.. :validated: 3.2.0

.. _dmn_roles_and_access_rights:

Роли и права доступа
----------------------------------------------------------------------

В подразделе приведены функции управления зонами ответственности при администрировании к разделам и функциям системы.

Возможности учетной записи пользователя
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

По умолчанию любой пользователь с учетной записью и без назначенных ему ролей в портале управления **ALD Pro** имеет доступ к следующей информации:

* Личный кабинет портала управления **ALD Pro**:
   * просмотр информации о своей учетной записи (данные с вкладки **Основное** карточки пользователя);
   * изменение мобильного телефона, открытых ключей SSH и пароля;
* Чтение информации и ряд операций с использованием **API ALD Pro**.

Права на операции в портале управления
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

**Привилегии**

Чтобы разрешить пользователю дополнительные (помимо доступных по умолчанию любой учетной записи без ролей) действия в портале управления, необходимо выдать ему привилегии на требуемые операции. На каждую операцию или группу операций в портале управления есть соответствующая привилегия.

Привилегии выдаются на:

* Чтение (Read);
* Создание (Create или Add);
* Изменение (Modify);
* Удаление (Drop или Delete);
* Полные права: создание, изменение, удаление (Manage).

Каждая привилегия в составе роли позволяет выполнять определенные действия в конкретном подразделе портала управления. Полный перечень привилегий см. в инструкции "Матрица и описание привилегий".

Для выполнения некоторых действий в портале управления одной выбранной привилегии может быть недостаточно. Поэтому для корректной работы необходимо добавление дополнительных (связанных) привилегий.

При добавлении каждой привилегии в роль выполняется автоматическая проверка на наличие связанных с ней привилегий. Если связанные привилегии есть, отображается их перечень. Необходимо ознакомиться со списком дополнительных привилегий и убедиться, что их наличие в роли допускается. Связанные привилегии будут добавлены в роль только после подтверждения. Если добавление связанных привилегий не будет подтверждено, активация роли завершится с ошибкой.

Добавление связанных привилегий можно выполнить в любой момент до активации роли. Все привилегии, требующие внимания, отмечены в списке привилегий роли информационным значком.

**Роли**

Привилегии выдаются в составе ролей. Роли назначаются (делегируются) пользователям напрямую или могут наследоваться пользователями от групп, в которых они состоят.

На одного пользователя (группу пользователей) можно назначить несколько ролей. Тогда привилегии пользователя на операции в портале управления будут суммироваться по всем назначенным ему ролям и ролям, унаследованных от групп.

.. attention::
   
   Использование циклических (замкнутых) наследований групп пользователей будет приводить к некорректной работе механизма управления доступом на основе ролей в связи с особенностями работы с такими зависимостями. Будут учитываться только вложенные группы первого уровня. Создание таких наследований в продуктивных средах не рекомендуется.

На пользователей (группы пользователей) с помощью портала управления **ALD Pro** можно назначать роли с типами:

* Предустановленная;
* Пользовательская.

Все варианты ролей, доступных по умолчанию в портале управления, описаны в документе "Матрица и описание ролей".

.. attention::

   Назначение предустановленных ролей, созданных НЕ с помощью интерфейса **ALD Pro** (cli или web-интерфейс **FreeIPA**), не будет подчиняться дополнительным ограничениям по подразделениям, которые актуальны для ролей, созданных в интерфейсе **ALD Pro**. Таким образом, пользователь, которому назначена роль с привилегией **Roles Membership - Manage** с ограничением на любое подразделение домена, сможет управлять членством любых пользователей в любых ролях, созданных вне интерфейса **ALD Pro**. Для корректной работы рекомендуется создание всех ролей с помощью портала управления **ALD Pro**.

Возможности для ограничения областей действия ролей и привилегий
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

В **ALD Pro** существует возможность ограничения областей действия ролей и привилегий.

Область действия роли - это совокупность привязки роли к подразделению и признака **Включая дочерние подразделения**. Если признак **Включая дочерние подразделения** не выбран, то область действия роли будет ограничена указанным подразделением. Если признак **Включая дочерние подразделения** выбран, то область действия роли будет ограничиваться всеми подразделениями ниже в иерархии, начиная с указанного подразделения.

Область действия привилегии наследуется от роли. Но есть исключения:

* Привилегии, которые не могут быть ограничены подразделением. Независимо от того, какая привязка указана для роли, в состав которой входит привилегия, такая привилегия всегда будет действовать на весь домен.
* Привилегии, которые могут быть ограничены и подразделением, и сайтом. Это привилегии на администрирование сервисов и подсистем. Для таких привилегий привязка к сайту указывается в свойствах самой привилегии в составе роли и от роли не наследуется. В роль можно включить несколько одинаковых привилегий с привязками к разным сайтам (одна привилегия - один сайт) или одну привилегию с привязкой ко всем сайтам домена. При этом привязку к подразделению такие привилегии будут наследовать от роли.

Если привилегия назначена пользователю в составе нескольких ролей с разными областями действия, то суммарная область действия привилегии для пользователя будет складываться из областей действия всех его ролей с этой привилегией.

.. toctree::
   :maxdepth: 7
   :caption: Содержание

   Типы администратора в системе/index.rst
