Настройка доступа к Системе Avanpost IDM осуществляется в разделе "Доступ к системе" веб-интерфейса администратора.

Раздел предназначен для управления:

Системными ролями;
Системными пользователями;
API Ключами доступа.

Навигатор по разделу:

1. Системные роли
2. Системные пользователи
3. Ключи доступа

1. Системные роли

Системная роль определяет набор общих привилегий, действующих в отношении всех ресурсов в Avanpost IDM, и привилегий в рамках конкретных ресурсов.

Примечание:

Подробнее о ресурсах см. статью "5.1.4. Настройка интеграции с целевыми системами" руководства по администрированию

Доступные для включения в роли привилегии приведены в таблице:

Привилегия	Права
Администратор	Администратор Системы, включает все привилегии
Администратор политик назначения ролей	Управление политиками автоматического назначения ролей Примечание: Подробнее о политиках см. статью "5.2.7. Автоматическое назначение ролей" руководства пользователя
Администратор ресурса	Управление ресурсами в раздел "Интеграции" веб-интерфейса администратора Avanpost IDM; управление УЗ сотрудников в разделе "Сотрудники" веб-интерфейса пользователя Системы
Аудитор	Просмотр событий аудита целевых систем Примечание: Подробнее о аудите см. статью "5.2.11. Аудит" руководства пользователя
Аудитор IDM	Просмотр событий безопасности в журналах в веб-интерфейсе администратора Avanpost IDM
Блокировка учетных записей	Возможность блокировки УЗ Примечание: Подробнее о действиях с УЗ см. статью "5.2.2. Пользователи" руководства пользователя
Включение учетных записей	Возможность включения УЗ Примечание: Подробнее о действиях с УЗ см. статью "5.2.2. Пользователи" руководства пользователя
Внешняя система	Добавление штампов подтверждения задач по ролям и учётным записям. Эта привилегия необходима для настройки согласования заявок в Avanpost IDM из внешней системы. Обычно присваивается ключам доступа
Восстановление пароля учетных записей	Восстановление или получение текущего пароля учетной записи из управляемой системы
Добавление/удаление учетных записей в IDM	Возможность добавления/удаления УЗ в управляемых системах Примечание: Подробнее о действиях с УЗ см. статью "5.2.2. Пользователи" руководства пользователя.
Исправление расхождений, обнаруженных аудитом	Возможность исправления расхождений при аудите (например, убрать лишний доступ) Примечание: Подробнее о аудите см. статью "5.2.11. Аудит" руководства пользователя
Назначение и отзыв ролей	Возможность назначения и отзыва ролей Примечание: Подробнее о действиях с УЗ см. статью "5.2.2. Пользователи" руководства пользователя
Настройка исключений аудита	Возможность добавления незарегистрированных УЗ в список исключений аудита Примечание: Подробнее о аудите см. статью "5.2.11. Аудит" руководства пользователя
Отключение учетных записей	Возможность отключения УЗ Примечание: Подробнее о действиях с УЗ см. статью "5.2.2. Пользователи" руководства пользователя
Переименование учетных записей	Возможность переименовывать УЗ Примечание: Подробнее о действиях с УЗ см. статью "5.2.2. Пользователи" руководства пользователя
Получение значений API-ключей в системе	Возможность получения значений API-ключей в разделе "Доступ к системе" → "Ключи доступа" веб-интерфейса администратора Avanpost IDM
Просмотр доступов в системе	Просмотр доступа пользователей в разделе "Доступ к системе" веб-интерфейса администратора Avanpost IDM
Просмотр заявок	Возможность просмотра созданных заявок в веб-интерфейсе пользователя Примечание: Подробнее о заявках см. статью "5.2.1. Заявки" руководства пользователя
Просмотр кадровых данных	Просмотр кадровых данных о сотрудниках из интегрированных кадровых систем в разделе "Администрирование IDM"→"Сотрудники" веб-интерфейса пользователя
Просмотр конфигурационной части IDM	Просмотр подписок, типов объектов, типов заявок и настроек из раздела "Администрирование" веб-интерфейса администратора Примечание: Подробнее о типах объектов см. статью "5.1.7. Настройка типов объектов и юнитов" руководства по администрированию. Подробнее о типах заявок см. статью "5.1.10. Настройка типов заявок" руководства по администрированию
Просмотр настроек интеграций	Просмотр настроек ресурсов, виртуальных ресурсов и сервисов коннекторов Примечание: Подробнее о ресурсах см. статью "5.1.4. Настройка интеграции с целевыми системами" руководства по администрированию. Подробнее о виртуальных ресурсах см. статью "5.1.6. Настройка виртуальных ресурсов" руководства по администрированию. Подробнее о сервисах коннекторов см. статью "5.1.5. Настройка сервисов коннекторов" руководства по администрированию
Просмотр ролей	Просмотр ролей в веб-интерфейсе пользователя Примечание: Подробнее о работе с ролями см. статью "5.2.5. Роли" руководства пользователя
Просмотр сценариев и схем БП	Просмотр скриптов и схем бизнес-процессов в разделе "Настройка процессов" веб-интерфейса администратора Примечание: Подробнее о бизнес-процессах см. статью "5.1.9. Настройка бизнес-процессов" руководства по администрированию
Просмотр юнитов	Просмотр юнитов в разделе "Юниты" веб-интерфейса пользователя Примечание: Подробнее о работе с юнитами см. статью "5.2.3. Юниты" руководства пользователя
Просмотр API-ключей в системе	Просмотр API-ключей в разделе "Доступ к системе" → "Ключи доступа" веб-интерфейса администратора
Разблокировка учетных записей	Возможность разблокировать УЗ Примечание: Подробнее о действиях с УЗ см. статью "5.2.2. Пользователи" руководства пользователя
Редактирование кадровых данных	Изменение кадровых данных о сотрудниках из интегрированных кадровых систем в разделе "Администрирование IDM"→"Сотрудники" веб-интерфейса пользователя
Редактирование конфигурационной части IDM	Управление подписками, типами объектов, типами заявок и настройками из раздела "Администрирование" веб-интерфейса администратора Примечание: Подробнее о типах объектов см. статью "5.1.7. Настройка типов объектов и юнитов" руководства по администрированию. Подробнее о типах заявок см. статью "5.1.10. Настройка типов заявок" руководства по администрированию
Редактирование настроек интеграций	Управление настройками ресурсов, виртуальных ресурсов и сервисов коннекторов Примечание: Подробнее о ресурсах см. статью "5.1.4. Настройка интеграции с целевыми системами" руководства по администрированию. Подробнее о виртуальных ресурсах см. статью "5.1.6. Настройка виртуальных ресурсов" руководства по администрированию. Подробнее о сервисах коннекторов см. статью "5.1.5. Настройка сервисов коннекторов" руководства по администрированию
Редактирование скриптов роли	Создание, редактирование и удаление сценариев содержимого ролей в разделе "Роли" веб-интерфейса пользователя Примечание: Подробнее о работе с ролями см. статью "5.2.5. Роли" руководства пользователя
Редактирование сценариев и схем БП	Управление скриптами и схемами бизнес-процессов в разделе "Настройка процессов" веб-интерфейса администратора Примечание: Подробнее о бизнес-процессах см. статью "5.1.9. Настройка бизнес-процессов" руководства по администрированию
Редактирование юнитов	Управление юнитами в разделе "Юниты" веб-интерфейса пользователя Примечание: Подробнее о работе с юнитами см. статью "5.2.3. Юниты" руководства пользователя
Сброс или изменение пароля учетных записей	Возможность сбрасывать или изменять пароль УЗ управляемых систем в веб-интерфейсе пользователя Примечание: Подробнее о действиях с УЗ см. статью "5.2.2. Пользователи" руководства пользователя
Создание/редактирование API-ключей в системе	Создание и редактирование API-ключей в разделе "Доступ к системе" → "Ключи доступа" веб-интерфейса администратора
Управление доступом к системе	Создание, изменение, удаление системных пользователей и системных ролей в разделе "Доступ к системе" веб-интерфейса администратора
Управление ролями	Возможность создания, редактирования, удаления ролей в веб-интерфейсе пользователя Примечание: Подробнее о работе с ролями см. статью "5.2.5. Роли" руководства пользователя

Управление системными ролями доступно в разделе "Доступ к системе" → "Системные роли" веб-интерфейса администратора.

Рисунок – раздел "Системные роли"

1.1. Создание и настройка системной роли

Для создания системной роли необходимо:

Нажать .
Ввести название новой роли в открывшейся форме (например, "Администратор безопасности") и нажать . Откроется карточка созданной системной роли.
На вкладке "Информация" карточки системной роли добавить общие привилегии для роли из списка (см. Список привилегий). Для этого требуется:
1. Нажать в секции "Общие привилегии" на вкладке "Информация" карточки системной роли.
2. Выбрать из выпадающего списка привилегии для добавления. (Доступен множественный выбор)
3. Нажать .
Добавить ресурсы при необходимости назначения привилегий в конкретных ресурсах . Для добавления ресурса требуется:
1. Нажать .
2. В открывшейся форме выбрать из выпадающего списка ресурс для добавления (доступен множественный выбор) и нажать . Под секцией с общими привилегиями добавится секция для выбранного ресурса.
3. Раскрыть добавленную секцию, нажав .
4. Нажать в секции ресурса.
5. Выбрать из выпадающего списка привилегии для добавления. (Доступен множественный выбор)
6. Нажать .
Нажать .

Внимание:

Добавленный ресурс без выбранных привилегий не сохраняется в карточке системной роли

Рисунок – Карточка системной роли

Для удаления общей привилегии из роли необходимо нажать в блоке привилегии в секции "Общие привилегии" на вкладке "Информация" карточки системной роли.

Рисунок – Удаление общей привилегии из роли

Для удаления привилегии в ресурсе из роли необходимо нажать в блоке привилегии в секции ресурса на вкладке "Информация" карточки системной роли.

Рисунок – Удаление привилегии в ресурсе из роли

Для удаления ресурса из системной роли необходимо удалить все привилегии в секции данного ресурса на вкладке "Информация" карточки системной роли и сохранить изменения.

1.2. Изменение системной роли

Для изменения системной роли необходимо:

Нажать на требуемую роль в списке в разделе "Доступ к системе"→"Системные роли" веб-интерфейса администратора. Откроется карточка системной роли.
Внести изменения в карточку системной роли. (подробнее см. Создание и настройка системной роли)
Нажать.

1.3. Удаление системной роли

Для удаления системной роли необходимо нажать в левом верхнем углу карточки системной роли и подтвердить удаление во всплывающем окне.

Рисунок – Удаление системной роли

2. Системные пользователи

Системный пользователь — это учетная запись, используемая для выполнения системных операций, задач по администрированию и автоматизации процессов в рамках Системы.
Для определения прав системных пользователей им назначаются системные роли.

Управление системными пользователями осуществляется в разделе "Доступ к системе" → "Системные пользователи" веб-интерфейса администратора.

Рисунок – Раздел "Системные пользователи"

2.1. Создание системного пользователя

Для создания системного пользователя необходимо:

Нажать .
В открывшейся форме указать:
1. В поле "Realm" домен пользователя;
2. В поле "UserId" логин пользователя.
Нажать . Системный пользователь будет создан и откроется его карточка.
Присвоить созданному пользователю системные роли. Для этого требуется:
1. Нажать .
2. Выбрать из выпадающего списка необходимые роли.
3. Нажать .
4. Нажать .

Рисунок – Назначение системных ролей

2.2. Изменение системного пользователя

Для изменения системного пользователя необходимо:

Перейти в карточку нужного системного пользователя, нажав на него в списке в разделе "Доступ к системе" → "Системные пользователи" веб-интерфейса администратора.
Нажать ⟶ "Редактировать" в правом верхнем углу карточки.
Изменить домен или логин пользователя в открывшейся форме.
Нажать .

Рисунок – Изменение системного пользователя

2.3. Удаление системного пользователя

Для удаления системного пользователя необходимо:

Перейти в карточку нужного системного пользователя, нажав на него в списке в разделе "Доступ к системе" → "Системные пользователи" веб-интерфейса администратора.
Нажать ⟶ "Удалить" в правом верхнем углу карточки.
Подтвердить удаление во всплывающем окне.

Рисунок – Удаление системного пользователя

3. Ключи доступа

Ключи API — это средство, обеспечивающие безопасность и контроль взаимодействия с службами, предоставляемыми API. Они необходимы для настройки чтения данных из Avanpost IDM внешними системами, или для совершения действий в Avanpost IDM из внешних систем. Например, для систем развертывания или внешней системы для работы с заявками.

Управление API ключами доступа осуществляется в разделе "Доступ к системе" → "Ключи доступа" веб-интерфейса администратора.

Рисунок – Раздел "Ключи доступа"

3.1. Добавление ключа доступа

Для добавления ключа доступа необходимо:

Нажать .
В открывшейся форме указать название и опционально описание для нового ключа.
Отметить чекбокс "Разрешить имперсонализацию", если требуется разрешить выполнение действий от имени другого пользователя, используя данный API ключ.
Нажать . Новый ключ появится в списке и откроется его карточка.
В поле "Ключ" карточки ключа доступа можно скопировать созданный ключ с помощью кнопки .
В поле "Роли" карточки ключа доступа выбрать из выпадающего списка системную роль для ключа, чтобы предоставить права на выполнение действий в Системе по данному ключу (Доступен множественный выбор).

Рисунок – Добавление ключа доступа

3.2. Изменение ключа доступа

Для изменения ключа доступа необходимо:

В разделе "Доступ к системе" → "Ключи доступа" нажать на требуемый ключ в списке. Откроется карточка ключа доступа.
Нажать .
Изменить значения полей в открывшейся форме.
Нажать .

Рисунок – Изменение ключа доступа

3.3. Удаление ключа доступа

Для удаления ключа доступа необходимо:

В разделе "Доступ к системе" → "Ключи доступа" нажать на требуемый ключ в списке. Откроется карточка ключа доступа.
Нажать "Удалить".
Подтвердить удаление во всплывающем окне.

Рисунок – Удаление ключа доступа

Документация Avanpost IDM 7 : 5.1.2. Настройка доступа к системе