Справочный центр ALD Pro
Роли в системе¶
На вкладке Роли в системе приведен список типов администраторов с указанием наименования, типа (Предустановленная, Системная, Пользовательская), его состояния (Активна, Редактируется, Ожидает активации, Активируется, Ошибка), подразделения, описания. По умолчанию, на вкладке отображаются пользовательские и предустановленные типы администраторов.
Важно
Если изменить состав типов пользователя, который на данный момент находится на портале управления (сессия активна), то изменения согласно новым правам активируются только после обновления сессии браузера данного пользователя.
Для списка типов администраторов доступна фильтрация по значениям роли в следующих столбцах: Тип (Предустановленная, Системная, Пользовательская), Состояние (Активна, Редактируется, Ожидает активации, Активируется, Ошибка), Подразделение. Для этого необходимо нажать на значок фильтра рядом с названием соответствующего столбца и отметить требуемые значения для фильтрации.
В списке типов доступен поиск по названию типа и его описанию. Для этого в соответствующем поле поиска начать вводить название типа или описание, результат поиска будет выводиться по мере ввода.
Справа от поисковой строки расположена кнопка [+ Новая роль] и флаг [Показать системные роли].
Схема состояний ролей и операций с ними¶
Виды и состояния типов администраторов¶
Виды типов администраторов¶
Типы в Системе делятся на:
Предустановленная: тип, который находится в ALD Pro по умолчанию. Существует одна предустановленная роль Главного администратора (ALD Pro - Main Administrator). Эта роль по умолчанию при установке ALD Pro назначается пользователю
admin. Пользователи с этой ролью обладают полными правами на весь портал управления.
Роль ALD Pro - Main Administrator обладает следующими свойствами для обеспечения и сохранения возможности полного доступа к порталу управления:
Роль нельзя удалить;
Данная роль должна быть назначена как минимум на одного активного пользователя;
Постоянный состав привилегий и параметров роли.
На роль ALD Pro - Main Administrator можно назначить любого пользователя с учетной записью в портале управления ALD Pro.
Также поддерживается создание копии роли ALD Pro - Main Administrator, которая будет содержать полный набор привилегий, доступный для назначения средствами портала управления.
Системные: типы, которые находятся в ALD Pro по умолчанию и используются для работы Системы. Недоступны для изменения, копирования, удаления и назначения на пользователей. Всегда в состоянии Активна. Для отображения их в таблице ролей по пути Управление доменом/Роли и права доступа необходимо установить флаг «Показывать системные роли» , после чего эти роли появятся в таблице и будут доступны как по фильтру, так и по поиску, флаг сохраняется.
В ALD Pro присутствуют следующие системные роли:
ALDPRO - CIFS server
ALDPRO - Organization units
ALDPRO - Organizational Units Service Account
ALDPRO - RuPost Service Integrations
ALDPRO - Saltstack Administrators
ALDPRO - Service Role
ALDPRO - Trusts Service Account
Enrollment Administrator (с версии 2.4.0 - системная, до версии 2.4.0 - предустановленная)
helpdesk (с версии 2.4.0 - системная, до версии 2.4.0 - предустановленная)
Security Architect (с версии 2.4.0 - системная, до версии 2.4.0 - предустановленная)
User Administrator (с версии 2.4.0 - системная, до версии 2.4.0 - предустановленная)
Пользовательские: региональный администратор, типы, дающие доступ к подразделам портала, для чтения всего портала и созданные пользователями в ALD Pro. Доступны для создания, изменения, делегирования, копирования и удаления и назначения на пользователей.
По умолчанию в портале управления присутствуют следующие пользовательские роли, доступные после установки ALD Pro:
роли с полными правами на операции в подразделах портала управления
Внимание
Для выполнения некоторых операций требуется дополнительное участие в группах. Детальная информация присутствует в описаниях привилегий. Пример: привилегия Domain Integrations - Manage требует участия пользователя в группах trust admins и ald trust admin.
роль на чтение всего портала: ALDPRO - Domain Viewer предоставляет привилегии читать информацию во всех подразделах портала управления ALD Pro, за исключением подраздела Управление доменом - Интеграция с доменами.
роль Регионального администратора: ALD Pro - Regional Administrator является ограниченной по правам копией роли Главного администратора (ALD Pro - Main Administrator), для которой можно указать область действия (ALD Pro - Main Administrator распространяется на весь домен).
В случае необходимости состав привилегий любой пользовательской роли может быть изменен (удалены лишние привилегии или добавлены недостающие). Если в роль, присутствующую в ALD Pro по умолчанию, будут внесены изменения (добавлены или удалены привилегии) доступы к подразделам могут отличаться от заявленных в документации.
Существует возможность создавать пользовательские роли с любым набором существующих в ALD Pro привилегий и необходимыми ограничениями областей действий.
Если требуется использовать пользовательскую роль как шаблон, рекомендуется в продуктивных средах создать копию шаблонной роли и работать дальше с копией. В этом случае появляется возможность вносить изменения в состав привилегий, менять привязки роли без опасения изменить начальную конфигурацию пользовательской роли.
Состояния типов администраторов¶
Тип может находиться в одном из следующих состояний:
Редактируется: состояние для вновь созданного, скопированного, деактивированного типа или при смене статуса типа из состояния Ошибка. Все вкладки карточки типа доступны для внесения изменений. Тип можно изменить, копировать, активировать или удалить.
Ожидает активации: состояние для типа после нажатия кнопки Активировать роль. Любые действия (копирование, редактирование, удаление, деактивация) с типом запрещены до окончания активации.
Активируется: состояние для типа после состояния Ожидает активации. Любые действия (копирование, редактирование, удаление, деактивация) с типом запрещены до окончания активации.
Активна: состояние для типа после успешного завершения процесса активации. Вкладка Пользователи карточки типа доступна для внесения изменений. Тип можно копировать, удалить, делегировать или перевести в статус редактирования.
Ошибка: состояние для типа в случае провала активации. Вкладка Пользователи карточки типа доступна для внесения изменений. Тип можно копировать, удалить или перевести в статус редактирования.
Важно
Активный пользовательский тип администратора можно деактивировать, нажав кнопку Деактивировать роль. В этом случае пользователь, которому назначен данный тип, теряет права, которые давал данный тип.
Таблица состояний ролей и операций с ними:
Состояния ролей и операции с ними |
Редактируется |
Ожидает активации |
Активируется |
Активна |
Ошибка |
|---|---|---|---|---|---|
Действия, приведшие к статусу |
|
Команда на активацию роли |
Старт внутренних механизмов (демон активации) |
Успешное завершение работы внутреннего демона активации |
Ошибка в работе внутреннего демона активации |
Действия для выхода из статуса |
Команда на активацию роли |
Старт внутренних механизмов (демон активации) |
Завершение работы демона активации |
Команда на редактирование роли |
Команда на редактирование роли |
Изменение названия роли |
Нет |
Нет |
Нет |
Нет |
Нет |
Изменение описания роли |
Да |
Нет |
Нет |
Нет |
Нет |
Изменение привязки роли к подразделению |
Да |
Нет |
Нет |
Нет |
Нет |
Изменение признака «Включая дочерние подразделения» |
Да |
Нет |
Нет |
Нет |
Нет |
Создание копии роли |
Да |
Нет |
Нет |
Да |
Да |
Удаление роли |
Да |
Нет |
Нет |
Да |
Да |
Перевод в статус редактирования |
Нет |
Нет |
Нет |
Да |
Да |
Активация роли |
Да |
Нет |
Нет |
Нет |
Нет |
Делегирование роли (назначение на пользователей и группы пользователей) |
Да |
Нет |
Нет |
Да |
Нет |
Добавление привилегий в состав роли |
Да |
Нет |
Нет |
Нет |
Нет |
Удаление привилегий из роли |
Да |
Нет |
Нет |
Нет |
Нет |
Изменение назначений привилегий роли на сайты |
Да |
Нет |
Нет |
Нет |
Нет |
Статус «Редактируется»¶
Характеристики статуса |
Описания и значения |
|---|---|
Предшествующие статусы |
«Активна» - «Ошибка» |
Условия получения статуса |
|
Следующие статусы |
«Ожидает активации» |
Условия перехода в следующие статусы |
Команда на активацию роли |
В статусе «Редактируется»:
Пользователи, которым назначена роль, не получают привилегии из состава этой роли: привилегии становятся доступными только в статусе роли «Активна»
Возможны следующие операции при наличии привилегий в активных ролях пользователей, выполняющих операции, и при выполнении ограничений:
Статус «Ожидает активаци軶
Характеристики статуса |
Описания и значения |
|---|---|
Предшествующие статусы |
«Редактируется» |
Условия получения статуса |
Переводится автоматически после команды «Активировать роль» |
Следующие статусы |
«Активируется» |
Условия перехода в следующие статусы |
Старт внутренних процессов по активации роли |
В статусе «Ожидает активации»:
Пользователи, которым назначена роль, не получают привилегии из состава этой роли: привилегии становятся доступными только в статусе роли «Активна»
Никакие операции с ролью не доступны
Статус «Активируется»¶
Характеристики статуса |
Описания и значения |
|---|---|
Предшествующие статусы |
«Ожидает активации» |
Условия получения статуса |
Переводится автоматически при старте внутренних процессов по активации роли |
Следующие статусы |
|
Условия перехода в следующие статусы |
|
В статусе «Активируется»:
Пользователи, которым назначена роль, не получают привилегии из состава этой роли: привилегии становятся доступными только в статусе роли «Активна»
Никакие операции с ролью не доступны
Статус «Активн໶
Характеристики статуса |
Описания и значения |
|---|---|
Предшествующие статусы |
«Активируется» |
Условия получения статуса |
Переводится автоматически при успешном завершении внутренних процессов по активации роли |
Следующие статусы |
«Редактируется» |
Условия перехода в следующие статусы |
Команда на редактирование роли |
В статусе «Активна»:
Пользователи, которым назначена роль, получают все привилегии из состава этой роли
Возможны следующие операции при наличии привилегий в активных ролях пользователей, выполняющих операции, и при выполнении ограничений:
Операции |
Необходимые привилегии |
Ограничения |
|---|---|---|
Создание копии роли |
Roles - Add |
Без ограничений: можно создать копию любой роли. Внимание: Для успешного выполнения дальнейших операций с полученной в результате копирования ролью необходимо убедиться, что области действия ролей с привилегиями на эти операции включают в себя область действия новой роли |
Удаление роли |
Roles - Delete |
Область действия активной роли пользователя с привилегией Roles - Delete включает в себя область действия роли, над которой выполняется действие |
Делегирование роли |
Roles - Membership Manage |
Область действия активной роли пользователя с привилегией Roles Membership - Manage включает в себя область действия роли, над которой выполняется действие
|
Перевод в статус редактирования (деактивация роли) |
Roles - Modify |
Область действия активной роли пользователя с привилегией Roles - Modify включает в себя область действия роли, над которой выполняется действие Внимание: Перед выполнением деактивации роли необходимо учитывать, что:
|
Статус «Ошибк໶
Характеристики статуса |
Описания и значения |
|---|---|
Предшествующие статусы |
«Активируется» |
Условия получения статуса |
Переводится автоматически при завершении с ошибкой внутренних процессов по активации роли |
Следующие статусы |
«Редактируется» |
Условия перехода в следующие статусы |
Команда на редактирование роли |
В статусе «Ошибка»:
Пользователи, которым назначена роль, не получают привилегии из состава этой роли: привилегии становятся доступными только в статусе роли «Активна»
Возможны следующие операции при наличии привилегий в активных ролях пользователей, выполняющих операции, и при выполнении ограничений:
Операции |
Необходимые привилегии |
Ограничения |
|---|---|---|
Создание копии роли |
Roles - Add |
Без ограничений: можно создать копию любой роли. Внимание: Для успешного выполнения дальнейших операций с полученной в результате копирования ролью необходимо убедиться, что области действия ролей с привилегиями на эти операции включают в себя область действия новой роли |
Удаление роли |
Roles - Delete |
Область действия активной роли пользователя с привилегией Roles - Delete включает в себя область действия роли, над которой выполняется действие |
Перевод в статус редактирования |
Roles - Modify |
Область действия активной роли пользователя с привилегией Roles - Modify включает в себя область действия роли, над которой выполняется действие |
Добавление типа администратора¶
Для добавления нового типа администратора необходимо нажать на кнопку [+ Новая роль], будет выполнен переход на карточку нового типа.
На карточке на вкладке Основное ввести информацию о типе. Обязательные для заполнения поля отмечены соответствующим образом.
Для добавления типа нажать на кнопку сохранения в правом верхнем углу. После этого станут доступны для редактирования вкладки Пользователи и Привилегии.
Для активации типа нажать кнопку [Активировать роль].
Важно
Роль может быть активирована только при наличии хотя бы одной возможности при администрировании.
Для копирования типа администратора нажать кнопку [Копировать роль]. После подтверждения копирования откроется новая несохраненная копия типа.
Для закрытия карточки и возврата к списку типов администратора нажать на кнопку закрытия.
В ALD Pro можно создать копии:
любой пользовательской роли,
роли ALD Pro - Main Administrator.
Копия роли содержит:
набор привилегий, который отображается на вкладке «Привилегии» исходной роли,
набор пользователей и групп, на которых была назначена исходная роль,
привязку к подразделению исходной роли,
ограничения привилегий сайтами, как в исходной роли (при наличии).
Названия ролей в рамках домена должны быть уникальны, название копии не должно совпадать с названием исходной роли.
Важно
Копия роли ALD Pro - Main Administrator не будет содержать системных привилегий исходной роли, поэтому возможна потеря части прав Главного администратора пользователями, которым будет назначена копия его роли.
Пользователи¶
На вкладке Пользователи тип назначается на пользователей и группы пользователей.
В блоке Назначена на пользователей в списке Выбранные пользователи указаны пользователи, которым присвоен данный тип. В списке Все пользователи указаны все пользователи домена.
В списках Все пользователи и Выбранные пользователи отображается блок с данными о сотрудниках: ФИО, логин, подразделение и должность.
Для таблицы Все пользователи доступен поиск по ФИО и логину. Поиск работает по одному из ключей: имени, фамилии, отчеству или логину.
Для таблицы Выбранные пользователи поиск доступен только по одному ключу: фамилии.
Для поиска в соответствующем поле ввести значение от трех символов, результат поиска будет выводиться по мере ввода. В обоих полях отображаются только те результаты поиска, у которых в столбце содержится значение, частично или полностью совпадающее со строкой поиска. Если значение некорректно, в результатах поиска появится надпись «Данные отсутствуют».
Внизу каждого списка указано количество записей в данном списке.
Для назначения пользователям типа необходимо в списке Все пользователи отметить пользователей, которым нужно назначить данный тип, и перенести их в список Выбранные пользователи нажатием кнопки [<-].
Для отмены назначения типа пользователям необходимо в списке Выбранные пользователи отметить требуемые записи и перенести их в список Все пользователи нажатием кнопки [→].
В блоке Назначена на группу пользователей в списке Выбранные группы указаны группы, которым присвоен данный тип. В списке Все группы указаны все группы домена.
Во всех списках доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название группы, результат поиска будет выводиться по мере ввода.
Внизу каждого списка указано количество записей в данном списке.
Для назначения группам пользователей типа администратора необходимо в списке Все группы отметить группы, которым нужно назначить данный тип, и перенести их в список Выбранные группы нажатием кнопки [<-].
Для отмены назначения типа администратора группам пользователей необходимо в списке Выбранные группы отметить требуемые записи и перенести их в список Все группы нажатием кнопки [→].
Для применения изменений необходимо нажать на кнопку сохранения в правом верхнем углу.
Для закрытия карточки и возврата к списку типов администратора нажать на кнопку закрытия.
Возможности при администрировании¶
На вкладке Привилегии типа администратора назначаются возможности при администрировании.
Важно
Возможности при администрировании можно назначить только типу в состоянии Редактируется.
На вкладке приведен список возможностей, назначенных типу, с указанием наименования привилегии, сайта (заполнено для возможностей, для которых требуется привязка к сайту), подразделения, наследует ли от типа значение признака Включая дочерние подразделения и статуса.
Для списка доступен поиск по наименованию возможности. Для этого в поле поиска начать вводить имя, результат поиска будет выводиться по мере ввода.
Для списка доступна фильтрация по значениям полей Сайт, Подразделение, Дочерние и Статус. Для этого нужно кликнуть по значку фильтрации рядом с соответствующим столбцом и выбрать параметр фильтрации.
Для списка доступна сортировка по полю Подразделение. Для этого нужно кликнуть по стрелочке рядом с полем.
Внизу списка указано количество возможностей.
Для добавления возможности при администрировании нажать кнопку [+ Добавить привилегию]. В результате откроется карточка новой возможности.
Выбрать нужню возможность из выпадающего списка поля Привилегия. Описание данной возможности отобразится в поле Описание.
Важно
У добавленной в тип администратора возможности можно редактировать только сайт, если возможность требует привязки к сайту. Во всех остальных случаях редактировать возможность нельзя. Ее можно только удалить и создать заново.
Если выбранная возможность имеет зависимости и не может использоваться без других возможностей, в столбце Статус таблицы возможностей отобразится ошибка. При открытии карточки возможности, в поле Связанные привилегии отобразится список связанных возможностей.
В разделе Нужно добавить также появятся связанные привилегии и кнопки со стрелками. Для добавления связанной возможности достаточно кликнуть стрелку вниз. Возможность перейдет в раздел Добавленные и автоматически добавится в список возможностей редактируемого типа при сохранении.
Для удаления одной или нескольких возможностей последовательно зайти в карточки возможности и нажать кнопку Удалить привилегию. Или выделить возможности, которые необходимо удалить, в списке возможностей и нажать кнопку [- Удалить].
Для закрытия вкладки Привилегии и возврата к списку типов нажать на кнопку закрытия.
Управление типами администратора¶
Управление типами администратора доступно:
из карточки типа администратора
из карточки пользователя
из карточки группы пользователей
Возможности для управления типами администраторов¶
Для создания типа администратора требуются следующие возможности:
Действие |
Необходимые привилегии |
Комментарии |
|---|---|---|
Создать новую роль и сохранить ее |
Roles - Add |
При создании роли надо определить подразделение, к которому эта роль будет привязана. Подразделение новой роли должно входить в ограничение области действия по подразделениям (с учетом признака «Включая дочерние подразделения») всех привилегий Roles - Add у текущего пользователя» |
Добавить привилегии в роль |
Role Privileges - Add |
Достаточно наличия привилегии Role Privileges - Add у исполнителя. Для удаления привилегий потребуется привилегия Role Privileges - Delete |
Добавить связанные привилегии |
Role Privileges - Add |
Достаточно наличия привилегии Role Privileges - Add у исполнителя. Операция должна быть выполнена до активации роли |
Указать привязки привилегий к сайтам |
Role Privileges - Modify |
Достаточно наличия привилегии Role Privileges - Modify у исполнителя |
Назначить пользователей на роль |
Roles Membership - Manage |
Достаточно наличия привилегии Roles Membership - Manage у исполнителя. Эта привилегия дает право на назначение роли как пользователям, так и группам пользователей. Этот пункт может не выполняться, если необходимо добавлять пользователей в активную роль |
Активировать роль |
Roles - Modify |
|
Добавить пользователей в активную роль |
Roles Membership - Manage |
|
Активировать роль |
Roles - Modify |
|
Добавить пользователей в активную роль |
Roles Membership - Manage |
|
В таблице не приводится перечень связанных привилегий, которые необходимо будет добавить по требованию системы для корректной работы привилегий, указанных в графе «Необходимые привилегии».
Управление типами администратора из карточки типа администратора¶
В разделе Назначена на пользователя на вкладке Пользователи в списке Выбранные пользователи приведен список пользователей, наделенных типом. В списке Все пользователи приведен список всех пользователей домена. Во всех списках доступен поиск по имени пользователя и по должности. Для этого в соответствующем поле поиска начать вводить имя/должность, результат поиска будет выводиться по мере ввода.
Внизу каждого списка указано количество записей в данном списке.
Для наделения пользователей возможностями соответствующего типа необходимо в списке Все пользователи отметить требуемые записи и перенести их в список Выбранные пользователи нажатием кнопки [<-].
Для исключения пользователей из списка обладателей соответствующего типа необходимо в списке Выбранные пользователи отметить требуемые записи и перенести их в список Все пользователи нажатием кнопки [→].
В разделе Назначена на группу пользователей на вкладке Пользователи в списке Выбранные группы приведен список групп, наделенных типом. В списке Все группы приведен список всех групп домена. Во всех списках доступен поиск по названию группы. Для этого в соответствующем поле поиска начать вводить название, результат поиска будет выводиться по мере ввода.
Внизу каждого списка указано количество записей в данном списке.
Для наделения группы возможностями соответствующего типа необходимо в списке Все группы отметить требуемые записи и перенести их в список Выбранные группы нажатием кнопки [<-].
Для исключения группы из списка обладателей соответствующего типа необходимо в списке Выбранные группы отметить требуемые записи и перенести их в список Все группы нажатием кнопки [→].
Для применения изменений необходимо нажать на кнопку сохранения в правом верхнем углу.
Управление типами администратора из карточки пользователя¶
Управление типами администратора из карточки пользователя осуществляется на вкладке Роли. На вкладке задаются типы администратора, которыми будет наделена учетная запись пользователя.
В списке Выбранные роли указаны типы администратора, которыми будет наделена учетная запись пользователя. В списке Все роли указаны все типы администратора в системе.
Во всех списках доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название типа администратора, результат поиска будет выводиться по мере ввода.
Внизу каждого списка указано количество записей в данном списке.
Для наделения пользователей возможностями соответствующего типа необходимо в списке Все роли отметить типы, которыми требуется наделить пользователя, и перенести их в список Выбранные роли нажатием кнопки [<-].
Для исключения пользователей из списка обладателей соответствующего типа необходимо в списке Выбранные роли отметить требуемые записи и перенести их в список Все роли нажатием кнопки [→].
Для применения изменений необходимо нажать на кнопку сохранения в правом верхнем углу.
Управление типами администратора из карточки группы пользователей¶
Управление типами администратора из карточки группы пользователей осуществляется на вкладке Роли. На вкладке задаются типы администратора, которыми будет наделена группа пользователей.
В списке Выбранные роли указаны типы администратора, которыми будет наделена группа пользователей. В списке Все роли указаны все типы администратора в системе.
Во всех списках доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название типа администратора, результат поиска будет выводиться по мере ввода.
Внизу каждого списка указано количество записей в данном списке.
Для наделения группы пользователей возможностями соответствующего типа необходимо в списке Все роли отметить типы, которыми требуется наделить группу пользователей, и перенести их в список Выбранные роли нажатием кнопки [<-].
Для исключения группы пользователей из списка обладателей соответствующего типа необходимо в списке Выбранные роли отметить требуемые записи и перенести их в список Все роли нажатием кнопки [→].
Для применения изменений необходимо нажать на кнопку сохранения в правом верхнем углу.