Роли и права доступа

В подразделе приведены функции управления зонами ответственности при администрировании к разделам и функциям системы.

Возможности учетной записи пользователя

По умолчанию любой пользователь с учетной записью и без назначенных ему ролей в портале управления ALD Pro имеет доступ к следующей информации:

• Личный кабинет портала управления ALD Pro:

  • просмотр информации о своей учетной записи (данные с вкладки Основное карточки пользователя);

  • изменение мобильного телефона, открытых ключей SSH и пароля;

• Чтение информации и ряд операций с использованием API ALD Pro.

Права на операции в портале управления

Привилегии

Чтобы разрешить пользователю дополнительные (помимо доступных по умолчанию любой учетной записи без ролей) действия в портале управления, необходимо выдать ему привилегии на требуемые операции. На каждую операцию или группу операций в портале управления есть соответствующая привилегия.

Привилегии выдаются на:

• Чтение (Read);

• Создание (Create или Add);

• Изменение (Modify);

• Удаление (Drop или Delete);

• Полные права: создание, изменение, удаление (Manage).

Каждая привилегия в составе роли позволяет выполнять определенные действия в конкретном подразделе портала управления. Полный перечень привилегий см. в инструкции «Матрица и описание привилегий».

Для выполнения некоторых действий в портале управления одной выбранной привилегии может быть недостаточно. Поэтому для корректной работы необходимо добавление дополнительных (связанных) привилегий.

При добавлении каждой привилегии в роль выполняется автоматическая проверка на наличие связанных с ней привилегий. Если связанные привилегии есть, отображается их перечень. Необходимо ознакомиться со списком дополнительных привилегий и убедиться, что их наличие в роли допускается. Связанные привилегии будут добавлены в роль только после подтверждения. Если добавление связанных привилегий не будет подтверждено, активация роли завершится с ошибкой.

Добавление связанных привилегий можно выполнить в любой момент до активации роли. Все привилегии, требующие внимания, отмечены в списке привилегий роли информационным значком.

Роли

Привилегии выдаются в составе ролей. Роли назначаются (делегируются) пользователям напрямую или могут наследоваться пользователями от групп, в которых они состоят.

На одного пользователя (группу пользователей) можно назначить несколько ролей. Тогда привилегии пользователя на операции в портале управления будут суммироваться по всем назначенным ему ролям и ролям, унаследованных от групп.

Внимание

Использование циклических (замкнутых) наследований групп пользователей будет приводить к некорректной работе механизма управления доступом на основе ролей в связи с особенностями работы с такими зависимостями. Будут учитываться только вложенные группы первого уровня. Создание таких наследований в продуктивных средах не рекомендуется.

На пользователей (группы пользователей) с помощью портала управления ALD Pro можно назначать роли с типами:

• Предустановленная;

• Пользовательская.

Все варианты ролей, доступных по умолчанию в портале управления, описаны в документе «Матрица и описание ролей».

Внимание

Назначение предустановленных ролей, созданных НЕ с помощью интерфейса ALD Pro (cli или web-интерфейс FreeIPA), не будет подчиняться дополнительным ограничениям по подразделениям, которые актуальны для ролей, созданных в интерфейсе ALD Pro. Таким образом, пользователь, которому назначена роль с привилегией Roles Membership - Manage с ограничением на любое подразделение домена, сможет управлять членством любых пользователей в любых ролях, созданных вне интерфейса ALD Pro. Для корректной работы рекомендуется создание всех ролей с помощью портала управления ALD Pro.

Возможности для ограничения областей действия ролей и привилегий

В ALD Pro существует возможность ограничения областей действия ролей и привилегий.

Область действия роли - это совокупность привязки роли к подразделению и признака Включая дочерние подразделения. Если признак Включая дочерние подразделения не выбран, то область действия роли будет ограничена указанным подразделением. Если признак Включая дочерние подразделения выбран, то область действия роли будет ограничиваться всеми подразделениями ниже в иерархии, начиная с указанного подразделения.

Область действия привилегии наследуется от роли. Но есть исключения:

• Привилегии, которые не могут быть ограничены подразделением. Независимо от того, какая привязка указана для роли, в состав которой входит привилегия, такая привилегия всегда будет действовать на весь домен.

• Привилегии, которые могут быть ограничены и подразделением, и сайтом. Это привилегии на администрирование сервисов и подсистем. Для таких привилегий привязка к сайту указывается в свойствах самой привилегии в составе роли и от роли не наследуется. В роль можно включить несколько одинаковых привилегий с привязками к разным сайтам (одна привилегия - один сайт) или одну привилегию с привязкой ко всем сайтам домена. При этом привязку к подразделению такие привилегии будут наследовать от роли.

Если привилегия назначена пользователю в составе нескольких ролей с разными областями действия, то суммарная область действия привилегии для пользователя будет складываться из областей действия всех его ролей с этой привилегией.

Содержание

• Роли в системе
  • Виды и состояния типов администраторов
    • Виды типов администраторов
    • Состояния типов администраторов
      • Статус «Редактируется»
      • Статус «Ожидает активации»
      • Статус «Активируется»
      • Статус «Активна»
      • Статус «Ошибка»
  • Добавление типа администратора
    • Группы пользователей
    • Пользователи
    • Возможности при администрировании
  • Управление типами администратора
    • Возможности для управления типами администраторов
    • Управление типами администратора из карточки типа администратора
    • Управление типами администратора из карточки пользователя
    • Управление типами администратора из карточки группы пользователей