Avanpost FAM/MFA+ : 5.2.1. Настройка ролей и прав

Управление ролями и правами - функциональность в Avanpost FAM, которая позволяет осуществлять тонкую настройку возможностей доступа для групп пользователей. Инструмент ролей позволяет настроить полномочия групп пользователей и отдельных пользователей таким образом, чтобы ограничения доступа в соответствии с политикой безопасности не препятствовали осуществлению профессиональной деятельности пользователя. 

Функциональность управления ролями в Avanpost FAM позволяет администратору решать следующие задачи:

  1. Создавать, удалять и настраивать роли.
  2. Назначать/отзывать роль для пользователей и групп пользователей. 
  3. Добавлять/удалять объекты доступа для роли.
  4. Добавлять/удалять права для работы с тем или иным объектом доступа для роли.
  5. Отображать администратору информацию о ролях, включая полномочия, предоставляемые ролью, и список пользователей/групп пользователей, которым данная роль назначена. 

Настройка ролей и прав осуществляется во вкладке "Настройки ролей и прав" режима "Сервис". Вкладка содержит следующие компоненты:

  • реестр ролей с базовой информацией;
  • элементы управления поиском, включающем поисковую строку и выпадающий список с приложениями;
  • кнопку "Добавить", переводящую во вкладку добавления новой роли.

Типы ролей

В Avanpost FAM реализовано два типа ролей: системные (system) и настраиваемые (custom).

  1. Системные роли - предустановленные роли, полномочия которых настроены таким образом, чтобы обеспечить правильное функционирование продукта. Данные роли не подлежат редактированию и удалению, невозможно создать новую системную роль.
  2. Настраиваемые роли - роли, настраиваемые администратором, чтобы обеспечить распределение полномочий, прав и доступа в соответствии с политикой безопасности заказчика. Данные роли могут создаваться, удаляться и редактироваться администратором под текущие задачи.

Ролевые модели

В Avanpost FAM существует две основных ролевых модели, предназначенных для управления контролем доступа: 

  • ролевая модель на основе бизнес-процессов (версии 1.13.0 и выше);
  • ролевая модель на основе CRUD-операций (до версии 1.13.0).

Поиск ролей

Поиск и получение информации о ролях осуществляется при помощи реестра, содержащего следующие данные о ролях.

Название параметраЗначение параметра
РольНаименование роли.
Тип

Тип роли:

  • system - системные роли;
  • custom - настраиваемые роли.
ОписаниеОписание роли, которое можно добавить для удобства.
ПользователейКоличество пользователей, которым назначена данная роль.
ГруппКоличество групп, которым назначена данная роль.
ПриложениеНазвания приложений, к которым обеспечивается доступ данная роль.

Поиск осуществляется вводом наименования искомой роли в поисковую строку. Администратор может сузить область поиска при помощи элемента фильтрации с выпадающей строкой. Выпадающая строка позволяет отфильтровать роли по приложениям, к которым роли предоставляют доступ:

  • "Все приложения" - в реестре будут отображаться все роли
  • при выборе наименования приложения в реестре будут отображаться только те роли, которые дают доступ к данному приложению.

Для перехода в профиль роли требуется нажать на наименование данной роли.

Добавление новых ролей

Для добавления новой роли следует нажать кнопку "Добавить" во вкладке "Настройки ролей и прав" и перейти в форму добавления новой роли. В форме необходимо заполнить:

  • Наименование - Текстовое поле с названием новой роли.
  • Описание - Текстовое поле с описанием роли, которое рекомендуется заполнить для упрощения работы.
  • Объекты доступа и права - Раздел, в котором настраиваются полномочия данной роли.

Раздел "Объекты доступа и права" используется для того, чтобы роль предоставляла набор прав (Scopes) в отношении объектов доступа (Resourse) для приложений. Каждый объект доступа содержит набор прав, которые зависят от модели доступа к данному объекту. При этом модели доступа делятся на два типа (более подробно описано в разделе Модель доступа для OpenID Connect-приложений): настраиваемые во вкладке "Модель доступа" для OIDC-приложения и предустановленные для функциональный элементов Avanpost FAM. Раздел "Объекты доступа и права" содержит:

  • поисковую строку, предназначенную для нахождения объектов доступа (Resourse) внешних приложений и Avanpost FAM по наименованию;
  • перечень объектов доступа (Resourse) внешних приложений и Avanpost FAM с возможностью назначения/отзыва прав (Scopes) путем включения/выключения флажков напротив наименований прав.

Чтобы роль предоставляла пользователю конкретное право в отношении функционального элемента/приложения требуется:

  1. Вручную или при помощи поисковой строки найти необходимый функциональный элемент/приложение;
  2. Настроить полномочия, включив флажки напротив наименований предоставляемых прав (scopes) и выключив - напротив непредоставляемых (по умолчанию все флажки выключены).

После заполнения разделов формы следует нажать "Сохранить" для сохранения новой роли. Для отмены совершенных действий следует нажать "Отмена".

Сценарий использования

Администратор хочет создать и присвоить отдельную роль, которая предоставляла бы доступ к чтению раздела "Documents" в приложении "Example" и все права для настройки скриптов в Avanpost FAM. Администратор хочет назначить роль пользователю Ивану Петрову и группе "Инженеры". Для этого администратору необходимо совершить следующие действия:

  1. Войти в профиль приложения "Example", раздел "Модель доступа".
  2. Создать объект доступа "Documents" и права (включая право "Чтение"), которые могут быть доступны пользователям, аутентифицирующимся посредством Avanpost FAM. Коды объектов доступа и прав должны соответствовать кодам в целевом приложении. Если объекты доступа для приложения уже настроены, данный шаг стоит пропустить.
  3. Войти на вкладку добавления новой роли, ввести наименование и, если требуется, описание роли.
  4. При помощи поисковой строки или вручную найти объект доступа "Documents"и поставить флажок напротив права "Чтение" в списке прав.
  5. При помощи поисковой строки или вручную найти объект доступа "Скрипты", предустановленный в Avanpost FAMи Поставить флажок напротив "Все права" в списке прав, чтобы не включать флажки напротив прав по отдельности.
  6. Сохранить роль. 
  7. Назначить роль интересуемой группе и пользователю, воспользовавшись одним из двух вариантов.
    1. Назначить роль через профили пользователя и группы соответственно.
      1. Зайти в учетную запись пользователя Иван Петров, найдя искомого пользователя в режиме "Пользователи".
      2. Зайти во вкладку "Роли" в разделе "Группы и роли" учетной записи пользователя, найти искомую роль и переместить переключать в значение "Включено".
      3. Зайти в профиль группы "Инженеры", найдя искомую группу в режиме "Группы".
      4. Зайти во вкладку "Роли" профиля группы, найти искомую роль и переместить переключать в значение "Включено".
    2. Назначить роль через профиль роли.
      1. Зайти в профиль созданной роли во вкладке "Настройки ролей и прав".
      2. Во вкладке "Пользователи" профиля роли нажать кнопку "Добавить пользователей", найти пользователя Иван Петров и присвоить ему роль.
      3. Во вкладке "Группы" профиля роли нажать кнопку "Добавить группы", найти группу "Инженеры" и присвоить ей роль.

Профиль роли

Для перехода в профиль роли требуется нажать на название роли в реестре вкладки "Настройки ролей и прав". Профиль роли содержит вкладки: "Объекты доступа и права", "Пользователи", "Группы".

Для редактирования наименования, описания, объектов и прав доступа роли следует нажать . Для удаления роли следует нажать. Редактирование и удаление доступны для ролей типа custom и недоступны для ролей типа system. 

Вкладки профиля роли содержат следующие данные и возможности.

Наименование вкладкиОписание вкладки
Объекты доступа и права

Вкладка "Объекты доступа и права" предназначена для управления доступом и полномочиями, которые предоставляет роль. Вкладка предоставляет следующие возможности:

  • получение информации о полномочиях, которые предоставляет роль;
  • редактирование полномочий, которые предоставляет роль (только для ролей типа custom).

Информацию о правах, предоставляемых ролью в отношении различных объектов, можно получить, ознакомившись с текущей расстановкой флажков в чекбоксах.

Чтобы отредактировать настройку полномочий следует:

  • нажать для перехода в режим редактирования;
  • добавить флажки для полномочий, которые роль будет предоставлять, и убрать флажки для полномочий, которые роль не будет предоставлять;
  • нажать кнопку "Сохранить" для сохранения изменений.
Пользователи

Вкладка "Пользователи" предназначен для назначения управления пользователями, которым назначена данная роль и предоставляет следующие возможности:

  • получение информации о пользователях, которым данная роль назначена;
  • назначение/отзыв роли для тех или иных пользователей.

Вкладка содержит следующие элементы интерфейса:

  • реестр пользователей с информацией о пользователях и возможностью отозвать роль у конкретных пользователей;
  • кнопку "Добавить пользователей";
  • поисковую строку для поиска пользователей по именам, фамилиям, логинам и электронной почте.

В реестре пользователей содержатся следующие данные и возможности:

  • Пользователь - Логин, Имя и Фамилия пользователя.
  • Email - электронная почта пользователя.
  • Статус - Статус УЗ пользователя:
    • включенная УЗ () или выключенная УЗ ()
    • требующая активации () или уже активированная (без значка)
  • Удалить - Для отзыва роли у пользователя требуется нажать в  данном столбце.

Добавление пользователей доступно при помощи нажатия кнопки "Добавить пользователей". В открывшейся вкладке следует выбрать пользователей, которым будет назначена роль. Для этого устанавливается флажок в чекбоксе напротив нужного пользователя или флажок в строке "Все", если роль требуется присвоить всем пользователям. Для поиска пользователей по именам, фамилиям и логинам можно использовать строку поиска. После выбора нужных пользователей следует нажать "Сохранить" для сохранения изменений. Для отказа от изменений следует нажать "Отмена".

Группы

Вкладка "Группы" предназначен для назначения управления группами, которым назначена данная роль и предоставляет следующие возможности:

  • получение информации о группах, которым данная роль назначена;
  • назначение/отзыв роли для тех или иных групп пользователей.

Вкладка содержит следующие элементы интерфейса:

  • реестр групп с информацией о группах и возможностью отозвать роль у конкретных групп пользователей;
  • кнопку "Добавить группы";
  • поисковую строку для поиска групп по названиям.

В реестре пользователей содержатся следующие данные и возможности:

  • Группа - Название группы.
  • Описание - Описание группы.
  • Удалить - Для отзыва роли у группы требуется нажать в  данном столбце.

Добавление групп доступно при помощи нажатия кнопки "Добавить группы". В открывшейся вкладке следует выбрать группы, которым будет назначена роль. Для этого устанавливается флажок в чекбоксе напротив нужной группы или флажок в строке "Все", если роль требуется присвоить всем группам. Для поиска групп по названиям можно использовать строку поиска. После выбора нужных групп следует нажать "Сохранить" для сохранения изменений. Для отказа от изменений следует нажать "Отмена".



Обсуждение