5.1. Управление пользователями

Управление пользователями - функциональность в Avanpost FAM, предназначенная для решения следующих задач:

• сбор и фиксация данных о пользователях;
• добавление пользователей, включая добавление пользователей из внешних источников;
• управление УЗ с возможностью запуска/приостановки УЗ, расширения/ограничения привилегий пользователя;
• настройка и управление параметрами факторов аутентификации пользователей;
• Отредактировать шаблон в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок).
• передача параметров пользователей в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации;
• отображение администратору данных о пользователях.

Функциональность управления пользователями позволяет администратору осуществлять следующие операции с пользовательскими аккаунтами и их данными:

• поиск и получение информации о пользователях;
• добавление и удаление пользователей;
• добавление логинов пользователей в черный список;
• добавление, редактирование и удаление дополнительных атрибутов пользователей и редактирование основных атрибутов пользователей;
• управление доступом пользователей к приложениям;
• управление группами и ролями пользователей;
• контроль сценариев аутентификации пользователей с возможностью блокировки или разблокировки факторов аутентификации для конкретных пользователей;
• управление паролями пользователей;
• управление токенами, OTP-токенами и сертификатами пользователей;
• управление статусом пользовательских устройств, их удаление и запоминание.

Управление пользователями осуществляется в режиме «Пользователи». Режим «Пользователи» содержит следующие компоненты:

• реестр пользователей, отображающий базовую информацию о пользователях;
• элементы управления поиском, включающие поисковую строку и фильтры;
• кнопку «Добавить пользователя», переводящую на вкладку с формой добавления нового пользователя;
• кнопку «Операции с несколькими пользователями», переводящую на вкладку с интерфейсом для проведения массовых операций;
• кнопку «Редактор атрибутов», переводящую на вкладку управления дополнительными атрибутами пользователей;
• кнопку «Черный список имен», переводящую на вкладку управления черным списком пользователей.

Avanpost FAM реализует функционал Управление устройствами, с которых аутентифицируются пользователи, более подробно описанный в разделе Управление устройствами.

Avanpost FAM реализует функционал Управление сессиями, более подробно описанный в разделе Управление сессиями.

Поиск пользователей

Управление поиском осуществляется при помощи поисковой строки и фильтров. Поисковая строка позволяет искать пользователей по значениям атрибутов «Имя», «Фамилия», «Логин», «E-mail», «Телефон». При этом в реестре отображается следующая информация.

Фильтры позволяют осуществить быстрый поиск пользователей по настроенным условиям фильтрации с целью последующего получения необходимых сведений. Управление фильтрами осуществляется вводом данных в поля элемента интерфейса, которые можно развернуть нажатием на кнопку управления фильтрами.

Для активации поиска по фильтрам необходимо нажать «Поиск». Чтобы очистить выбранные параметры фильтров, нажать «Сбросить фильтр».

Добавление пользователей и атрибутов

Создание пользователей и обновление их атрибутов возможны следующими способами:

• администратором вручную:
  • используя интерфейс административной консоли для создания/редактирования УЗ отдельного пользователя;
  • используя интерфейс административной консоли для импорта пользователей из загружаемого в FAM CSV/XLSX-файла;
• синхронизацией с LDAP-каталогами и при использовании LDAP-аутентификации в Avanpost FAM;
• через API-запросы от внешних приложений с использованием HTTP-протокола;
• с использованием внешних провайдеров аутентификации, выступающих в роли SAML/OIDC Identity Provider;
• через функцию самостоятельной регистрации;

Для описания пользователей используются пары атрибут-значение. Каждый пользователь обладает набором атрибутов, которые можно разделить на две группы: основные и дополнительные.

1. Основные атрибуты формируют базовую информацию о пользователе. Основные атрибуты установлены в продукте изначально, и администратор может редактировать их значения, но не удалять сами атрибуты.
2. Дополнительные атрибуты представляют свойства и характеристики, связанные с профилем пользователя, его ролью, сценариями аутентификации и т.п. Дополнительные атрибуты добавляются, удаляются и редактируются администратором, исходя из задач и потребностей.

Управление дополнительными атрибутами пользователей

Avanpost FAM позволяет администратору задавать значения дополнительных атрибутов, которые могут использоваться для:

• настройки нестандартных сценариев аутентификации;
• передачи данных в подключенные приложения.

При настройке специфических или расширенных сценариев аутентификации администратор пишет скрипт, который ставит сценарий аутентификации в зависимость от тех или иных атрибутов. Более подробно разработка скрипта описывается в разделе Разработка скрипта MFA.

Avanpost FAM дает возможность настроить дополнительные атрибуты, которые будут загружаться и обновляться из подключенных LDAP-каталогов. Для настройки дополнительных атрибутов следует перейти на вкладку «Редактор атрибутов» сервиса «Пользователи». Редактор атрибутов содержит следующие компоненты:

• реестр, содержащий данные о дополнительных атрибутах и позволяющую изменять/добавлять и обновлять данные о них;
• кнопку «Добавить атрибут», переводящую на страницу добавления нового атрибута.

В реестре дополнительных атрибутов содержатся следующие данные.

На «Редакторе атрибутов» имеются кнопки с со следующими функциональностями.

Добавление пользователей и атрибутов вручную

Для добавления нового пользователя требуется перейти во вкладку «Новый пользователь», нажав кнопку «Добавить пользователя» сервиса «Пользователи». В данной вкладке следует ввести значения основных атрибутов пользователя согласно таблице.

Помимо заполнения значений основных атрибутов в продукте имеется возможность выбрать способ настройки пароля и настроить дополнительные опции.

Импорт пользователей вручную

Встроенная функциональность импорта пользователей вручную из загружаемого CSV/XLXS-файла доступна по нажатию кнопки в режиме "Пользователи". В открывшемся окне "Импорт пользователей" администратор должен ввести следующие параметры.

Для завершения действия после загрузки файла и ввода параметров следует нажать кнопку "Сохранить", чтобы отказаться от действия — кнопку "Отмена".

Добавление пользователей и атрибутов из LDAP-каталогов

Встроенная функциональность LDAP-синхронизации и LDAP-аутентификации позволяет Avanpost FAM совершать следующие операции с пользователями и их атрибутами:

• первичная загрузка данных о пользователях.
• поддержка актуальности данных о пользователях.
• загрузка информации о членстве пользователей.

Avanpost FAM поддерживает одновременную интеграцию с несколькими доменами, в качестве которых могут выступать LDAP-каталоги как на базе OpenLDAP, MS AD, FreeIPA, Avanpost DS и т.д., информация о настройке и сценариях использования которых дана в соответствующих разделах.

Настройка LDAP-провайдера для импорта данных пользователей и групп описана в разделе Управление LDAP-источниками.

Добавление пользователей и атрибутов через API

Avanpost FAM позволяет добавлять пользователей сторонним приложениям через API с использованием HTTP-протокола. Добавление пользователя осуществляется путем аутентификации пользователя в стороннем доверенном приложении, взаимодействующим с Avanpost FAM через API. При первой аутентификации через стороннее приложение Avanpost FAM автоматически создает пользователя, присваивая ему атрибуты из внешнего приложения. 

Добавление пользователей и атрибутов через внешние IdP

Avanpost FAM позволяет создавать пользователей при помощи внешних провайдеров аутентификации, выступающих в роли SAML/OIDC Identity Provider. Если вход в Avanpost FAM осуществляется с при помощи IdP, пользователь создается автоматически и ему присваиваются атрибуты, полученные от внешнего IdP-провайдера. 

Информация о настройке импорта пользователей из стороннего Identity Provider, поддерживающего OpenID Connect Federation дана в разделе Управление IdP с поддержкой OIDC Federation. Информация о настройке импорта пользователей через SAML Identity Provider дана в разделе Управление SAML-источниками. 

Самостоятельная регистрация пользователей

Avanpost FAM предоставляет функцию самостоятельной регистрации пользователей и возможность управления ей как на уровне всего продукта, так и для конкретных приложений, доступ к которым осуществляется через Avanpost FAM. Пользователям, зарегистрировавшимся самостоятельно, присваивается статус неактивных и на указанный Email направляется ссылка для активации. После перехода по ссылке и дальнейшей авторизации, пользователь получает статус активного и можем пользоваться функционалом Avanpost FAM.

Политика регистрации в отношении пользователей осуществляется следующими способами:

• через административную консоль во вкладке "Системные настройки" режима "Сервис";
• через профиль приложения;
• через конфигурационный файл. 

Во вкладке "Системные настройки" режима "Сервис" настраиваются параметры самостоятельной регистрации для Avanpost FAM по умолчанию. Для редактирования требуется нажать  в разделе "Настройки регистрации" и настроить следующие параметры:

После внесения изменений следует нажать "Сохранить" для сохранения или "Отмена", чтобы не вносить изменения.

Настройка регистрации через профиль приложения осуществляется в разделе "Настройки регистрации" вкладки "Настройки" и описаны в разделе Управление приложениями в статьях, посвященных разным типам приложений. Настройки регистрации для приложения (разрешение/запрет саморегистрации) применяются в приложении вне зависимости от политик регистрации в Avanpost FAM.

Настройка регистрации через конфигурационный файл осуществляется в следующей секции.

[selfregistration]
redirectUrl = 'https://<your_redirect_URL_after_registration>'
disabled = false

Параметры имеют следующее значение:

• disabled - разрешает (false) или запрещает (true) самостоятельную регистрацию пользователем.
• redirectUrl - URL-адрес перенаправления после регистрации.

Когда саморегистрация разрешена, при входе в Avanpost FAM незарегистрированному пользователю требуется нажать кнопку "Регистрация" и заполнить следующие поля:

• Логин;
• Фамилия;
• Имя;
• Адрес электронной почты;
• Пароль;
• Подтверждение пароля;
• Код с картинки (CAPTCHA).

Управление УЗ пользователя 

Avanpost FAM позволяет централизованно управлять всеми параметрами пользователя из УЗ пользователя. Из вкладки УЗ пользователя администратор может решать следующие задачи:

• получение данных о пользователях;
• изменение атрибутами пользователей;
• управление привилегиями пользователей через добавление/удаление ролей и удаления из групп;
• настройку факторов аутентификации и их параметров;
• управление паролями;
• управление сроком действия УЗ пользователя;
• настройка токенов, сертификатов и OTP-токенов для конкретного пользователя.

Для перехода в профиль пользователя администратору следует найти необходимого пользователя при помощи реестра режима «Пользователи» и выбрать его в столбце «Пользователь». УЗ пользователя содержит разделы: «Профиль», «Приложения», «Группы и роли», «Факторы», «Безопасность», «Дополнительно». Подробная информация о данных и возможностях в разделах содержится в таблице.

Управление черным списком

Функция черного списка предназначена для исключения возможности использования указанного логина. Логины, внесенные в черные список имен, не могут быть зарегистрированы в Avanpost FAM даже при отсутствии/удалении соответствующих пользователей.

Продукт позволяет проводить следующие операции с черным списком пользователей:

• получение информации о черном списке;
• добавление логинов пользователей в черный список;
• удаление логинов пользователей из черного списка.

Для управления черным списком следует перейти в соответствующую форму, нажав на кнопку «Черный список имен» в режиме «Пользователи». Форма «Черный список имен» содержит следующие компоненты:

• кнопку «Добавить имя», переводящую на страницу добавления нового имени в черный список;
• реестр, содержащий данные о логинах и времени блокировки пользователей с возможностью исключения из черного списка.

При нажатии на кнопку «Добавить имя» открывается форма добавления пользователя в черный список.

Реестр черного списка имен содержит следующую информацию о пользователях:

• логин заблокированного пользователя;
• дату блокировки пользователя;
• дату, когда пользователь будет разблокирован, или ее отсутствие, если пользователь заблокирован бессрочно.

В реестре представлена возможность удаления логина пользователя из черного списка нажатием на кнопку .

Управление политиками оповещения пользователей

Функциональность управления политиками оповещения пользователей позволяет осуществить гибкую настройку правил, по которым пользователю будут отправляться уведомления.

Функциональность позволяет устанавливать правила для следующих способов оповещения пользователей:

• электронная почта;
• push-уведомления;
• SMS-сообщения.

Настройка в разделе "Настройки оповещений пользователей" режима "Сервис". Раздел содержит следующую информацию и возможности:

• Реестр с существующими правилами оповещения:
  • Наименование — Название существующих правил оповещения пользователей;
  • Кнопка "Сделать по умолчанию" — Нажать, чтобы созданное правило назначить по умолчанию (правило, назначенное по умолчанию, отмечено статусом "По умолчанию");
• Кнопку "Добавить новую настройку правил оповещения" — Нажать, чтобы создать новые правила оповещения.

Для добавления новых правил оповещения следует нажать кнопку "Добавить новую настройку правил оповещения" и задать следующие параметры.

Для сохранения настроенной политики оповещения нажать кнопку "Сохранить", для отказа от изменений кнопку "Отменить".

Для редактирования ранее созданных правил оповещения требуется перейти в профиль, нажав на наименование искомого правила в разделе "Настройки оповещений пользователей".  В профиле следует нажать, внести необходимые изменения и нажать кнопку "Сохранить" для сохранения изменений или кнопку "Отменить" для отказа от изменений. Для удаления ранее созданных правил оповещения следует нажать кнопку и подтвердить действие.

Управление уведомлениями

Avanpost FAM предоставляет администратору функциональность настройки сообщений, отправляемых на электронную почту новых пользователей продукта. Создание и редактирование оповещений возможно следующими способами:

• редактированием шаблонов оповещений в административной консоли Avanpost FAM;
• редактированием HTML-шаблонов (для приветственных сообщений). 

Редактирование шаблонов оповещений в административной консоли проводится в разделе "Редактор шаблонов уведомлений" режима "Сервис". Раздел содержит следующую информацию и возможности:

• Реестр шаблонов уведомлений:
  • Наименование — Название шаблона;
  • Заголовок — Заголовок шаблона;
• Кнопка "Создать" — Нажать для создания нового шаблона уведомлений.

Для создания нового шаблона уведомлений требуется нажать кнопку "Создать" в разделе "Редактор шаблонов уведомлений" и задать значения следующих параметров.

Для сохранения шаблона оповещения нажать кнопку "Сохранить", для отказа от изменений кнопку "Отменить".

Редактирование и дополнительные действия с шаблоном доступны из его профиля, переход в который осуществляется из раздела "Редактор шаблонов уведомлений". Доступны следующие действия с шаблоном:

• Редактирование ранее настроенных параметров;
• Добавление/удаление вложений;
• Удаление шаблона;
• Рассылка шаблона выбранным пользователям/группам пользователей.

Для редактирования требуется нажать кнопку. Для редактирования доступны следующие параметры:

• Наименование — Название шаблона;
• Заголовок — Заголовок шаблона;
• HTML — Текст шаблона;
• Вложение — Дополнительное вложение в оповещение: для добавления вложения в оповещение нажать кнопку и указать путь к прикрепляемому файлу.

Для сохранения шаблона оповещения нажать кнопку "Сохранить", для отказа от изменений кнопку "Отменить". Для удаления шаблона следует нажать кнопку и подтвердить действие.

Для рассылки выбранного шаблона следует нажать кнопку   в его профиле и перейти в интерфейс "Рассылка шаблона", обладающий следующим набором данных и возможностей:

• Реестр пользователей, которым будет рассылаться оповещение:
  • Пользователь — ФИО и логин пользователя;
  • Email — Электронная почта пользователя;
  • Удалить  — Нажать , чтобы удалить пользователя из рассылки;
• Кнопка "Добавить пользователей" — Нажать, чтобы добавить пользователей из отрывшегося списка (в открывшемся интерфейсе установить галочки насчет искомых пользователей и нажать кнопку "Сохранить");
• Реестр групп, пользователям из которых будет рассылаться оповещение:
  • Группа — Название группы;
  • Удалить  — Нажать , чтобы удалить группу из рассылки;
• Кнопка "Добавить группы" — Нажать, чтобы добавить группы из отрывшегося списка  (в открывшемся интерфейсе установить галочки насчет искомых групп и нажать кнопку "Сохранить");
• Кнопка "Разослать" — Нажать, чтобы отправить сообщение адресатам.

Редактирование HTML-шаблонов приветственных сообщений позволяет решать следующие задачи:

• передавать настраиваемые приветственные сообщения с логином или доменом/логином пользователей, добавленных через административную консоль FAM Server;
• передавать настраиваемые приветственные сообщения с логином пользователей, зарегистрировавшихся самостоятельно.

Для передачи логина (или домена/логина) УЗ в приветственном E-mail самостоятельно зарегистрировавшемуся пользователю следует:

1. Перейти в шаблон расположенный changepasswordlink.html по пути public\templates\default и доступный для редактирования на языке разметки HTML5.
2. Добавить в шаблон блок кода в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок. настройка приветствия по логину или по домену/логину): в примере при наличии у пользователя домена передается приветствие с доменом/логином, при отсутствии - только с логином.

<!--
<p> 
Hello 
    [{ if .Domain }]
        [{ .Domain }]\[{ .Username }]
    [{ else }]
        [{ .Username }]
    [{end}]
</p>
-->

<a href="[{$path}][{.PasswordChangeLink}]">[{.PasswordChangeLinkMessage}]</a>
<hr>
[{.PasswordChangeLinkMessageIgnore}]

Для передачи логина УЗ в приветственном E-mail самостоятельно зарегистрировавшемуся пользователю следует:

1. Перейти в шаблон selfregistration-emailmessage.html, расположенный по пути /public/templates/default и доступный для редактирования на языке разметки HTML5.
2. Отредактировать шаблон в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок).

[{ $path := path }]
<!-- <p>Welcome, your login: <b> [{.Login}]</b></p> -->
<a href="[{$path}][{.Link}]">[{.ConfirmationLink}]</a>