой группы, нажав на кнопку "Добавить группу" режима "Группы". В открывшейся вкладке требуется ввести следующие данные.
Название параметра | Значение параметра |
---|---|
Наименование | Наименование группы |
Домен | Домен группы (необязательно): администратор может ввести для упрощения идентификации группы. |
Описание | Описание группы (необязательно): администратор может ввести для упрощения работы с группами. |
После ввода параметров следует нажать "Сохранить" для сохранения или "Отмена", чтобы отменить создание. После сохранения новой группы администратор попадет в профиль созданной группы.
Управление профилем групп
Точная настройка параметров групп осуществляется через профиль группы. Во вкладку управления профилем групп можно перейти двумя способами из режима "Группы":
- нажатием на название группы в реестре групп;
- автоматически при создании новой группы.
Информация и возможности, содержащиеся в профиле группы, структурированы в подразделах вкладок "Пользователи", "Приложения", "MFA", "Роли", "Безопасность".
Наименование вкладки | Описание вкладки | ||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Пользователи | Вкладка "Пользователи" предназначена для управления членством пользователей в группах и предоставляет следующие возможности:
Вкладка содержит следующие элементы интерфейса:
Реестр пользователей содержит имя, фамилию, логин, адрес электронной почты и текущий статус пользователя в продукте. Реестр пользователей позволяет перейти в учетную запись пользователя для настройки параметров профиля конкретного пользователя. Для удаления пользователя из группы необходимо нажать напротив его имени. Поиск проводится по имени, фамилии или логину пользователя путем ввода данных в поисковую строку. При нажатии кнопки "Добавить пользователя" открывается форма добавления пользователей в группу. В форме добавления пользователей реализованы следующие возможности:
| ||||||||||||||||||||||||||||
Приложения | Вкладка "Пользователи" предназначена для управления доступом группы к приложениям и предоставляет следующие возможности:
Вкладка содержит следующие элементы интерфейса:
В реестре приложений администратору предоставляются следующие данные и возможности:
Поиск приложений представляет следующие взаимодополняющие возможности:
| ||||||||||||||||||||||||||||
MFA | Вкладка "MFA" предназначена для управления сценариями аутентификации применительно к тем или иным группам. Вкладка "MFA" содержит следующие возможности:
Вкладка содержит следующие элементы интерфейса:
При нажатии на кнопку "Сменить процесс аутентификации" появляется выпадающий список вариантами аутентификации. В списке присутствует выбор следующих вариантов аутентификации:
После нажатия кнопки "Сменить процесс аутентификации" у администратора появляются следующие возможности:
Поле "Настройки аутентификации" служит для настройки сценария аутентификации. При этом в нем можно как создать новый сценарий, так и изменить существующий. Начать настройку сценария можно следующими способами:
Поле настройки позволяет настраивать шаги сценария аутентификации и состоит из следующих элементов интерфейса:
Выбор сценария MFA для членов различных групп Для пользователя, состоящего в группах с различными сценариями аутентификации, выбор сценария определяется следующим образом. Приоритет отдается сценарию, запускаемому скриптом MFA, исходя из значений различных параметров пользователя и его устройства. Следующим по приоритетности является сценарий аутентификации, настраиваемый для группы, в которой состоит пользователь. При этом, если пользователь состоит в нескольких группах с различными сценариями аутентификации, используется сценарий одной из групп, выбираемой случайно. При выборе сценария учитывается настройка доступных/недоступных факторов аутентификации для конкретного пользователя, доступная в учетной записи. При аутентификации в приложении запрашиваются дополнительные факторы, если в сценарии аутентификации, настроенном для данного приложения, обязательна проверка по тем факторам, которые не проверялись во время аутентификации пользователя в Avanpost FAM. | ||||||||||||||||||||||||||||
Роли | Вкладка "Роли" предназначена для управления ролями групп пользователей. Более подробное описание механизма и функциональных возможностей ролей в Avanpost FAM представлено в разделе "Настройка ролей и прав". Вкладка содержит следующие элементы интерфейса:
В поисковой строке предоставлена возможность поиска роли по ее наименованию. Реестр содержит следующую информацию и возможности управления ролями:
Администратор может перейти в профиль роли, нажав на ее наименование. В профиле роли доступно управление правами доступа роли, назначением роли конкретным пользователям и группам. | ||||||||||||||||||||||||||||
Безопасность | Вкладка "Безопасность" предназначена для управления парольной политикой и уведомлениями групп пользователей. Вкладка "Безопасность" предоставляет следующие возможности:
Вкладка "Безопасность" состоит из трех разделов: "Настройки политики паролей", "Методы восстановления пароля", "Настройка правил уведомлений пользователей". Раздел "Настройки политики паролей" позволяет:
Если политика не назначена, раздел будет содержать информацию о том, что выбрана парольная политика по умолчанию. Для замены парольной политики, установленной по умолчанию, на другую требуется нажать "Назначить другую политику". Перед администратором откроется список с существующими парольными политиками. Для обновления данных о политиках следует нажать . Для выбора нужной политики для группы следует нажать "Назначить". Затем выбранную политику "Сохранить" для сохранения или "Отмена", чтобы закрыть список без внесения изменений. Если парольная политика назначена, ее название отображается разделе. Для возврата к стандартной парольной политике требуется нажать напротив названия парольной политики и подтвердить действие. Создание и настройка параметров конкретной парольной политики описана в разделе "Настройка парольных политик". Раздел "Методы восстановления пароля" позволяет включать возможность восстановления пароля при помощи тех или иных факторов. Раздел содержит реестр со следующими факторами аутентификации:
Чтобы позволить использовать фактор для восстановления пароля, следует перевести переключатель в положение "включено" (), чтобы запретить - в положение "выключено" (). Раздел "Настройка правил уведомлений пользователей" предназначена для управления правилами отправки уведомлений пользователям в зависимости от тех или иных событий. Раздел позволяет:
Если правила не назначены, в графе "Выбранная настройка" раздела будет отображаться "Стандартная настройка". Чтобы выбрать иной набор правил, следует нажать "Изменить". Перед администратором откроется список с существующими наборами правил. Для обновления данных о политиках следует нажать . Для выбора нужного набора правил для группы следует нажать "Назначить". Затем необходимо нажать "Сохранить" для сохранения выбранных правил или "Отмена", чтобы закрыть список без внесения изменений. Для возврата к стандартным правилам уведомлений требуется нажать напротив названия парольной политики и подтвердить действие. Правила сбросятся до стандартных. Для изменения правил следует нажать на название набора правил в графе "Выбранная настройка" и перейти во вкладку настройки правил. Вкладка настройки правил содержит следующие данные:
Для редактирования набора правил следует нажать , добавить/убрать флажки настроек и/или изменить наименование набора правил. Затем требуется нажать "Сохранить" для сохранения или "Отмена" для сброса изменений. Для пользователя, состоящего в группах с различными настройками вкладки "Безопасность" применяется:
Сценарий использования Администратор хочет узнать, какая парольная политика, какие методы восстановления пароля и какие правила уведомления настроены для пользователей Петра (состоит в группах "По умолчанию", "Менеджмент"), Ивана (состоит в группах "Менеджмент", "Инженеры") и Павла (состоит только в группе "Менеджмент"). Для наглядности данные о настройках безопасности групп и фактических настройках безопасности двух пользователей можно представить в виде таблицы.
|