Top.Mail.Ru
Ролевая модель
8 800 555-89-02
Документация
SAAS
Standalone 2306

Ролевая модель

В этой статье
  • Ролевая модель
  • Модуль Платформа
  • Модуль ClickHouse
  • Модуль Мониторинга
  • Модуль Active Directory
  • Модуль Бизнес-Аналитика
  • Модуль Автоматизация
  • Предустановленные роли доступа
  • Матрица конфликтных ролей доступа
  • Дополнительная информация по ролям доступа
  • Права доступа для Ключей API

Ролевая модель позволяет разграничить доступ в системе. Предусмотрены следующие разграничения для пользователей:

  • к функциональным возможностям системы;
  • к данным по пользователям;
  • к аналитическим отчетам системы;
  • к инструменту GraphQL.

Каждому пользователю системы могут назначаться роли доступа, доступные пользователи и пространства данных. Возможные действия пользователя в системе будут определяться набором этих привилегий.

Для каждой роли доступа устанавливается набор разрешенных операций доступа по отношению к группе конкретных объектов. Для назначения доступны следующие операции доступа:

  • R – чтение;
  • W – изменение;
  • C – создание;
  • D – удаление;
  • E – выполнение.

Для Ключей API невозможно назначение ролей доступа. Для каждого Ключа API привилегии доступа назначаются отдельно. Они могут быть:

  • R – чтение;
  • W – изменение;
  • C – создание;
  • D – удаление;
  • E – выполнение.

Система контроля доступа является «закрытой». Изначально объект не доступен никому. Наличие отдельных привилегий доступа зависит от подключённых модулей. Привилегии указаны в таблице:

Модуль Платформа

ПривилегияНазначениеДействияВозможные доступы
Роли доступаОтвечает за настройку ролей доступа в системе.

В веб-интерфейсе настройка параметров производится: Настройки/Платформа/Роли доступа. Назначение данной привилегии невозможно для Ключей API
Операция R дает доступ просматривать:

Раздел Роли доступа:

1. Список созданных ролей;
2. Профиль роли доступа:
*Название роли доступа;
*Привилегии роли доступа.

Раздел Пользователи, профиль пользователя, вкладка Доступ:

1. Предоставляет доступ к списку ролей доступа, созданных в системе (если пользователю также доступна привилегия «Доступы сотрудников» W – изменение).

Операция W дает доступ:

Профиль роли доступа:

1. Изменение названия роли доступа;
2. Настройка привилегий роли доступа.

Операция C дает доступ создавать:

1. Роли доступа.

Операция D дает доступ удалять:

1. Роли доступа
RWCD
Ключи APIОтвечает за настройку Ключей API, с помощью которых осуществляются внешние и внутренние интеграции.

В веб-интерфейсе настройка параметров производится: Настройки/Платформа/Ключи API
Операция R дает доступ просматривать:

1. Список ключей API;
2. Профиль ключа API:
*Название ключа API;
*Значение ключа API;
*Режим аутентификации;
*Доступ к пространствам;
*Привилегии ключа API.

Операция W дает доступ:

Профиль ключа:

1. Изменение названия ключа API;
2. Доступ к пространствам;
3. Настройка привилегий ключа API.

Операция C дает доступ:

1. Создание ключа API:
*Загрузка сертификата (Если выбран безопасный тип ключа).

Операция D дает доступ:

Удалять ключ
RWCD
АутентификацияОтвечает за настройку параметров аутентификации в системе.

В веб-интерфейсе просмотр и настройка параметров производится: Настройки/Платформа/Аутентификация
Операция R дает доступ просматривать:

Раздел Аутентификация:

1. Список аутентификаций (тип: «Встроенная», AD и др.);
2. Профиль аутентификации (тип: «Встроенная»).

Вкладка Параметры:
1.Сложный пароль:
Минимальная длина пароля (если Сложный пароль: Вкл);

2. Срок действия пароля;

3. Ограничить попытки входа.

Вкладка Основное:
1. Название аутентификации;

2. Тип.

Профиль аутентификации

Вкладка Параметры:
1. Тип аутентификации;

2. Ключ (.keytab);

3.Адрес центра выдачи ключей;

4. Сопоставление атрибутов.

Вкладка Основное:
1. Название аутентификации;

2. Тип.

Раздел Пользователи:

1. Аутентификация в списке пользователей
(если включена привилегия «Доступы сотрудников» R - чтение).

Раздел Пользователи, профиль сотрудника, вкладка Доступ:

1. Просмотр параметра Аутентификация во вкладке Доступ
(если включена привилегия «Доступы сотрудников» R - чтение);

2. Предоставляет доступ к списку аутентификаций, созданных в системе
(если включена привилегия «Доступы сотрудников» W - изменение).

Операция W дает доступ изменять:

Профиль Аутентификации тип «Встроенная»:

Вкладка Параметр:

1. Сложный пароль (Вкл/Выкл):
*Изменение минимальной длины пароля;

2. Срок действия пароля;

3. Количество допустимых попыток входа.

Вкладка Основное:

1. Название аутентификации.

Профиль аутентификации (AD): Вкладка Параметры:

1. Тип аутентификации;

2. Ключ (.keytab);

3. Адрес центра выдачи ключей;

4. Сопоставление атрибутов.

Вкладка Основное:

1.Название аутентификации.

Операция C дает доступ создавать:

1. Аутентификацию.

Операция D дает доступ удалять:

1. Аутентификацию
RWCD
Общие настройкиОтвечает за настройку параметров:
- начало недели;
- формат инициалов.

Отвечает за настройку прав доступа к параметрам агента автоматизации.

В веб-интерфейсе параметры представлены на страницах Настройки/Основное
Операция R дает доступ просматривать:

1. Общие настройки:
*Начало недели;
*Формат инициалов;

2. О системе;

3. Агенты и их состояния.

Операция W дает доступ изменять:

1. Общие настройки:
*День начала недели;
*Формат инициалов.

2. Подключать/отключать агенты автоматизации
RW
Сервер исходящей почтыОтвечает за настройку почтового сервера системы.

Настройка параметров производится через веб-интерфейс: Настройки/Подключения/Сервер исходящей почты
Операция R дает доступ просматривать:

Вкладка Подключение:
1. Адрес электронной почты;
2. Адрес сервера;
3. Порт соединения;
4. Шифрование;
5. Имя пользователя.

Вкладка Контакты:
1. Адрес электронной почты;
2. Номер телефона.

Операция W дает доступ изменять:

Вкладка Подключение:
1. Адрес электронной почты;
2. Адрес сервера;
3.Порт соединения;
4. Шифрования (Выключено/SSL/TLS);
5. Имя пользователя;
6.Пароль.

Вкладка Контакты:
1. Адрес электронной почты;
2. Номер телефона.

Операция E дает доступ:

1. Проверять соединение
RWE
Пользователи и отделыОтвечает за настройку прав доступа к параметрам Пользователей, Основное в профиле сотрудника, Профиль отдела, Источники сбора активности.

В списке пользователей отображаются только те пользователи и их параметры, к которым имеет доступ пользователь. В веб-интерфейсе настройка параметров производится: Настройки/Сотрудники
Операция R дает доступ просматривать:

1. Список пользователей и отделов;

2.Профиль пользователя:
*Имя;
*Фамилия;
*Отчество;
*Язык системы;
*Отдел;
*Табельный номер;
*Электронная почта;
*Номер телефона;
*Кастомные поля;

3. Профиль отдела:
*Название отдела;
*Расположение.

Операция W дает доступ изменять:

1. Список пользователей и отделов:
*Объединение пользователей;

2. Профиль пользователей:
*Имя;
*Фамилия;
*Отчество;
*Язык системы;
*Отдел;
*Табельный номер;
*Электронная почта;
*Номер телефона;
*Данные в кастомных полях.

3. Профиль отдела:
*Название отдела;
*Расположение.

Операция C дает доступ создавать:

1.Отдел;
2. Пользователя (если пользователю также доступны привилегии: «Доступы сотрудников» W – изменение, «Аутентификация» W – изменение).

Операция D дает доступ удалять:

1. Сотрудника/отдел
RWCD
Доступы сотрудниковОтвечает за возможность настройки доступа Сотрудников в системеОперация R дает доступ просматривать:

1. Роль доступа;
2. Аутентификация (если включена привилегия «Аутентификация» R – чтение);
3. Доступ ко всем сотрудникам;
4. Доступные сотрудники (если параметр «Доступ ко всем сотрудникам» в положении Выкл).

Операция W дает доступ изменять:

1. Роль доступа (дает возможность удалять и назначать роли доступа, если пользователю также доступна привилегия «Роли доступа» R – чтение);
2. Логин;
3. Аутентификация (дает возможность удалить или добавить аутентификации, если включена привилегия «Аутентификация» W - изменение);
4. Доступные сотрудники;
5. Задать или сбросить пароль (если пользователю также доступна привилегия «Аутентификация» W – изменение).

Операция E дает доступ:

1. Отправление приглашения
RWE
Инструмент GraphQLОтвечает за настройку доступа к инструменту GraphQL в системе. Привилегию невозможно назначить для Ключей APIОперация E дает доступ:

1. Использовать инструмент GraphQL
E
Личные настройкиОтвечает за настройку доступа к личным настройкам в системе.

Настройка параметра производится через веб-интерфейс: Меню/Username/Настройки профиля
Операция R предоставляется по умолчанию для всех пользователей в системе.

Операция W дает доступ:

1. Выбрать язык системы;
2. Изменить пароль
RW
Настройка теговОтвечает за создание, настройку и удаление элемента тегов в системе.

В веб-интерфейсе настройка параметров производится: Настройки/Теги
Операция R дает доступ просматривать:

1. Список тегов;
2. Профиль тега:
*Название тега;
*Цвет тега.

Операция W дает доступ к изменению:

1. Профиль тега:
*Изменение названия тега;
*Выбор цвета тега.

Операция C дает доступ создавать:

1. Тег.

Операция D дает доступ удалять:

1. Тег
RWCD
Сервисный режимОтвечает за настройку доступа в систему при включенном состоянии системы «Сервисный режим»Операция R дает доступ:

1. Позволяет авторизоваться в систему при включенном Сервисном режиме
R
Активация ключаОтвечает за возможность применить ключ активацииОперация E дает доступ:

1. Применение ключа активации
E
Поля пользователяОтвечает за настройку раздела Поля пользователяОперация R дает доступ просматривать:

1. Список полей в разделе Поля пользователя.

Операция W дает доступ редактировать:

1. Поля в разделе Поля пользователя.

Операция C дает доступ создавать:

1. Кастомные поля в разделе Поля пользователя.

Операция D дает доступ удалять:

1. Кастомные поля в разделе Поля пользователя
RWCD
Доступ к документацииОтвечает за предоставление доступа к разделу ДокументацияОперация R дает доступ просматривать:

1. Документацию
R

Модуль ClickHouse

ПривилегияНазначениеДействияВозможные доступы
Доступ к данным ClickHouseПозволяет через API работать с данными в БД ClickHouseОперация R дает доступ просматривать:

1. Таблицы.

Операция W дает доступ изменять:

1. Таблицы.

Операция E дает доступ:

1. Выгружать таблицы;
2. Дозагружать таблицы;
3. Восстанавливать данные
RWE
ХранилищаОтвечает за настройку серверов в разделе настроек Хранилища данныхОперация R дает доступ просматривать:

1. Список созданных серверов;
2. Настройки созданных серверов (только для Standalone-версии Proceset).

Операция W дает доступ изменять:

1. Список созданных серверов (только для Standalone-версии Proceset);
2. Настройки созданных серверов (только для Standalone-версии Proceset);
3. Доступы пользователям на создание пространств на выбранном сервере.

Операция C дает доступ создавать:

1. Сервер ClickHouse (только для Standalone-версии Proceset).

Операция D дает доступ удалять:

1. Сервер ClickHouse (только для Standalone-версии Proceset)
RWCD

Модуль Мониторинга

ПривилегияНазначениеДействияВозможные доступы
Параметры мониторингаОтвечает за настройку параметров в профиле сотрудникаОперация R дает доступ просматривать:

1. Мониторинг (выкл/простой/расширенный).

Операция W дает доступ:

1. Изменять параметры Мониторинга (выкл/простой/расширенный);
2. Массовое назначение Мониторинг
RW
Фильтры активностейОтвечает за настройку фильтров по активностям (белый и черный списки)Операция R дает доступ просматривать:

1. Фильтр по активности:
*Настройка фильтра (Нет фильтра, Белый список, Черный список);
*Белый список;
*Черный список.

Операция W дает доступ изменять:

1. Фильтр по активностям:
*Настройки фильтра (Нет фильтра, Белый список, Черный список);
*Активность в белом списке;
*Активность в черном списке;

2. Информационное поле.

Операция C дает доступ добавлять:

1. Активность в белый список;
2. Активность в черный список.

Операция D дает доступ удалять:

1. Активность из белого списка;
2. Активность из черного списка
RWCD
Экспорт/импорт активности пользователейПозволяет с помощью API экспортировать и импортировать активность пользователейОперация E дает доступ выполнять:

1. GraphQL-запросы для экспорта и импорта активности пользователей
E
Скачать агент мониторингаОтвечает за доступ к скачиванию дистрибутива агента мониторинга в системеОперация E дает доступ:

1. Скачать агент
E
Агент мониторингаОтвечает за соединение агентам мониторинга и сервера в системе.

Привилегию невозможно применить для ролей доступа, можно назначить исключительно для Ключей API.

Привилегия предназначена для агента мониторинга
Операция R дает доступ получать:

1. Актуальную версию агента мониторинга;
2. Дистрибутив агента мониторинга для обновления;
3. Настройки для агента мониторинга;
4. ФИО сотрудника по ID сотрудника;
5. Список поддерживаемых протоколов агентских данных;
6. Значение параметра «Мониторинг» у сотрудника;
7. Список фильтров по активности.

Операция W дает доступ:

1. Загружать данные с активностью от агента мониторинга;
2. Загружать дамп-файлы агента мониторинга;
3. Создавать сотрудников
RW

Модуль Active Directory

ПривилегияНазначениеДействияВозможные доступы
Синхронизация User DirectoryОтвечает за управление настройками с Active Directory и другими интеграциямиОперация R дает доступ просматривать:

1. Название интеграции;
2. Протокол подключения;
3. Адрес домен-контроллера;
3. Логин;
4. Синхронизация;
5. Отключать при отключении в AD;
6. Включать при включении в AD;
7. Деперсонализировать при удалении в AD;
8. Время синхронизации;
9. Доменный объект;
10. Синхронизируемые атрибуты;
10. Active Directory профиля сотрудника;
11. Первичное сопоставление атрибута (Поле профиля сотрудника и Синхронизируемый атрибут).

Операция W дает доступ изменять:

1. Название интеграции;
2. Протокол подключения;
3. Сертификаты;
4. Адрес домена контроллера;
5. Логин;
6. Пароль;
7. Синхронизацию;
8. Отключение при отключении в AD;
9. Включение при включении в AD;
10. Деперсонализацию при удалении в AD;
11. Доменные объекты;
12. Синхронизируемые атрибуты;
13. Синхронизацию в Active Directory профиля сотрудника;
14. Первичное сопоставление атрибута (Поле профиля сотрудника и Синхронизируемый атрибут).

Операция C дает доступ создавать:

1. Интеграции;
2. Доменные объекты;
3. Синхронизируемые атрибуты.

Операция D дает доступ удалять:

1. Интеграции;
2. Сертификаты;
3. Доменные объекты;
4. Синхронизируемые атрибуты.

Операция E дает доступ выполнять:

1. Тестирование подключения;
2. Синхронизации сейчас
RWCDE

Модуль Бизнес-Аналитика

ПривилегияНазначениеДействияВозможные доступы
ПространствоОтвечает за настройку прав доступа к пространствамОперация R дает доступ просматривать:

Все элементы в профиле всех созданных пространств:

Панель управления:

1. Дашборды;
2. Процессы;
3. Таблицы;

Модель данных:

1. Чтение связей;
2. Чтение, создание, изменение, удаление показателей пространств;

Основное.

Вкладка Доступы недоступна для просмотра.

Операция W дает доступ:

Просматривать, изменять, создавать, удалять все элементы в профиле всех созданных пространств:

Панель управления:

1. Дашборды;
2. Скрипты;
3. Подключения;
4. Процессы;
5. Таблицы;

Модель данных:

1. Создание связей;
2. Чтение, создание, изменение, удаление показателей пространств;

Основное.

Также:

1. Назначение доступов в параметрах пространств;
2. Добавление доступа к пространству в профиле сотрудника.
Назначение доступов возможно, если у пользователя включена привилегия «Пользователи и отделы» с доступом R или W.

Операция C дает доступ создавать:

1. Пространства кнопкой Добавить. При создании пространства пользователь, совершающий эту операцию, автоматически получает «Доступ на запись» в этом пространстве.

Операция D дает доступ удалять:

1. Пространства
RWСD

Модуль Автоматизация

ПривилегияНазначениеДействияВозможные доступы
ПодключенияОтвечает за настройку прав доступа к подключениямОперация R дает доступ просматривать:

1. Список доступных подключений;
2. Параметры подключения:
*Название;
*Источник;
*Хост;
*Порт;
*Имя базы данных;
*Имя пользователя;
*Пароль (кнопка Изменить пароль. По умолчанию вводимые символы скрываются точками, при нажатии символа глаза открывается вводимый текст);
*Переключатель с SSL.

Операция W дает доступ:

Изменять у подключения:
*Название;
*Хост;
*Порт;
*Имя базы данных (выбор таблиц ограничивается указанной базой данных);
*Имя пользователя;
*Пароль (по умолчанию вводимые символы скрываются точками, при нажатии символа глаза открывается вводимый текст);
*Переключатель с SSL (при активации): Корневой сертификат (загрузка сертификата).

Операция C дает доступ на:

Создание подключения.

Операция D дает доступ на:

Удаление подключения.
RWCD

Предустановленные роли доступа

По умолчанию после установки системы в модулях есть две сквозные роли доступа:

  • «Администратор» (А);
  • «Администратор ИБ» (АИБ).

Матрица прав доступа по привилегиям для предустановленных ролей приведена в таблице ниже.

Название привилегииААИБ
«Роли доступа»RWCDR
«Ключи API»RWCDR
«Аутентификация»RWCDR
«Общие настройки»RWR
«Сервер исходящей почты»RWER
«Сотрудники и отделы»RWCDR
«Доступы сотрудников»RWER
«Инструмент GraphQL»EE
«Личные настройки»WW
«Настройка тегов»RWCDR
«Поля сотрудника»RWCDR
«Доступ к документации»R
«Доступ к данным ClickHouse»RWER
«Хранилища»RWCDR
«Параметры мониторинга»RWR
«Фильтры активностей»RWCDR
«Скачать агент мониторинга»EE
«Агент мониторинга»
«Синхронизация User Directory»*RWCDER
«Сервисный режим»RR
«Активация ключа»E
«Пространство»RWCD

Полномочия по использованию веб-интерфейса предоставляются всем ролям доступа, а по использованию инструмента GraphQL – исключительно следующим ролям доступа:

  • «Администратор»;
  • «Администратор ИБ».

Ниже представлена Матрица прав доступа к сотрудникам и проектам для предустановленных ролей.

Название«Администратор»«Администратор ИБ»
Выборочный доступ к сотрудникам
Доступ ко всем сотрудникам++

Символ «+» означает наличие доступа, символ «—» означает отсутствие доступа.

Выборочный доступ к сотрудникам подразумевает под собой наличие у пользователя доступа к определенному списку сотрудников. Список сотрудников регламентируется заказчиком, доступ предоставляет администратор системы. Доступ ко всем сотрудникам подразумевает под собой доступ ко всем пользователям, которые существуют в системе. Управление данными параметрами происходит на странице «Доступ» в профиле каждого пользователя.

Матрица конфликтных ролей доступа

Название«Администратор»«Администратор ИБ»
«Администратор»X
«Администратор ИБ»X

Символ «X» в таблице означает невозможность совмещения ролей.

Дополнительная информация по ролям доступа

  • Первому пользователю системы назначается роль доступа «Администратор»;
  • При установке нового модуля никому не дается никакой роли доступа в нём;
  • Имя роли доступа должно быть уникально. Задать одинаковое значение «имени» роли доступа невозможно;
  • Удалить роль доступа «Администратор» невозможно;
  • Перед тем, как назначить пользователей администраторами, необходимо сначала в их профилях включить «Доступ ко всем сотрудникам».

Если в системе остался один сотрудник, у которого назначена роль с операцией доступа W, то в таком случае:

  • невозможно у этой роли доступа изменить/выключить данную привилегию;
  • У данного сотрудника в профиле в «Основное» обязательно должны быть заполнены поля «Электронная почта», «Пароль» (для возможности восстановления пароля и авторизации);
  • у данного сотрудника в профиле нельзя удалить роль доступа с привилегией «Роль доступа», если она является последней из всех, в которой включена эта привилегия.

Права доступа для Ключей API

Для каждого ключа API, по аналогии с пользователями системы, можно назначить права доступа к привилегиям и пространствам. Настройка прав доступа ключа API происходит в его профиле, в разделе Настройки / Ключи API веб-интерфейса системы.

Настройка прав доступа для ключей API

Предыдущая
Конфигурационные файлы системы
Следующая
Работа с GraphQL
Ответим на ваши вопросы
Заполняя форму, я даю согласие на обработку моих персональных данных
8 (800) 555-89-028 (495) 150-31-45team@infomaximum.com
Для бизнеса
© 20102023. ООО «Инфомаксимум»
Мы используем файлы cookies, чтобы сайт был лучше для вас.