Avanpost FAM предоставляет функциональность распределения прав и полномочий персонала, занимающегося эксплуатацией продукта. Права и полномочия зависят от роли сотрудника и предоставляются таким образом, чтобы сотрудник имел доступ лишь к тем данным и возможностям, которые необходимы ему для выполнения служебных обязанностей.
Данная спецификация содержит информацию о ролях администраторов (тип: system), предустановленных в Avanpost FAM. Для получения более подробной информации о функциональности управления ролями, включая настраиваемые роли (тип: custom), необходимо ознакомиться со статьей Настройка ролей и прав.
Роль назначается пользователю через административную консоль одним из следующих способов:
- Через профиль (карточку) пользователя:
- Используя механизмы поиска режима "Пользователи", найти пользователя, которому планируется назначить роль.
- В карточке пользователя перейти в раздел "Группы и роли" во вкладку "Роли".
- Найти искомую роль и перевести переключатель напротив нее в положение
.
- Через функциональность настройки ролей и прав:
- Перейти в раздел "Настройки ролей и прав" режима "Сервис".
- Войти в профиль искомой роли и переключиться на вкладку "Пользователи".
- Нажать кнопку "Добавить пользователей".
- Установить флаги в чекбоксах напротив логинов пользователей, которым планируется назначить роль.
- Нажать кнопку "Сохранить".
Перечень ролей
| Роль | Наименование роли в Avanpost FAM | Описание роли |
|---|---|---|
| Администратор системы | Роль: Описание: Администратор. | Специалист, управляющий системой Avanpost FAM и обладающий наиболее обширными полномочиями, доступом ко всем функциям системного интерфейса административной консоли. |
| Администратор группы | Роль: Описание: Администратор группы Groupname. | Специалист, выполняющий задачи, связанные с управлением той или иной конкретной группой/группами пользователей в Avanpost FAM. |
| Администратор приложения | Роль: Описание: Администратор приложения Appname. | Специалист, управляющий тему или иным конкретным приложением/приложениями в Avanpost FAM. |
| Администратор ИБ | Роль: Описание: Сотрудник ИБ. | Специалист, занимающийся фактической реализацией политики безопасности информации при работе с Avanpost FAM. |
| Администратор технической поддержки | Роль: Описание: Сотрудник первой линии. | Сотрудник, отвечающий за оперативное устранение типовых проблем, возникших у пользователей при работе с Avanpost FAM |
Распределение прав и полномочий
В Avanpost FAM реализовано управление доступом к информации, функциям и сервисам на основе предоставления пользователям следующих полномочий на основе назначенных ролей.
| Права и полномочия | Администратор системы | Администратор приложения | Администратор группы | Администратор ИБ | Администратор техподдержки |
|---|---|---|---|---|---|
| 1. Операции с пользователями | |||||
| Создание/удаление пользователя | Да | Да1 | Да2 | Да | Нет |
| Создание/изменение атрибутов профиля пользователя | Да | Нет | Да2 | Да | Нет |
| Просмотр списка пользователей | Да | Да1 | Да2 | Да | Да |
| Просмотр данных учетной записи пользователя | Да | Да1 | Да2 | Да | Да |
| Блокировка/разблокировка пользователя | Да | Нет | Да2 | Да | Нет |
| Включение/выключение пользователя | Да | Нет | Да2 | Да | Нет |
| Очистка сессий пользователя | Да | Нет | Да2 | Да | Нет |
| Управление настроенными аутентификаторами | Да | Нет | Да2 | Да | Нет |
| Блокировка настроенных аутентификаторов | Да | Нет | Да2 | Нет | Да |
| Добавление новых аутентификаторов | Да | Нет | Да2 | Нет | Нет |
| Смена пароля пользователя | Да | Да1 | Да2 | Нет | Да |
| Сброс пароля пользователя | Да | Да1 | Да2 | Нет | Да |
| Выполнение операций с несколькими пользователями | Да | Нет | Да2 | Нет | Нет |
| Просмотр истории операций с несколькими пользователями | Да | Нет | Да2 | Нет | Нет |
| Очистка историй операций с несколькими пользователями | Да | Нет | Да2 | Нет | Нет |
| Поиск по пользователям в реестре режима "Пользователи" | Да | Нет | Нет | Нет | Нет |
| 2. Операции с группами | |||||
| Просмотр списка групп | Да | Нет | Да2 | Да | Нет |
| Просмотр настроек группы через ее профиль | Да | Нет | Да2 | Да | Нет |
| Просмотр списка участников группы | Да | Нет | Да2 | Да | Нет |
| Создание новой группы | Да | Нет | Нет | Нет | Нет |
| Удаление группы | Да | Нет | Нет | Нет | Нет |
| Изменение параметров группы | Да | Нет | Да2 | Нет | Нет |
| Добавление пользователей в группу | Да | Нет | Да2 | Нет | Нет |
| Удаление пользователей из группы | Да | Нет | Да2 | Нет | Нет |
| Управление списком разрешённых для группы приложений | Да | Да | Да2 | Нет | Нет |
| Управление списком выдаваемых через группу системных ролей (тип system) | Да | Нет | Нет | Нет | Нет |
| Управление списком выдаваемых через группу ролей приложений (тип custom) | Да | Нет | Нет | Нет | Нет |
| Управление сценарием MFA для группы | Да | Нет | Да2 | Нет | Нет |
| Управление парольными политиками группы | Да | Нет | Да2 | Нет | Нет |
| Управление сценарием восстановления пароля для группы | Да | Нет | Да2 | Нет | Нет |
| Настройка правил уведомлений пользователей внутри группы | Да | Нет | Да2 | Нет | Нет |
| 3. Операции с приложениями | |||||
| Просмотр списка приложений | Да | Да1 | Да2 | Да | Нет |
| Просмотр параметров приложения через его профиль | Да | Да1 | Да2 | Да | Нет |
| Создание нового приложения | Да | Нет | Да2 | Нет | Нет |
| Изменение параметров приложения | Да | Да1 | Да2 | Нет | Нет |
| Изменение сценария многофакторной аутентификации приложения | Да | Да1 | Да2 | Нет | Нет |
| Удаление приложения | Да | Нет | Да2 | Нет | Нет |
| Включение/отключение приложений | Да | Да1 | Да2 | Нет | Нет |
| Отвязка приложения от группы | Да | Да1 | Да2 | Нет | Нет |
| Предоставление пользователям доступа к приложению | Да | Нет | Да2 | Нет | Нет |
| Управление режимом отладки приложения | Да | Да1 | Да2 | Нет | Нет |
| Просмотр журнала отладки приложения | Да | Да1 | Да2 | Нет | Нет |
| Очистка Журнала отладки приложения | Да | Нет | Да2 | Нет | Нет |
| 4. Операции с ролями | |||||
| Просмотр списка ролей | Да | Да1 | Нет | Да | Нет |
| Просмотр списка пользователей, которым назначена роль | Да | Нет | Нет | Да | Нет |
| Создание ролей | Да | Нет | Нет | Нет | Нет |
| Удаление ролей | Да | Нет | Нет | Нет | Нет |
| Изменение состава прав роли с использованием системных прав (тип system) | Да | Нет | Нет | Нет | Нет |
| Изменение состава прав роли с использованием прав приложений (тип custom) | Да | Нет | Нет | Нет | Нет |
| 5. Операции с системами мониторинга и отчетности | |||||
| Просмотр Журнала событий безопасности | Да | Да1 | Да2 | Да | Нет |
| Очистка Журнала событий безопасности | Да | Нет | Нет | Нет | Нет |
| Настройка очистки Журнала событий безопасности | Да | Нет | Нет | Нет | Нет |
| Просмотр Журнала аутентификаций | Да | Нет | Нет | Да | Нет |
| Просмотр Журнала действий с TOTP-токенами | Да | Нет | Да2 | Да | Нет |
| Просмотр Журнала отладки приложений | Да | Да1 | Нет | Да | Нет |
| Очистка Журнала отладки приложений | Да | Нет | Нет | Да | Нет |
| Просмотр отчетов по аутентификаторам | Да | Нет | Нет | Нет | Нет |
| Просмотр отчётов по лицензиям | Да | Нет | Нет | Нет | Нет |
| Просмотр менеджера сессий | Да | Да | Нет | Да | Да |
| Удаление завершенных сессий | Да | Нет | Нет | Да | Нет |
| 6. Операции с устройствами | |||||
| Просмотр сведений об устройствах | Да | Нет | Да3 | Да | Да3 |
| Удаление устройств | Да | Нет | Нет | Да | Нет |
| Изменение статуса устройств в системе | Да | Нет | Нет | Да | Нет |
| Просмотр перечня пользователей, связанных с устройством | Да | Нет | Нет | Да | Нет |
1 – только для приложений, управляемых данным администратором приложения/приложений;
2 – только для групп, управляемых данным администратором группы/групп.
3 – через профиль пользователя.