Роли доступа
На странице Роли доступа создаются роли доступа к функционалу системы.
Каждой роли доступа можно присвоить свое уникальное имя и настроить привилегии.
Название роли доступа можно поменять в её профиле во вкладке Основное.
Роли Администратор и Администратор ИБ предустановлены в системе.
При необходимости также можно создать отдельные настраиваемые роли с разными уровнями возможностей.
- Нельзя создавать отдельные настраиваемые привилегии
- Для некоторых привилегий доступны не все операции доступа
Примеры:
- бизнес-администратор — имеет расширенный доступ к пространствам, автоматизации, данным ClickHouse, всем сотрудникам и их настройкам. Однако, в отличие от администратора и администратора ИБ, он не имеет доступа к глобальным настройкам системы, например ролям доступа, настройкам синхронизаций и аутентификаций и т.д.
- аналитик данных — может создавать пространство, дашборды, работать с данными ClickHouse, автоматизацией. Аналитик данных видит всех пользователей системы, но не может менять для них настройки
- бизнес-аналитик — может создавать дашборды, просматривать данные ClickHouse и дашборды других пользователей
- сотрудник (или пользователь) — обычный пользователь, который может просматривать только те дашборды и сотрудников, к которым ему дали доступ
Информацию о том, какие сотрудники имеют конкретную роль доступа, можно получить через дашборд по ролям и доступам.
Ролевая модель
Ролевая модель предусматривает следующие разграничения для пользователей:
- к функциональным возможностям системы
- к данным по пользователям
- к аналитическим отчетам системы
- к инструменту GraphQL (API)
Каждому пользователю системы могут назначаться роли доступа, доступные пользователи и пространства данных. Возможные действия пользователя в системе будут определяться набором этих привилегий.
Для каждой роли доступа устанавливается набор разрешенных операций доступа по отношению к группе конкретных объектов. Пользователю может быть назначено более одной роли доступа. В результате пользователь получит права каждой из назначенных ролей. Для назначения доступны следующие операции доступа:
- R — чтение;
- W — изменение;
- C — создание;
- D — удаление;
- E — выполнение.
Для Ключей API невозможно назначение ролей доступа. Для каждого Ключа API привилегии доступа назначаются отдельно. Они могут быть:
- R — чтение;
- W — изменение;
- C — создание;
- D — удаление;
- E — выполнение.
Система контроля доступа является «закрытой». Изначально объект не доступен никому. Наличие отдельных привилегий доступа зависит от подключённых модулей. Привилегии указаны в таблице:
Модуль Платформа
Назначение | Действия |
---|---|
Привилегия «Роли доступа» | |
Отвечает за настройку ролей доступа в системе В веб-интерфейсе настройка параметров производится: Настройки/Администрирование/Роли доступа Назначение привилегии невозможно для Ключей API | Операция R дает доступ просматривать: 1. Раздел Роли доступа: список созданных ролей и профиль роли доступа (название и привилегии) 2. Раздел Пользователи, профиль пользователя, вкладка Доступ: Предоставляет доступ к списку ролей доступа, созданных в системе (если пользователю также доступна привилегия «Доступы пользователей» W – изменение) Операция W дает доступ: 1. На изменение названия и настройку роли в профиле роли доступа Операция C дает доступ создавать: 1. Роли доступа Операция D дает доступ удалять: 1. Роли доступа |
Привилегия «Ключи API» | |
Отвечает за настройку Ключей API, с помощью которых осуществляются внешние и внутренние интеграции В веб-интерфейсе настройка параметров производится: Настройки/Администрирование/Ключи API | Операция R дает доступ просматривать: 1. Список ключей API и их профили (название, значение ключа, режим аутентификации, доступ к пространствам, привилегии) Операция W дает доступ: 1. На изменение названия ключа и доступа к пространствам, к настройке привилегии ключа во вкладке Профиль ключа Операция C дает доступ: 1. На создание ключа API и загрузку сертификата, если выбран безопасный тип ключа Операция D дает доступ: 1. На удаление ключа |
Привилегия «Аутентификация» | |
Отвечает за настройку параметров аутентификации в системе В веб-интерфейсе просмотр и настройка параметров производится: Настройки/Администрирование/Аутентификация | Операция R дает доступ просматривать: 1. Раздел Аутентификация: список аутентификаций (тип «Встроенная» и др.) и профиль аутентификации (тип «Встроенная») 2. Профиль аутентификации: название, тип, сложный пароль (Минимальная длина пароля, если Сложный пароль: Вкл.), срок действия пароля, ограничение попыток входа 3. Раздел Пользователи: аутентификации в списке пользователей (если включена привилегия «Доступы пользователей» R — чтение) 4. Раздел Пользователи, профиль пользователя, вкладка Доступ: параметр Аутентификация (если включена привилегия «Доступы пользователей» R — чтение), список аутентификаций, созданных в системе (если включена привилегия «Доступы пользователей» W — изменение) Операция W дает доступ изменять: 1. В профиле аутентификации типа «Встроенная»: название, сложный пароль (Вкл/Выкл), минимальную длину пароля, срок действия пароля, количество допустимых попыток входа 2. В профиле аутентификации типа «Kerberos»: название, тип аутентификации, ключ (.keytab), адрес центра выдачи ключей, сопоставление атрибутов по полю Операция C дает доступ создавать: 1. Аутентификацию Операция D дает доступ удалять: 1. Аутентификацию |
Привилегия «Общие настройки» | |
Отвечает за настройку параметра «Формат инициалов» и за настройку прав доступа к параметрам агента автоматизации В веб-интерфейсе параметры представлены на страницах Настройки/Администрирование/Дополнительные настройки и Настройки/Работа с данными/Агенты автоматизации | Операция R дает доступ просматривать: 1. Раздел Дополнительные настройки (формат инициалов) 2. Раздел Версии модулей 3. Раздел Агенты автоматизации и состояния агентов Операция W дает доступ: 1. На изменение в разделе Дополнительные настройки (формат инициалов) 2. На подключение/отключение агентов автоматизации в разделе Агенты автоматизации |
Привилегия «Сервер исходящей почты» | |
Отвечает за настройку почтового сервера системы Настройка параметров производится через веб-интерфейс: Настройки/Подключения/Сервер исходящей почты | Операция R дает доступ просматривать: 1. Во вкладке Подключение: адрес электронной почты, адрес сервера, порт соединения, шифрование, имя пользователя 2. Во вкладке Контакты: адрес электронной почты и номер телефона Операция W дает доступ изменять: 1. Во вкладке Подключение: адрес электронной почты, адрес сервера, порт соединения, шифрование (Выключено/SSL/TLS), имя пользователя, пароль 2. Во вкладке Контакты: адрес электронной почты и номер телефона. Операция E дает доступ: 1. На проверку соединения |
Привилегия «Пользователи и отделы» | |
Отвечает за настройку прав доступа к параметрам Пользователей, Основное в профиле пользователя, Профиль отдела, Источники сбора активности В списке пользователей отображаются только те пользователи и их параметры, к которым имеет доступ пользователь. В веб-интерфейсе настройка параметров производится: Настройки/Администрирование/Пользователи | Операция R дает доступ просматривать: 1. Раздел Пользователи: список пользователей и отделов, профиль пользователя (имя, фамилию, отчество, язык системы, отдел, табельный номер, электронную почту, номер телефона, кастомные поля), профиль отдела (название отдела и расположение) 2. Информацию о пользователях с группами безопасности Active Directory через GraphQL-запрос Операция W дает доступ: 1. Объединять пользователей и отделы в разделе Пользователи 2. Изменять профиль пользователя (имя, фамилию, отчество, язык системы, отдел, табельный номер, электронную почту, номер телефона, данные в кастомных полях), профиль отдела (название отдела и расположение) Операция C дает доступ создавать: 1. Пользователей и отделы С привилегиями «Доступы пользователей» — W и «Аутентификация» — W пользователь также может задавать аутентификацию и активировать настройку «Доступ ко всем пользователям» в профиле пользователя Операция D дает доступ удалять: 1. Пользователей и отделы |
Привилегия «Доступы пользователей» | |
Отвечает за возможность настройки доступов пользователей в системе | Операция R дает доступ просматривать: 1. В профиле пользователя во вкладке Доступ назначенные роли доступа, аутентификации (если включена привилегия «Аутентификация» R – чтение), настройку «Доступ ко всем пользователям» (Вкл/Выкл), доступных пользователей (если параметр «Доступ ко всем пользователям» в положении Выкл) 2. Системные переменные в редакторе формул и способах ввода данных для запуска скрипта Операция W дает доступ изменять: 1. Роли доступа (дает возможность удалять и назначать роли доступа, если пользователю также доступна привилегия «Роли доступа» R – чтение), логин, аутентификации (дает возможность удалить или добавить аутентификации, если включена привилегия «Аутентификация» W — изменение), доступных пользователей, задать или сбросить пароль (если пользователю также доступна привилегия «Аутентификация» W – изменение) Операция E дает доступ: 1. На отправку приглашений |
Привилегия «Инструмент GraphQL» | |
Отвечает за настройку доступа к инструменту GraphQL в системе Назначение привилегии невозможно для Ключей API | Операция E дает доступ: 1. На использование инструмента GraphQL |
Привилегия «Настройка тегов» | |
Отвечает за создание, настройку и удаление тегов в системе В веб-интерфейсе настройка параметров производится: Настройки/Администрирование/Теги | Операция R дает доступ просматривать: 1. Список тегов и профиль тега (название тега и цвет тега) Операция W дает доступ изменять: 1. Профиль тега (название тега и цвет тега) Операция C дает доступ создавать: 1. Теги Операция D дает доступ удалять: 1. Теги |
Привилегия «Сервисный режим» | |
Отвечает за настройку доступа в систему при включенном состоянии системы «Сервисный режим» | Операция R дает доступ: 1. Авторизоваться в систему при включенном «Сервисном режиме» |
Привилегия «Поля пользователя» | |
Отвечает за настройку раздела Поля пользователя | Операция R дает доступ просматривать: 1. Список полей в разделе Поля пользователя Операция W дает доступ редактировать: 1. Поля в разделе Поля пользователя Операция C дает доступ создавать: 1. Кастомные поля в разделе Поля пользователя Операция D дает доступ удалять: 1. Кастомные поля в разделе Поля пользователя |
Привилегия «Мониторинг метрик» | |
Отвечает за сбор и передачу метрик Prometheus Привилегию невозможно применить для ролей доступа, можно назначить исключительно для Ключей API | Операция R дает доступ просматривать: 1. Собираемые метрики |
Привилегия «Управление лицензиями» | |
Отвечает за доступ к разделу Поля пользователя | Операция R дает доступ просматривать: 1. Список ключей и общее количество лицензий во вкладке Обзор Операция C дает доступ активировать: 1. Лицензионные ключи |
Модуль ClickHouse
Назначение | Действия |
---|---|
Привилегия «Хранилища» | |
Отвечает за настройку подключений в разделе настроек Хранилища данных Привилегия недоступна в SAAS-версии | Операция R дает доступ просматривать: 1. Список созданных подключений и их настройки Операция W дает доступ изменять: 1. Список созданных подключений и их настройки, доступы пользователей на создание пространств на выбранном подключении Операция C дает доступ создавать: 1. Подключение ClickHouse в разделе Хранилища данных Операция D дает доступ удалять: 1. Подключение ClickHouse в разделе Хранилища данных |
Модуль Мониторинга
Назначение | Действия |
---|---|
Привилегия «Параметры мониторинга» | |
Отвечает за настройку параметров мониторинга в профиле пользователя | Операция R дает доступ просматривать: 1. Параметр Мониторинг (Отключен/Простой/Расширенный) Операция W дает доступ: 1. На изменение параметра Мониторинг (Отключен/Простой/Расширенный) и массовое назначение Мониторинга |
Привилегия «Фильтры мониторинга» | |
Отвечает за настройку фильтров мониторинга (белый и черный списки) | Операция R дает доступ просматривать вкладки: 1. Настройка фильтра, белый список, черный список Операция W дает доступ изменять: 1. Режим фильтра (выключен, белый список, черный список), активность в белом списке, активность в черном списке Операция C дает доступ добавлять: 1. Активность в белом списке и активность в черном списке Операция D дает доступ удалять: 1. Активность из белого и черного списков |
Привилегия «Экспорт/импорт активности пользователей» | |
Позволяет с помощью API экспортировать и импортировать активность пользователей | Операция E дает доступ выполнять: 1. GraphQL-запросы для экспорта и импорта активности пользователей |
Привилегия «Скачать агент мониторинга» | |
Отвечает за доступ к скачиванию дистрибутива агента мониторинга в системе | Операция E дает доступ: 1. На скачивание агента |
Привилегия «Агент мониторинга» | |
Отвечает за соединение агента мониторинга и сервера в системе Привилегию невозможно применить для ролей доступа, можно назначить исключительно для Ключей API | Операция R дает доступ получать: 1. Актуальную версию агента мониторинга, дистрибутив агента мониторинга для обновления, настройки для агента мониторинга, ФИО пользователя по его ID, список поддерживаемых протоколов агентских данных, значение параметра «Мониторинг» у пользователей, список фильтров мониторинга Операция W дает доступ: 1. Загружать данные с активностью от агента мониторинга, загружать дамп-файлы агента мониторинга 2. Создавать пользователей |
Привилегия «Исследования» | |
Отвечает за доступ к исследованиям | Операция R дает доступ просматривать: 1. Исследования и их настройки Операция W дает доступ изменять: 1. Настройки исследований *Добавление сотрудников возможно, если у пользователя включена привилегия «Пользователи и отделы» с доступом R или W Операция C дает доступ добавлять: 1. Исследования Операция D дает доступ удалять: 1. Исследования |
Модуль Active Directory
Назначение | Действия |
---|---|
Привилегия «Синхронизация с User Directory» | |
Отвечает за управление настройками Active Directory и других интеграций в разделе Синхронизация пользователей | Операция R дает доступ просматривать: 1. Список синхронизаций и их профили, которые включают настройки: название интеграции, автоматическая синхронизация, синхронизировать по полю в системе, синхронизировать по атрибуту в AD, убрать доступ при выключении в AD, убрать доступ при отсутствии источника, дать доступ при включении в AD, обезличивать при удалении в AD, время синхронизации, список контроллеров и их параметры (протокол подключения, сертификат, адрес, имя пользователя, пароль, описание), список доменных объектов, параметры для первичного сопоставления атрибутов: атрибут в AD и поле в системе 2. Список условий приоритизации Операция W дает доступ изменять: 1. Название интеграции, протокол подключения, сертификаты, адрес контроллера домена, имя пользователя, пароль, убрать доступ при выключении в AD, дать доступ при включении в AD, обезличивать при удалении в AD, доменные объекты, синхронизируемые атрибуты, синхронизацию в Active Directory профиля пользователя, первичное сопоставление атрибута (поле в системе и атрибут в AD) 2. Приоритетность источников во вкладке Приоритизация Операция C дает доступ создавать: 1. Интеграции, контроллеры домена, доменные объекты, синхронизируемые атрибуты, условия приоритизации Операция D дает доступ удалять: 1. Интеграции, сертификаты, контроллеры домена, доменные объекты, синхронизируемые атрибуты, условия приоритизации Операция E дает доступ выполнять: 1. Тестирование подключения и синхронизацию |
Модуль Бизнес-Аналитика
Назначение | Действия |
---|---|
Привилегия «Пространство» | |
Отвечает за настройку прав доступа к пространствам | Операция R дает доступ: 1. Просматривать пространства, дашборды, таблицы, связи и показатели пространств Операция W дает доступ: 1. Просматривать дашборды, скрипты, модель данных, таблицы, процессы и подключения *Работа с подключениями возможна, если включена привилегия «Подключения» 2. Создавать, удалять и редактировать дашборды, скрипты, модель данных, процессы, подключения и показатели пространств. Также дублировать и экспортировать пространства, импортировать и экспортировать таблицы из модели данных 3. Назначать доступы в пространстве *Назначение доступов возможно, если у пользователя включена привилегия «Пользователи и отделы» с доступом R или W 4. Просматривать, добавлять и удалять пакеты 5. Работать с Журналом выполнений Операция C дает доступ создавать: 1. Пространства. При создании пространства пользователь, совершающий эту операцию, автоматически получает «Доступ на изменение» в этом пространстве Операция D дает доступ удалять: 1. Пространства *Удаление возможно с доступом W привилегии «Пространство» Операция E дает доступ выполнять: 1. Экспорт и импорт пространства (если есть доступ на изменение пространства) |
Привилегия «Экспорт компонентов» | |
Позволяет экспортировать данные компонентов в дашборде | Операция E дает доступ: 1. Выгружать данные компонентов «Таблица» и «Сводная таблица» в формате CSV |
Привилегия «Маркетплейс» | |
Позволяет загружать пакеты в «Маркетплейс» Привилегия доступна только для standalone-версии | Операция C дает доступ: 1. Загружать пакеты Операция D дает доступ: 1. Удалять пакеты |
Привилегия «Приложения» | |
Позволяет устанавливать приложения из «Маркетплейса» | Операция C дает доступ: 1. Устанавливать приложения Операция D дает доступ: 1. Удалять приложения |
Модуль Автоматизация
Назначение | Действия |
---|---|
Привилегия «Подключения» | |
Отвечает за настройку прав доступа к подключениям | Операция R дает доступ просматривать: 1. Список доступных подключений и их параметры (название, источник, хост, порт, имя базы данных, имя пользователя, пароль (кнопка Изменить пароль. По умолчанию вводимые символы скрываются точками, при нажатии на символ глаза открывается вводимый текст), переключатель с SSL) Операция W дает доступ: 1. Изменять у подключения: название, хост, порт, имя базы данных (выбор таблиц ограничивается указанной базой данных), имя пользователя, пароль (по умолчанию вводимые символы скрываются точками, при нажатии на символ глаза открывается вводимый текст), переключатель с SSL (при активации): корневой сертификат (загрузка сертификата) Операция C дает доступ: 1. Создавать подключения Операция D дает доступ: 1. Удалять подключения |
Привилегия «Системные таблицы» | |
Отвечает за доступ к чтению и редактированию блока пакета «Системные таблицы» | Операция C дает доступ: 1. Добавлять в скрипт блок пакета «Системные таблицы» и импортировать скрипт с блоком «Системные таблицы» |
Предустановленные роли доступа
По умолчанию после установки системы в модулях есть две сквозные роли доступа:
- «Администратор» (А)
- «Администратор ИБ» (АИБ)
Администратор имеет расширенный доступ ко всем настройкам системы. Он может:
- создавать, изменять удалять:
- пользователей, отделы
- роли доступа
- ключи API
- аутентификации
- пространства
- синхронизации с Active Directory и др.
- изменять общие настройки системы, параметры мониторинга
- использовать инструмент GraphQL
Также администратор имеет доступ к сервисному режиму.
Роль Администратора ИБ предназначена для персонала, основной обязанностью которого является обеспечение информационной безопасности.
Администратор ИБ выполняет следующие функции:
- контроль за предоставлением пользователям доступа к системе
- контроль прав доступа пользователей к функционалу системы
- контроль прав доступа пользователей к данным системы
- выявление событий несанкционированного доступа к системе
- направление требований администратору системы по изменению настроек системы, направленных на реализацию мер информационной безопасности
Также Администратор ИБ имеет доступ к инструменту GraphQL.
Матрица прав доступа по привилегиям для предустановленных ролей приведена в таблице ниже.
Название привилегии | А | АИБ |
---|---|---|
Роли доступа | RWCD | R |
Ключи API» | RWCD | R |
Аутентификация» | RWCD | R |
Общие настройки» | RW | R |
Сервер исходящей почты» | RWE | R |
Пользователи и отделы» | RWCD | R |
Доступы пользователей» | RWE | R |
Инструмент GraphQL» | E | E |
Настройка тегов» | RWCD | R |
Поля пользователя» | RWCD | R |
Хранилища» (недоступна в SAAS-версии) | RWCD | R |
Параметры мониторинга» | RW | R |
Фильтры активностей» | RWCD | R |
Экспорт/импорт активности пользователей» | E | E |
Скачать агент мониторинга» | E | E |
Агент мониторинга | — | – |
«Синхронизация User Directory» | RWCDE | R |
«Сервисный режим» | R | R |
Пространство | RWCDE | – |
Подключения | RWCD | – |
Системные таблицы | C | – |
Маркетплейс | CD | CD |
Приложения | CD | CD |
Экспорт компонентов | E | – |
Мониторинг метрик | – | – |
Исследования | RWCD | R |
Управление лицензиями | RC | — |
Для роли Администратор обязательно наличие «Доступа ко всем пользователям».
Для Администратора ИБ по умолчанию установлен выборочный доступ, но вы можете дать его ко всем пользователям в профиле сотрудника во вкладке Доступ.
Выборочный доступ к пользователям подразумевает под собой наличие у пользователя доступа к определенному списку пользователей. Список пользователей регламентируется заказчиком, доступ предоставляет администратор системы. Доступ ко всем пользователям подразумевает под собой доступ ко всем пользователям, которые существуют в системе.
Дополнительная информация по ролям доступа
- Первому пользователю системы назначается роль доступа «Администратор»
- При установке нового модуля никому не дается никакой роли доступа в нём
- Имя роли доступа должно быть уникально. Задать одинаковое значение «имени» роли доступа невозможно
- Удалить роль доступа «Администратор» невозможно
- Перед тем, как назначить пользователей администраторами, необходимо сначала в их профилях включить «Доступ ко всем пользователям»
Если в системе остался один пользователь, у которого назначена роль с операцией доступа W, то в таком случае:
- невозможно у этой роли доступа изменить/выключить данную привилегию
- у данного пользователя в профиле в «Основное» обязательно должны быть заполнены поля «Электронная почта», «Пароль» (для возможности восстановления пароля и авторизации)
- у данного пользователя в профиле нельзя удалить роль доступа с привилегией «Роль доступа», если она является последней из всех, в которой включена эта привилегия
Права доступа для Ключей API
Для каждого ключа API, по аналогии с пользователями системы, можно назначить права доступа к привилегиям и пространствам. Настройка прав доступа ключа API происходит в его профиле, в разделе Настройки / Ключи API веб-интерфейса системы.
Была ли статья полезна?