Управление пользователями - функциональность в Avanpost FAM, предназначенная для решения следующих задач:
- сбор и фиксация данных о пользователях;
- добавление пользователей, включая добавление пользователей из внешних источников;
- управление УЗ с возможностью запуска/приостановки УЗ, расширения/ограничения привилегий пользователя;
- настройка и управление параметрами факторов аутентификации пользователей;
- Отредактировать шаблон в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок).
- передача параметров пользователей в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации;
- отображение администратору данных о пользователях.
Функциональность управления пользователями позволяет администратору осуществлять следующие операции с пользовательскими аккаунтами и их данными:
- поиск и получение информации о пользователях;
- добавление и удаление пользователей;
- добавление логинов пользователей в черный список;
- добавление, редактирование и удаление дополнительных атрибутов пользователей и редактирование основных атрибутов пользователей;
- управление доступом пользователей к приложениям;
- управление группами и ролями пользователей;
- контроль сценариев аутентификации пользователей с возможностью блокировки или разблокировки факторов аутентификации для конкретных пользователей;
- управление паролями пользователей;
- управление токенами, OTP-токенами и сертификатами пользователей;
- управление статусом пользовательских устройств, их удаление и запоминание.
Управление пользователями осуществляется в режиме «Пользователи». Режим «Пользователи» содержит следующие компоненты:
- реестр пользователей, отображающий базовую информацию о пользователях;
- элементы управления поиском, включающие поисковую строку и фильтры;
- кнопку «Добавить пользователя», переводящую на вкладку с формой добавления нового пользователя;
- кнопку «Операции с несколькими пользователями», переводящую на вкладку с интерфейсом для проведения массовых операций;
- кнопку «Редактор атрибутов», переводящую на вкладку управления дополнительными атрибутами пользователей;
- кнопку «Черный список имен», переводящую на вкладку управления черным списком пользователей.
Avanpost FAM реализует функционал Управление устройствами, с которых аутентифицируются пользователи, более подробно описанный в разделе 5.10. Управление устройствами.
Avanpost FAM реализует функционал Управление сессиями, более подробно описанный в разделе 5.9. Управление сессиями.
Поиск пользователей
Управление поиском осуществляется при помощи поисковой строки и фильтров. Поисковая строка позволяет искать пользователей по значениям атрибутов «Имя», «Фамилия», «Логин», «E-mail», «Телефон». При этом в реестре отображается следующая информация.
Название параметра | Значение параметра |
---|---|
Пользователь | Имя, фамилия и домен пользователя |
Адрес электронной почты пользователя | |
Статус | Статусы УЗ пользователей:
|
Фильтры позволяют осуществить быстрый поиск пользователей по настроенным условиям фильтрации с целью последующего получения необходимых сведений. Управление фильтрами осуществляется вводом данных в поля элемента интерфейса, которые можно развернуть нажатием на кнопку управления фильтрами.
Название фильтра | Значение фильтра |
---|---|
Имя | Ввести имя пользователя |
Фамилия | Ввести фамилию пользователя |
Логин | Ввести логин пользователя |
Ввести адрес электронной почты пользователя | |
Телефон | Ввести номер телефона пользователя |
Домен | Ввести домен пользователя |
Активный | Установить или убрать флажок
|
Заблокирован | Установить или убрать флажок
|
Атрибуты | Выбрать из списка ключ дополнительного атрибута. Ввести значение атрибута. |
Для активации поиска по фильтрам необходимо нажать «Поиск». Чтобы очистить выбранные параметры фильтров, нажать «Сбросить фильтр».
Добавление пользователей и атрибутов
Создание пользователей и обновление их атрибутов возможны следующими способами:
- администратором вручную;
- синхронизацией с LDAP-каталогами и при использовании LDAP-аутентификации в Avanpost FAM;
- через API с использованием HTTP-протокола;
- с использованием внешних провайдеров аутентификации, выступающих в роли SAML/OIDC Identity Provider;
- через функцию самостоятельной регистрации;
Для описания пользователей используются пары атрибут-значение. Каждый пользователь обладает набором атрибутов, которые можно разделить на две группы: основные и дополнительные.
- Основные атрибуты формируют базовую информацию о пользователе. Основные атрибуты установлены в продукте изначально, и администратор может редактировать их значения, но не удалять сами атрибуты.
- Дополнительные атрибуты добавляются, удаляются и редактируются администратором, исходя из задач и потребностей.
Управление дополнительными атрибутами пользователей
Avanpost FAM позволяет администратору задавать значения дополнительных атрибутов, которые могут использоваться для:
- настройки нестандартных сценариев аутентификации;
- передачи данных в подключенные приложения.
При настройке специфических или расширенных сценариев аутентификации администратор пишет скрипт, который ставит сценарий аутентификации в зависимость от тех или иных атрибутов. Более подробно разработка скрипта описывается в разделе Разработка скрипта MFA.
Avanpost FAM дает возможность настроить дополнительные атрибуты, которые будут загружаться и обновляться из подключенных LDAP-каталогов. Для настройки дополнительных атрибутов следует перейти на вкладку «Редактор атрибутов» сервиса «Пользователи». Редактор атрибутов содержит следующие компоненты:
- реестр, содержащий данные о дополнительных атрибутах и позволяющую изменять/добавлять и обновлять данные о них;
- кнопку «Добавить атрибут», переводящую на страницу добавления нового атрибута.
В реестре дополнительных атрибутов содержатся следующие данные.
Название параметра | Значение параметра |
---|---|
Имя атрибута | Наименование атрибута, загружаемого из подключенного LDAP-каталога. |
Описание | Описание атрибута, которое может ввести администратор для упрощения работы с атрибутами. |
На «Редакторе атрибутов» имеются кнопки с со следующими функциональностями.
Название | Назначение |
---|---|
Добавить атрибут | Переводит во вкладку, в которой доступен ввод имени и описания атрибута с последующим сохранением данных или отменой действия. |
Изменить | Переводит во вкладку, в которой доступно изменение имени и описания выбранного атрибута с последующим сохранением или отменой изменений. |
Удалить | После подтверждения удаляется выбранный атрибут. |
Обновить | Обновляет данные о дополнительных атрибутах. |
Добавление пользователей и атрибутов вручную
Для добавления нового пользователя требуется перейти во вкладку «Новый пользователь», нажав кнопку «Добавить пользователя» сервиса «Пользователи». В данной вкладке следует ввести значения основных атрибутов пользователя согласно таблице.
Название атрибута | Значение атрибута |
---|---|
Логин | Логин пользователя. Если логин не указан, сохранение нового пользователя недоступно. Если логин совпадет с уже существующим, сохранение нового пользователя будет недоступно и появится соответствующее предупреждение. |
Фамилия | Фамилия пользователя. Если фамилия не указана, сохранение нового пользователя недоступно. |
Имя | Имя пользователя. Если имя указано, сохранение нового пользователя недоступно. |
Отчество | Отчество пользователя. |
Адрес электронной почты | Адрес электронной почты пользователя. Если адрес электронной почты не указан, сохранение нового пользователя недоступно. Avanpost FAM не позволит сохранить нового пользователя и выдаст предупреждение в следующих случаях:
|
Домен | Домен пользователя. |
Телефон | Телефон пользователя. |
Помимо заполнения значений основных атрибутов в продукте имеется возможность выбрать способ настройки пароля и настроить дополнительные опции.
Название опции | Описание опции |
---|---|
Настройка пароля | Выбор способа настройки пароля пользователем. Допускается установить или убрать флажок «Отправить приветствие со ссылкой для смены пароля»:
|
Дополнительные опции | Допускается установить или убрать флажок «Сделать пользователя активным»:
Допускается установить или убрать флажок «Добавить в группу по умолчанию»:
Назначение группы по умолчанию осуществляется в режиме «Группы» и более подробно описан в разделе Управление доступом. |
Добавление пользователей и атрибутов из LDAP-каталогов
Встроенная функциональность LDAP-синхронизации и LDAP-аутентификации позволяет Avanpost FAM совершать следующие операции с пользователями и их атрибутами:
- первичная загрузка данных о пользователях.
- поддержка актуальности данных о пользователях.
- загрузка информации о членстве пользователей.
Avanpost FAM поддерживает одновременную интеграцию с несколькими доменами, в качестве которых могут выступать LDAP-каталоги как на базе OpenLDAP, MS AD, FreeIPA, Avanpost DS и т.д., информация о настройке и сценариях использования которых дана в соответствующих разделах.
Настройка LDAP-провайдера для импорта данных пользователей и групп описана в разделе Управление LDAP-источниками.
Добавление пользователей и атрибутов через API
Avanpost FAM позволяет добавлять пользователей сторонним приложениям через API с использованием HTTP-протокола. Добавление пользователя осуществляется путем аутентификации пользователя в стороннем доверенном приложении, взаимодействующим с Avanpost FAM через API. При первой аутентификации через стороннее приложение Avanpost FAM автоматически создает пользователя, присваивая ему атрибуты из внешнего приложения.
Добавление пользователей и атрибутов через внешние IdP
Avanpost FAM позволяет создавать пользователей при помощи внешних провайдеров аутентификации, выступающих в роли SAML/OIDC Identity Provider. Если вход в Avanpost FAM осуществляется с при помощи IdP, пользователь создается автоматически и ему присваиваются атрибуты, полученные от внешнего IdP-провайдера.
Самостоятельная регистрация пользователей
Avanpost FAM предоставляет функцию самостоятельной регистрации пользователей и возможность управления ей как на уровне всего продукта, так и для конкретных приложений, доступ к которым осуществляется через Avanpost FAM. Политика регистрации в отношении пользователей осуществляется следующими способами:
- через административную консоль во вкладке "Настройки регистрации" режима "Сервис";
- через профиль приложения;
- через конфигурационный файл.
Во вкладке "Настройки регистрации" режима "Сервис" настраиваются параметры самостоятельной регистрации для Avanpost FAM по умолчанию. Для редактирования требуется нажать и настроить следующие параметры:
Наименование параметра | Описание параметра |
---|---|
Включена | Заполнить чекбокс:
|
Отключить ограничение уникальности для электронной почты и номера телефона | Заполнить чекбокс (управление настройкой доступно только администратору системы Avanpost FAM):
|
После внесения изменений следует нажать "Сохранить" для сохранения или "Отмена", чтобы не вносить изменения.
Настройка регистрации через профиль приложения осуществляется в разделе "Настройки регистрации" вкладки "Настройки" и описаны в разделе Управление приложениями в статьях, посвященных разным типам приложений. Настройки регистрации для приложения (разрешение/запрет саморегистрации) применяются в приложении вне зависимости от политик регистрации в Avanpost FAM.
Настройка регистрации через конфигурационный файл осуществляется в следующей секции.
[selfregistration] redirectUrl = 'https://<your_redirect_URL_after_registration>' disabled = false
Параметры имеют следующее значение:
disabled
- разрешает (false
) или запрещает (true
) самостоятельную регистрацию пользователем.redirectUrl
-
Когда саморегистрация разрешена, при входе в Avanpost FAM незарегистрированному пользователю требуется нажать кнопку "Регистрация" и заполнить следующие поля:
- Логин;
- Фамилия;
- Имя;
- Адрес электронной почты;
- Пароль;
- Подтверждение пароля;
- Код с картинки (CAPTCHA).
Управление УЗ пользователя
Avanpost FAM позволяет централизованно управлять всеми параметрами пользователя из УЗ пользователя. Из вкладки УЗ пользователя администратор может решать следующие задачи:
- получение данных о пользователях;
- изменение атрибутами пользователей;
- управление привилегиями пользователей через добавление/удаление ролей и удаления из групп;
- настройку факторов аутентификации и их параметров;
- управление паролями;
- управление сроком действия УЗ пользователя;
- настройка токенов, сертификатов и OTP-токенов для конкретного пользователя.
Для перехода в профиль пользователя администратору следует найти необходимого пользователя при помощи реестра режима «Пользователи» и выбрать его в столбце «Пользователь». УЗ пользователя содержит разделы: «Профиль», «Приложения», «Группы и роли», «Факторы», «Безопасность», «Дополнительно». Подробная информация о данных и возможностях в разделах содержится в таблице.
Вкладка/Описание | Профиль | Приложения | Группы и роли | Факторы | Безопасность | Дополнительно | ||
---|---|---|---|---|---|---|---|---|
Назначение | Вкладка «Профиль» предназначена для получения и редактирования атрибутов пользователя, получения данных о способе создания УЗ и о внешних УЗ. | Вкладка «Приложения» предназначена для получения данных о приложениях, доступных пользователю и управления учеными записями пользователя в различных приложениях. При переходе в «Приложения» администратор может выбрать из вкладок:
| Вкладка «Группы и роли» предназначена для получения данных о группах, в которых состоит пользователь, и ролях, присвоенных пользователю, а также для управления ролями и группами пользователя. При переходе в «Группы и роли» администратор может выбрать из вкладок:
| Вкладка «Факторы» предназначена для получения информации о факторах аутентификации, доступных в продукте, для блокировки и разблокировки факторов аутентификации для конкретного пользователя. | Вкладка «Безопасность» предназначена для получения данных об устройствах и сессиях пользователя, управления паролями пользователя и сроком действия его учетной записи. При переходе в «Безопасность» администратор может выбрать из вкладок:
| Вкладка «Дополнительно» предназначена для привязки/удаления к УЗ пользователя usb-токенов, смарт-карт, аппаратных OTP (TOTP), программных TOTP-токенов и сертификатов электронной подписи. При переходе в «Дополнительно» администратор может выбрать из вкладок:
| ||
Параметры и возможности | Вкладка «Профиль» содержит информацию об УЗ пользователя:
Основные атрибуты доступны для редактирования при нажатии кнопки . 2. Дополнительные атрибуты Дополнительные атрибуты в соответствии с настройками. Дополнительные атрибуты доступны для редактирования при нажатии кнопки . При этом дополнительные атрибуты, которым не присвоены значения, не отображаются до нажатия кнопки редактирования. 3. Способ создания учетной записи
Дата и время создания пользователя.
В продукте предусмотрены следующие типы пользователей:
Способ добавления пользователя в Avanpost FAM. 4. Внешние учетные записи В Avanpost FAM хранятся следующие данные о внешних учетных записях пользователей:
| Приложения Во вкладке «Приложения» содержатся данные о доступных пользователю приложениях. Вкладка содержит реестр со следующими данными о приложениях:
Вкладка позволяет обновить данные о приложениях, нажав значок . Вкладка предоставляет возможность перейти в профиль управления приложением, нажав на наименование приложения. Более подробное описание возможностей вкладки управления приложением в разделе Управление приложениями. | Учетные записи Вкладке «Учетные записи» предназначена для:
Вкладка «Учетные записи» содержит:
При добавлении новой учетной записи в приложении перед администратором открывается форма, предлагающая ввести следующие данные:
При нажатии в реестре на наименование учетной записи открывается форма для редактирования следующих данных:
| Группы Во вкладке «Группы» содержатся данные о группах, в которых состоит пользователь. Вкладка содержит реестр с наименованиями групп. При помощи реестра можно совершать следующие действия:
При переходе в профиль группы открываются возможности для ее настройки, более подробно описанные в разделе Управление доступом. | Роли Во вкладке «Роли» содержатся данные о ролях, присвоенных пользователю. Вкладка содержит реестр со следующими данными:
При помощи вкладки роли администратор может совершать следующие действия:
При переходе в профиль группы открываются возможности для ее настройки, более подробно описанные в разделе Управление доступом. | Вкладка «Факторы» следующую информацию о факторах аутентификации:
Администратор обладает следующими инструментами влияния на сценарий аутентификации данного пользователя:
При блокировке фактора аутентификации Avanpost Authenticator пользователю не требуется привязывать фактор к новому устройству. Фактор остается заблокирован вне зависимости от устройства, с которого происходит аутентификация. При удалении фактора аутентификации Avanpost Authenticator пользователю требуется вновь привязывать данный фактор к устройству через приложение.
| Учетная запись Вкладка «Учетная запись» позволяет совершать следующие действия:
Для изменения пароля пользователя следует нажать кнопку «Задать новый пароль», ввести новый пароль и подтвердить его. Чтобы сбросить пароль, следует нажать кнопку «Сбросить». После подтверждения сброса пароля администратор сможет задать новый пароль в текстовой строке. Для установки/изменения даты и времени блокировки аккаунта следует нажать на кнопку и выбрать/отредактировать дату или очистить строку. Устройства Вкладка «Устройства» позволяет совершать следующие действия:
Вкладка содержит реестр со следующими параметрами устройств пользователя:
Администратор может получить дополнительные данные о параметрах устройства, нажав на , или перейти в профиль устройства, нажав на его наименование. Администратор может добавить устройства в запомненные, поставив флажок в графе «Запомнено». Функционал управления устройствами и их параметры более подробно описаны в разделе 5.10. Управление устройствами. Текущие сессии Вкладка «Текущие сессии» позволяет совершать следующие действия:
Вкладка содержит реестр со следующими параметрами:
Для обновления данных о сессиях пользователя следует нажать . Чтобы очистить данные о сессиях пользователя, следует нажать «Очистить». Чтобы удалить данные о конкретной сессии, следует нажать напротив нее. Функционал управления сессиями и их параметры более подробно описаны в разделе 5.9. Управление сессиями.
| Токены Вкладка «Токены» позволяет администратору совершать следующие действия:
Вкладка содержит реестр с токенами и данными о них (Серийный номер). Для добавления нового токена следует нажать кнопку . В открывшейся форму необходимо ввести следующие данные:
Для удаления токена необходимо нажать «Удалить» напротив выбранного сертификата, для внесения изменений - кнопку «Изменить». Сертификаты Вкладка «Сертификаты» позволяет администратору совершать следующие действия:
Вкладка содержит реестр с сертификатами и данными о них (Серийный номер, Издатель). Для добавления нового сертификата следует нажать кнопку и загрузить в открывшейся форме файл формата .cer с сертификатом. Для удаления сертификата необходимо нажать «Удалить» напротив выбранного сертификата и подтвердить действие. OTP-токены Вкладка «Сертификаты» позволяет администратору совершать следующие действия:
Во вкладке доступен реестр со следующей информацией о токенах:
Назначение новых токенов возможно двумя способами:
Для изменения параметров токена следует нажать на него и перейти во вкладку токена. Более подробно добавление и изменение параметров OTP-токена рассмотрено в разделе Настройка метода аппаратный OTP. Чтобы отвязать токен от данного пользователя, следует нажать на .
|
Управление черным списком
Функция черного списка предназначена для исключения возможности использования указанного логина. Логины, внесенные в черные список имен, не могут быть зарегистрированы в Avanpost FAM даже при отсутствии/удалении соответствующих пользователей.
Продукт позволяет проводить следующие операции с черным списком пользователей:
- получение информации о черном списке;
- добавление логинов пользователей в черный список;
- удаление логинов пользователей из черного списка.
Управление черным списком через административную консоль доступно, если в конфигурационном файле Avanpost FAM Server включено использование черных списков (в разделе [usernameBlacklistPolicy]
установлен параметр active = true
).
Для управления черным списком следует перейти в соответствующую форму, нажав на кнопку «Черный список имен» в режиме «Пользователи». Форма «Черный список имен» содержит следующие компоненты:
- кнопку «Добавить имя», переводящую на страницу добавления нового имени в черный список;
- реестр, содержащий данные о логинах и времени блокировки пользователей с возможностью исключения из черного списка.
При нажатии на кнопку «Добавить имя» открывается форма добавления пользователя в черный список.
Наименование параметра | Значение параметра |
---|---|
Имя пользователя | Ввести логин, который требуется заблокировать. |
Время блокировки |
|
Реестр черного списка имен содержит следующую информацию о пользователях:
- логин заблокированного пользователя;
- дату блокировки пользователя;
- дату, когда пользователь будет разблокирован, или ее отсутствие, если пользователь заблокирован бессрочно.
В реестре представлена возможность удаления логина пользователя из черного списка нажатием на кнопку .
Управление приветственными сообщениями
Avanpost FAM предоставляет администратору функциональность настройки текста приветственных сообщений, отправляемых на электронную почту новых пользователей продукта. Функциональность позволяет:
- передавать настраиваемые приветственные сообщения с логином или доменом/логином пользователей, добавленных через административную консоль FAM Server;
- передавать настраиваемые приветственные сообщения с логином пользователей, зарегистрировавшихся самостоятельно.
Для передачи логина (или домена/логина) УЗ в приветственном E-mail самостоятельно зарегистрировавшемуся пользователю следует:
- Перейти в шаблон расположенный
changepasswordlink.html
по путиpublic\templates\default
и доступный для редактирования на языке разметки HTML5. - Добавить в шаблон блок кода в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок. настройка приветствия по логину или по домену/логину): в примере при наличии у пользователя домена передается приветствие с доменом/логином, при отсутствии - только с логином.
<!-- <p> Hello [{ if .Domain }] [{ .Domain }]\[{ .Username }] [{ else }] [{ .Username }] [{end}] </p> --> <a href="[{$path}][{.PasswordChangeLink}]">[{.PasswordChangeLinkMessage}]</a> <hr> [{.PasswordChangeLinkMessageIgnore}]
Для передачи логина УЗ в приветственном E-mail самостоятельно зарегистрировавшемуся пользователю следует:
- Перейти в шаблон
selfregistration-emailmessage.html,
расположенный по пути/public/templates/default
и доступный для редактирования на языке разметки HTML5. - Отредактировать шаблон в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок).
[{ $path := path }] <!-- <p>Welcome, your login: <b> [{.Login}]</b></p> --> <a href="[{$path}][{.Link}]">[{.ConfirmationLink}]</a>