Роли доступа
8 800 555-89-02
Войти
Документация
CTRL+K
Standalone2410
SaaS

Роли доступа

В этой статье

На странице Роли доступа создаются роли доступа к функционалу системы.

Страница Роли доступа

Каждой роли доступа можно присвоить свое уникальное имя и настроить привилегии.

Название роли доступа можно поменять в её профиле во вкладке Основное.

Название роли доступа

Роли Администратор и Администратор ИБ предустановлены в системе.

При необходимости также можно создать отдельные настраиваемые роли с разными уровнями возможностей.

Заметка
  • Нельзя создавать отдельные настраиваемые привилегии
  • Для некоторых привилегий доступны не все операции доступа

Примеры:

  • бизнес-администратор — имеет расширенный доступ к пространствам, автоматизации, данным ClickHouse, всем сотрудникам и их настройкам. Однако, в отличие от администратора и администратора ИБ, он не имеет доступа к глобальным настройкам системы, например ролям доступа, настройкам синхронизаций и аутентификаций и т.д.
  • аналитик данных — может создавать пространство, дашборды, работать с данными ClickHouse, автоматизацией. Аналитик данных видит всех пользователей системы, но не может менять для них настройки
  • бизнес-аналитик — может создавать дашборды, просматривать данные ClickHouse и дашборды других пользователей
  • сотрудник (или пользователь) — обычный пользователь, который может просматривать только те дашборды и сотрудников, к которым ему дали доступ

Информацию о том, какие сотрудники имеют конкретную роль доступа, можно получить через дашборд по ролям и доступам.

Ролевая модель

Ролевая модель предусматривает следующие разграничения для пользователей:

  • к функциональным возможностям системы
  • к данным по пользователям
  • к аналитическим отчетам системы
  • к инструменту GraphQL (API)

Каждому пользователю системы могут назначаться роли доступа, доступные пользователи и пространства данных. Возможные действия пользователя в системе будут определяться набором этих привилегий.

Для каждой роли доступа устанавливается набор разрешенных операций доступа по отношению к группе конкретных объектов. Пользователю может быть назначено более одной роли доступа. В результате пользователь получит права каждой из назначенных ролей. Для назначения доступны следующие операции доступа:

  • R — чтение;
  • W — изменение;
  • C — создание;
  • D — удаление;
  • E — выполнение.

Для Ключей API невозможно назначение ролей доступа. Для каждого Ключа API привилегии доступа назначаются отдельно. Они могут быть:

  • R — чтение;
  • W — изменение;
  • C — создание;
  • D — удаление;
  • E — выполнение.

Система контроля доступа является «закрытой». Изначально объект не доступен никому. Наличие отдельных привилегий доступа зависит от подключённых модулей. Привилегии указаны в таблице:

Модуль Платформа

НазначениеДействия
Привилегия «Роли доступа»
Отвечает за настройку ролей доступа в системе

В веб-интерфейсе настройка параметров производится: Настройки/Администрирование/Роли доступа

Назначение привилегии невозможно для Ключей API
Операция R дает доступ просматривать:
1. Раздел Роли доступа: список созданных ролей и профиль роли доступа (название и привилегии)
2. Раздел Пользователи, профиль пользователя, вкладка Доступ:
Предоставляет доступ к списку ролей доступа, созданных в системе (если пользователю также доступна привилегия «Доступы пользователей» W – изменение)

Операция W дает доступ:
1. На изменение названия и настройку роли в профиле роли доступа

Операция C дает доступ создавать:
1. Роли доступа

Операция D дает доступ удалять:
1. Роли доступа
Привилегия «Ключи API»
Отвечает за настройку Ключей API, с помощью которых осуществляются внешние и внутренние интеграции

В веб-интерфейсе настройка параметров производится: Настройки/Администрирование/Ключи API
Операция R дает доступ просматривать:
1. Список ключей API и их профили (название, значение ключа, режим аутентификации, доступ к пространствам, привилегии)

Операция W дает доступ:
1. На изменение названия ключа и доступа к пространствам, к настройке привилегии ключа во вкладке Профиль ключа

Операция C дает доступ:
1. На создание ключа API и загрузку сертификата, если выбран безопасный тип ключа

Операция D дает доступ:
1. На удаление ключа
Привилегия «Аутентификация»
Отвечает за настройку параметров аутентификации в системе

В веб-интерфейсе просмотр и настройка параметров производится: Настройки/Администрирование/Аутентификация
Операция R дает доступ просматривать:
1. Раздел Аутентификация: список аутентификаций (тип «Встроенная» и др.) и профиль аутентификации (тип «Встроенная»)
2. Профиль аутентификации: название, тип, сложный пароль (Минимальная длина пароля, если Сложный пароль: Вкл.), срок действия пароля, ограничение попыток входа
3. Раздел Пользователи: аутентификации в списке пользователей (если включена привилегия «Доступы пользователей» R — чтение)
4. Раздел Пользователи, профиль пользователя, вкладка Доступ: параметр Аутентификация (если включена привилегия «Доступы пользователей» R — чтение), список аутентификаций, созданных в системе (если включена привилегия «Доступы пользователей» W — изменение)

Операция W дает доступ изменять:
1. В профиле аутентификации типа «Встроенная»: название, сложный пароль (Вкл/Выкл), минимальную длину пароля, срок действия пароля, количество допустимых попыток входа
2. В профиле аутентификации типа «Kerberos»: название, тип аутентификации, ключ (.keytab), адрес центра выдачи ключей, сопоставление атрибутов по полю

Операция C дает доступ создавать:
1. Аутентификацию

Операция D дает доступ удалять:
1. Аутентификацию
Привилегия «Общие настройки»
Отвечает за настройку параметра «Формат инициалов» и за настройку прав доступа к параметрам агента автоматизации

В веб-интерфейсе параметры представлены на страницах Настройки/Администрирование/Дополнительные настройки и Настройки/Работа с данными/Агенты автоматизации
Операция R дает доступ просматривать:
1. Раздел Дополнительные настройки (формат инициалов)
2. Раздел Версии модулей
3. Раздел Агенты автоматизации и состояния агентов

Операция W дает доступ:
1. На изменение в разделе Дополнительные настройки (формат инициалов)
2. На подключение/отключение агентов автоматизации в разделе Агенты автоматизации
Привилегия «Сервер исходящей почты»
Отвечает за настройку почтового сервера системы

Настройка параметров производится через веб-интерфейс: Настройки/Подключения/Сервер исходящей почты
Операция R дает доступ просматривать:
1. Во вкладке Подключение: адрес электронной почты, адрес сервера, порт соединения, шифрование, имя пользователя
2. Во вкладке Контакты: адрес электронной почты и номер телефона

Операция W дает доступ изменять:
1. Во вкладке Подключение: адрес электронной почты, адрес сервера, порт соединения, шифрование (Выключено/SSL/TLS), имя пользователя, пароль
2. Во вкладке Контакты: адрес электронной почты и номер телефона.

Операция E дает доступ:
1. На проверку соединения
Привилегия «Пользователи и отделы»
Отвечает за настройку прав доступа к параметрам Пользователей, Основное в профиле пользователя, Профиль отдела, Источники сбора активности

В списке пользователей отображаются только те пользователи и их параметры, к которым имеет доступ пользователь. В веб-интерфейсе настройка параметров производится: Настройки/Администрирование/Пользователи
Операция R дает доступ просматривать:
1. Раздел Пользователи: список пользователей и отделов, профиль пользователя (имя, фамилию, отчество, язык системы, отдел, табельный номер, электронную почту, номер телефона, кастомные поля), профиль отдела (название отдела и расположение)
2. Информацию о пользователях с группами безопасности Active Directory через GraphQL-запрос

Операция W дает доступ:
1. Объединять пользователей и отделы в разделе Пользователи
2. Изменять профиль пользователя (имя, фамилию, отчество, язык системы, отдел, табельный номер, электронную почту, номер телефона, данные в кастомных полях), профиль отдела (название отдела и расположение)

Операция C дает доступ создавать:
1. Пользователей и отделы
С привилегиями «Доступы пользователей» — W и «Аутентификация» — W пользователь также может задавать аутентификацию и активировать настройку «Доступ ко всем пользователям» в профиле пользователя

Операция D дает доступ удалять:
1. Пользователей и отделы
Привилегия «Доступы пользователей»
Отвечает за возможность настройки доступов пользователей в системеОперация R дает доступ просматривать:
1. В профиле пользователя во вкладке Доступ назначенные роли доступа, аутентификации (если включена привилегия «Аутентификация» R – чтение), настройку «Доступ ко всем пользователям» (Вкл/Выкл), доступных пользователей (если параметр «Доступ ко всем пользователям» в положении Выкл)
2. Системные переменные в редакторе формул и способах ввода данных для запуска скрипта

Операция W дает доступ изменять:
1. Роли доступа (дает возможность удалять и назначать роли доступа, если пользователю также доступна привилегия «Роли доступа» R – чтение), логин, аутентификации (дает возможность удалить или добавить аутентификации, если включена привилегия «Аутентификация» W — изменение), доступных пользователей, задать или сбросить пароль (если пользователю также доступна привилегия «Аутентификация» W – изменение)

Операция E дает доступ:
1. На отправку приглашений
Привилегия «Инструмент GraphQL»
Отвечает за настройку доступа к инструменту GraphQL в системе

Назначение привилегии невозможно для Ключей API
Операция E дает доступ:
1. На использование инструмента GraphQL
Привилегия «Настройка тегов»
Отвечает за создание, настройку и удаление тегов в системе

В веб-интерфейсе настройка параметров производится: Настройки/Администрирование/Теги
Операция R дает доступ просматривать:
1. Список тегов и профиль тега (название тега и цвет тега)

Операция W дает доступ изменять:
1. Профиль тега (название тега и цвет тега)

Операция C дает доступ создавать:
1. Теги

Операция D дает доступ удалять:
1. Теги
Привилегия «Сервисный режим»
Отвечает за настройку доступа в систему при включенном состоянии системы «Сервисный режим»Операция R дает доступ:
1. Авторизоваться в систему при включенном «Сервисном режиме»
Привилегия «Поля пользователя»
Отвечает за настройку раздела Поля пользователяОперация R дает доступ просматривать:
1. Список полей в разделе Поля пользователя

Операция W дает доступ редактировать:
1. Поля в разделе Поля пользователя

Операция C дает доступ создавать:
1. Кастомные поля в разделе Поля пользователя

Операция D дает доступ удалять:
1. Кастомные поля в разделе Поля пользователя
Привилегия «Мониторинг метрик»
Отвечает за сбор и передачу метрик Prometheus

Привилегию невозможно применить для ролей доступа, можно назначить исключительно для Ключей API
Операция R дает доступ просматривать:
1. Собираемые метрики
Привилегия «Управление лицензиями»
Отвечает за доступ к разделу Управление лицензиямиОперация R дает доступ просматривать:
1. Список ключей и общее количество лицензий во вкладке Обзор

Операция C дает доступ активировать:
1. Лицензионные ключи

Модуль ClickHouse

НазначениеДействия
Привилегия «Хранилища»
Отвечает за настройку подключений в разделе настроек Хранилища данных

Привилегия недоступна в SAAS-версии
Операция R дает доступ просматривать:
1. Список созданных подключений и их настройки

Операция W дает доступ изменять:
1. Список созданных подключений и их настройки, доступы пользователей на создание пространств на выбранном подключении

Операция C дает доступ создавать:
1. Подключение ClickHouse в разделе Хранилища данных

Операция D дает доступ удалять:
1. Подключение ClickHouse в разделе Хранилища данных

Модуль Мониторинга

НазначениеДействия
Привилегия «Параметры мониторинга»
Отвечает за настройку параметров мониторинга в профиле пользователяОперация R дает доступ просматривать:
1. Параметр Мониторинг (Отключен/Простой/Расширенный)

Операция W дает доступ:
1. На изменение параметра Мониторинг (Отключен/Простой/Расширенный) и массовое назначение Мониторинга
Привилегия «Фильтры мониторинга»
Отвечает за настройку фильтров мониторинга (белый и черный списки)Операция R дает доступ просматривать вкладки:
1. Настройка фильтра, белый список, черный список

Операция W дает доступ изменять:
1. Режим фильтра (выключен, белый список, черный список), активность в белом списке, активность в черном списке

Операция C дает доступ добавлять:
1. Активность в белом списке и активность в черном списке

Операция D дает доступ удалять:
1. Активность из белого и черного списков
Привилегия «Экспорт/импорт активности пользователей»
Позволяет с помощью API экспортировать и импортировать активность пользователейОперация E дает доступ выполнять:
1. GraphQL-запросы для экспорта и импорта активности пользователей
Привилегия «Скачать агент мониторинга»
Отвечает за доступ к скачиванию дистрибутива агента мониторинга в системеОперация E дает доступ:
1. На скачивание агента
Привилегия «Агент мониторинга»
Отвечает за соединение агента мониторинга и сервера в системе

Привилегию невозможно применить для ролей доступа, можно назначить исключительно для Ключей API
Операция R дает доступ получать:
1. Актуальную версию агента мониторинга, дистрибутив агента мониторинга для обновления, настройки для агента мониторинга, ФИО пользователя по его ID, список поддерживаемых протоколов агентских данных, значение параметра «Мониторинг» у пользователей, список фильтров мониторинга

Операция W дает доступ:
1. Загружать данные с активностью от агента мониторинга, загружать дамп-файлы агента мониторинга
2. Создавать пользователей
Привилегия «Исследования»
Отвечает за доступ к исследованиямОперация R дает доступ просматривать:
1. Исследования и их настройки

Операция W дает доступ изменять:
1. Настройки исследований
*Добавление сотрудников возможно, если у пользователя включена привилегия «Пользователи и отделы» с доступом R или W

Операция C дает доступ добавлять:
1. Исследования

Операция D дает доступ удалять:
1. Исследования

Модуль Active Directory

НазначениеДействия
Привилегия «Синхронизация с User Directory»
Отвечает за управление настройками Active Directory и других интеграций в разделе Синхронизация пользователейОперация R дает доступ просматривать:
1. Список синхронизаций и их профили, которые включают настройки: название интеграции, автоматическая синхронизация, синхронизировать по полю в системе, синхронизировать по атрибуту в AD, убрать доступ при выключении в AD, убрать доступ при отсутствии источника, дать доступ при включении в AD, обезличивать при удалении в AD, время синхронизации, список контроллеров и их параметры (протокол подключения, сертификат, адрес, имя пользователя, пароль, описание), список доменных объектов, параметры для первичного сопоставления атрибутов: атрибут в AD и поле в системе
2. Список условий приоритизации

Операция W дает доступ изменять:
1. Название интеграции, протокол подключения, сертификаты, адрес контроллера домена, имя пользователя, пароль, убрать доступ при выключении в AD, дать доступ при включении в AD, обезличивать при удалении в AD, доменные объекты, синхронизируемые атрибуты, синхронизацию в Active Directory профиля пользователя, первичное сопоставление атрибута (поле в системе и атрибут в AD)
2. Приоритетность источников во вкладке Приоритизация

Операция C дает доступ создавать:
1. Интеграции, контроллеры домена, доменные объекты, синхронизируемые атрибуты, условия приоритизации

Операция D дает доступ удалять:
1. Интеграции, сертификаты, контроллеры домена, доменные объекты, синхронизируемые атрибуты, условия приоритизации

Операция E дает доступ выполнять:
1. Тестирование подключения и синхронизацию

Модуль Бизнес-Аналитика

НазначениеДействия
Привилегия «Пространство»
Отвечает за настройку прав доступа к пространствамОперация R дает доступ:
1. Просматривать пространства, дашборды, таблицы, связи и показатели пространств

Операция W дает доступ:
1. Просматривать дашборды, скрипты, модель данных, таблицы, процессы и подключения
*Работа с подключениями возможна, если включена привилегия «Подключения»
2. Создавать, удалять и редактировать дашборды, скрипты, модель данных, процессы, подключения и показатели пространств. Также дублировать и экспортировать пространства, импортировать и экспортировать таблицы из модели данных
3. Назначать доступы в пространстве
*Назначение доступов возможно, если у пользователя включена привилегия «Пользователи и отделы» с доступом R или W
4. Просматривать, добавлять и удалять пакеты
5. Работать с Журналом выполнений

Операция C дает доступ создавать:
1. Пространства. При создании пространства пользователь, совершающий эту операцию, автоматически получает «Доступ на изменение» в этом пространстве

Операция D дает доступ удалять:
1. Пространства
*Удаление возможно с доступом W привилегии «Пространство»

Операция E дает доступ выполнять:
1. Экспорт и импорт пространства (если есть доступ на изменение пространства)
Привилегия «Экспорт компонентов»
Позволяет экспортировать данные виджетов в дашбордеОперация E дает доступ:
1. Выгружать данные виджетов «Таблица» и «Сводная таблица» в формате CSV
Привилегия «Маркетплейс»
Позволяет загружать пакеты в «Маркетплейс»
Привилегия доступна только для standalone-версии
Операция C дает доступ:
1. Загружать пакеты

Операция D дает доступ:
1. Удалять пакеты
Привилегия «Приложения»
Позволяет устанавливать приложения из «Маркетплейса»Операция C дает доступ:
1. Устанавливать приложения

Операция D дает доступ:
1. Удалять приложения

Модуль Автоматизация

НазначениеДействия
Привилегия «Подключения»
Отвечает за настройку прав доступа к подключениямОперация R дает доступ просматривать:
1. Список доступных подключений и их параметры (название, источник, хост, порт, имя базы данных, имя пользователя, пароль (кнопка Изменить пароль. По умолчанию вводимые символы скрываются точками, при нажатии на символ глаза открывается вводимый текст), переключатель с SSL)

Операция W дает доступ:
1. Изменять у подключения: название, хост, порт, имя базы данных (выбор таблиц ограничивается указанной базой данных), имя пользователя, пароль (по умолчанию вводимые символы скрываются точками, при нажатии на символ глаза открывается вводимый текст), переключатель с SSL (при активации): корневой сертификат (загрузка сертификата)

Операция C дает доступ:
1. Создавать подключения

Операция D дает доступ:
1. Удалять подключения
Привилегия «Системные таблицы»
Отвечает за доступ к чтению и редактированию блока пакета «Системные таблицы»Операция C дает доступ:
1. Добавлять в скрипт блок пакета «Системные таблицы» и импортировать скрипт с блоком «Системные таблицы»

Предустановленные роли доступа

По умолчанию после установки системы в модулях есть две сквозные роли доступа:

  • «Администратор» (А)
  • «Администратор ИБ» (АИБ)

Администратор имеет расширенный доступ ко всем настройкам системы. Он может:

  • создавать, изменять удалять:
    • пользователей, отделы
    • роли доступа
    • ключи API
    • аутентификации
    • пространства
    • синхронизации с Active Directory и др.
  • изменять общие настройки системы, параметры мониторинга
  • использовать инструмент GraphQL

Также администратор имеет доступ к сервисному режиму.

Роль Администратора ИБ предназначена для персонала, основной обязанностью которого является обеспечение информационной безопасности.

Администратор ИБ выполняет следующие функции:

  • контроль за предоставлением пользователям доступа к системе
  • контроль прав доступа пользователей к функционалу системы
  • контроль прав доступа пользователей к данным системы
  • выявление событий несанкционированного доступа к системе
  • направление требований администратору системы по изменению настроек системы, направленных на реализацию мер информационной безопасности

Также Администратор ИБ имеет доступ к инструменту GraphQL.

Матрица прав доступа по привилегиям для предустановленных ролей приведена в таблице ниже.

Название привилегииААИБ
Роли доступаRWCDR
Ключи APIRWCDR
АутентификацияRWCDR
Общие настройкиRWR
Сервер исходящей почтыRWER
Пользователи и отделыRWCDR
Доступы пользователейRWER
Инструмент GraphQLEE
Настройка теговRWCDR
Поля пользователяRWCDR
Хранилища (недоступна в SAAS-версии)RWCDR
Параметры мониторингаRWR
Фильтры мониторингаRWCDR
Экспорт/импорт активности пользователейEE
Скачать агент мониторингаEE
Агент мониторинга
Синхронизация User DirectoryRWCDER
Сервисный режимRR
ПространствоRWCDE
ПодключенияRWCD
Системные таблицыC
МаркетплейсCDCD
ПриложенияCDCD
Экспорт компонентовE
Мониторинг метрик
ИсследованияRWCDR
Управление лицензиямиRC

Для роли Администратор обязательно наличие доступа ко всем пользователям.

Для Администратора ИБ по умолчанию установлен выборочный доступ, но вы можете дать его ко всем пользователям в профиле сотрудника во вкладке Доступ.

Выборочный доступ к пользователям подразумевает под собой наличие у пользователя доступа к определенному списку пользователей. Список пользователей регламентируется заказчиком, доступ предоставляет администратор системы. Доступ ко всем пользователям подразумевает под собой доступ ко всем пользователям, которые существуют в системе.

Дополнительная информация по ролям доступа

  • Первому пользователю системы назначается роль доступа «Администратор»
  • При установке нового модуля никому не дается никакой роли доступа в нём
  • Имя роли доступа должно быть уникально. Задать одинаковое значение «имени» роли доступа невозможно
  • Удалить роль доступа «Администратор» невозможно
  • Перед тем, как назначить пользователей администраторами, необходимо сначала в их профилях включить «Доступ ко всем пользователям»

Если в системе остался один пользователь, у которого назначена роль с операцией доступа W, то в таком случае:

  • невозможно у этой роли доступа изменить/выключить данную привилегию
  • у данного пользователя в профиле в «Основное» обязательно должны быть заполнены поля «Электронная почта», «Пароль» (для возможности восстановления пароля и авторизации)
  • у данного пользователя в профиле нельзя удалить роль доступа с привилегией «Роль доступа», если она является последней из всех, в которой включена эта привилегия

Авторизация в системе доступна как с ролью доступа, так и без нее. Настройка авторизации осуществляется через конфигурационный файл.

Права доступа для Ключей API

Для каждого ключа API, по аналогии с пользователями системы, можно назначить права доступа к привилегиям и пространствам. Настройка прав доступа ключа API происходит в его профиле, в разделе Настройки / Ключи API веб-интерфейса системы.

Настройка прав доступа для ключей API

Была ли статья полезна?

Да
Нет
Предыдущая
Метрики Prometheus
8 (800) 555-89-028 (495) 150-31-45team@infomaximum.com
Для бизнеса
© 20102024. ООО «Инфомаксимум»
Мы используем файлы cookies, чтобы сайт был лучше для вас.