Ролевая модель
Ролевая модель позволяет разграничить доступ в системе. Предусмотрены следующие разграничения для пользователей:
- к функциональным возможностям системы;
- к данным по сотрудникам;
- к аналитическим отчетам системы;
- к инструменту GraphQL.
Каждому пользователю системы могут назначаться роли доступа, доступные сотрудники и пространства данных. Возможные действия пользователя в системе будут определяться набором этих привилегий.
Для каждой роли доступа устанавливается набор разрешенных операций доступа по отношению к группе конкретных объектов. Для назначения доступны следующие операции доступа:
- R – чтение;
- W – изменение;
- C – создание;
- D – удаление;
- E – выполнение.
Для Ключей API невозможно назначение ролей доступа. Для каждого Ключа API привилегии доступа назначаются отдельно. Они могут быть:
- R – чтение;
- W – изменение;
- C – создание;
- D – удаление;
- E – выполнение.
Система контроля доступа является «закрытой». Изначально объект не доступен никому. Наличие отдельных привилегий доступа зависит от подключённых модулей. Привилегии указаны в таблице:
Модуль «Платформа»
Привилегия | Назначение | Действия | Возможные доступы |
---|---|---|---|
«Роли доступа» | Отвечает за настройку ролей доступа в системе. В веб-интерфейсе настройка параметров производится: «Настройки»/«Платформа»/«Роли доступа». Назначение данной привилегии невозможно для Ключей API | Операция R дает доступ просматривать: Раздел «Роли доступа»: 1. Список созданных ролей; 2. Профиль роли доступа: *Название роли доступа; *Привилегии роли доступа. Раздел «Сотрудники», профиль сотрудника, вкладка Доступ: 1. Предоставляет доступ к списку ролей доступа, созданных в системе (если пользователю также доступна привилегия «Доступы сотрудников» W – изменение). Операция W дает доступ: Профиль роли доступа: 1. Изменение названия роли доступа; 2. Настройка привилегий роли доступа. Операция C дает доступ создавать: 1. Роли доступа. Операция D дает доступ удалять: 1. Роли доступа | RWCD |
«Ключи API» | Отвечает за настройку Ключей API, с помощью которых осуществляются внешние и внутренние интеграции. В веб-интерфейсе настройка параметров производится: «Настройки»/«Платформа»/«Ключи API» | Операция R дает доступ просматривать: 1. Список ключей API; 2. Профиль ключа API: *Название ключа API; *Значение ключа API; *Режим аутентификации; *Доступ к пространствам; *Привилегии ключа API. Операция W дает доступ: Профиль ключа: 1. Изменение названия ключа API; 2. Доступ к пространствам; 3. Настройка привилегий ключа API. Операция C дает доступ: 1. Создание ключа API: *Загрузка сертификата (Если выбран безопасный тип ключа). Операция D дает доступ: Удалять ключ | RWCD |
«Аутентификация» | Отвечает за настройку параметров аутентификации в системе. В веб-интерфейсе просмотр и настройка параметров производится: «Настройки»/«Платформа»/Аутентификация | Операция R дает доступ просматривать: Раздел «Аутентификация»: 1. Список аутентификаций (тип: «Встроенная», AD и др.); 2. Профиль аутентификации (тип: «Встроенная»). Вкладка «Параметры»: 1.Сложный пароль: Минимальная длина пароля (если Сложный пароль: Вкл); 2. Срок действия пароля; 3. Ограничить попытки входа. Вкладка «Основное»: 1. Название аутентификации; 2. Тип. Профиль аутентификации Вкладка «Параметры»: 1. Тип аутентификации; 2. Ключ (.keytab); 3.Адрес центра выдачи ключей; 4. Сопоставление атрибутов. Вкладка «Основное»: 1. Название аутентификации; 2. Тип. Раздел «Сотрудники»: 1. Аутентификация в списке сотрудников (если включена привилегия «Доступы сотрудников» R - чтение). Раздел «Сотрудники», профиль сотрудника, вкладка «Доступ»: 1. Просмотр параметра Аутентификация во вкладке «Доступ» (если включена привилегия «Доступы сотрудников» R - чтение); 2. Предоставляет доступ к списку аутентификаций, созданных в системе (если включена привилегия «Доступы сотрудников» W - изменение). Операция W дает доступ изменять: Профиль Аутентификации (тип «Встроенная»: Вкладка «Параметры»: 1. Сложный пароль (Вкл/Выкл): *Изменение минимальной длины пароля; 2. Срок действия пароля; 3. Количество допустимых попыток входа. Вкладка «Основное»: 1. Название аутентификации. Профиль аутентификации (AD): Вкладка «Параметры»: 1. Тип аутентификации; 2. Ключ (.keytab); 3. Адрес центра выдачи ключей; 4. Сопоставление атрибутов. Вкладка «Основное»: 1.Название аутентификации. Операция C дает доступ создавать: 1. Аутентификацию. Операция D дает доступ удалять: 1. Аутентификацию | RWCD |
«Общие настройки» | Отвечает за настройку параметров: - начало недели; - формат инициалов. Отвечает за настройку прав доступа к параметрам агента автоматизации. В веб-интерфейсе параметры представлены на страницах «Настройки»/«Основное» | Операция R дает доступ просматривать: 1. Общие настройки: *Начало недели; *Формат инициалов; 2. О системе; 3. Агенты и их состояния. Операция W дает доступ изменять: 1. Общие настройки: *День начала недели; *Формат инициалов. 2. Подключать/отключать агенты автоматизации | RW |
«Сервер исходящей почты» | Отвечает за настройку почтового сервера системы. Настройка параметров производится через веб-интерфейс: «Настройки»/«Подключения»/«Сервер исходящей почты» | Операция R дает доступ просматривать: Вкладка «Подключение»: 1. Адрес электронной почты; 2. Адрес сервера; 3. Порт соединения; 4. Шифрование; 5. Имя пользователя. Вкладка «Контакты»: 1. Адрес электронной почты; 2. Номер телефона. Операция W дает доступ изменять: Вкладка «Подключение»: 1. Адрес электронной почты; 2. Адрес сервера; 3.Порт соединения; 4. Шифрования (Выключено/SSL/TLS); 5. Имя пользователя; 6.Пароль. Вкладка «Контакты»: 1. Адрес электронной почты; 2. Номер телефона. Операция E дает доступ: 1. Проверять соединение | RWE |
«Сотрудники и отделы» | Отвечает за настройку прав доступа к параметрам «Сотрудники», «Основное в профиле сотрудника», «Профиль отдела», «Источники сбора активности». В списке сотрудников отображаются только те сотрудники и их параметры, к которым имеет доступ пользователь. В веб-интерфейсе настройка параметров производится: «Настройки»/«Сотрудники» | Операция R дает доступ просматривать: 1. Список сотрудников и отделов; 2.Профиль сотрудника: *Имя; *Фамилия; *Отчество; *Язык системы; *Отдел; *Табельный номер; *Электронная почта; *Номер телефона; *Кастомные поля; 3. Профиль отдела: *Название отдела; *Расположение. Операция W дает доступ изменять: 1. Список сотрудников и отделов: *Объединение сотрудников; 2. Профиль сотрудника: *Имя; *Фамилия; *Отчество; *Язык системы; *Отдел; *Табельный номер; *Электронная почта; *Номер телефона; *Данные в кастомных полях. 3. Профиль отдела: *Название отдела; *Расположение. Операция C дает доступ создавать: 1.Отдел; 2. Сотрудника (если пользователю также доступны привилегии: «Доступы сотрудников» W – изменение, «Аутентификация» W – изменение). Операция D дает доступ удалять: 1. Сотрудника/отдел | RWCD |
«Доступы сотрудников» | Отвечает за возможность настройки доступа Сотрудников в системе | Операция R дает доступ просматривать: 1. Роль доступа; 2. Аутентификация (если включена привилегия «Аутентификация» R – чтение); 3. Доступ ко всем сотрудникам; 4. Доступные сотрудники (если параметр «Доступ ко всем сотрудникам» в положении Выкл). Операция W дает доступ изменять: 1. Роль доступа (дает возможность удалять и назначать роли доступа, если пользователю также доступна привилегия «Роли доступа» R – чтение); 2. Логин; 3. Аутентификация (дает возможность удалить или добавить аутентификации, если включена привилегия «Аутентификация» W - изменение); 4. Доступные сотрудники; 5. Задать или сбросить пароль (если пользователю также доступна привилегия «Аутентификация» W – изменение). Операция E дает доступ: 1. Отправление приглашения | RWE |
«Инструмент GraphQL» | Отвечает за настройку доступа к инструменту GraphQL в системе. Привилегию невозможно назначить для Ключей API | Операция E дает доступ: 1. Использовать инструмент GraphQL | E |
«Личные настройки» | Отвечает за настройку доступа к личным настройкам в системе. Настройка параметра производится через веб-интерфейс: «Меню»/«Username»/«Настройки профиля» | Операция R предоставляется по умолчанию для всех пользователей в системе. Операция W дает доступ: 1. Выбрать язык системы; 2. Изменить пароль | RW |
«Настройка тегов» | Отвечает за создание, настройку и удаление сущности тегов в системе. В веб-интерфейсе настройка параметров производится: «Настройки»/«Теги» | Операция R дает доступ просматривать: 1. Список тегов; 2. Профиль тега: *Название тега; *Цвет тега. Операция W дает доступ к изменению: 1. Профиль тега: *Изменение названия тега; *Выбор цвета тега. Операция C дает доступ создавать: 1. Тег. Операция D дает доступ удалять: 1. Тег | RWCD |
«Сервисный режим» | Отвечает за настройку доступа в систему при включенном состоянии системы «Сервисный режим» | Операция R дает доступ: 1. Позволяет авторизоваться в систему при включенном Сервисном режиме | R |
«Активация ключа» | Отвечает за возможность применить ключ активации | Операция E дает доступ: 1. Применение ключа активации | E |
«Поля сотрудника» | Отвечает за настройку раздела «Поля сотрудника» | Операция R дает доступ просматривать: 1. Список полей в разделе «Поля сотрудника». Операция W дает доступ редактировать: 1. Поля в разделе «Поля сотрудника». Операция C дает доступ создавать: 1. Кастомные поля в разделе «Поля сотрудника». Операция D дает доступ удалять: 1. Кастомные поля в разделе «Поля сотрудника» | RWCD |
«Доступ к документации» | Отвечает за предоставление доступа к разделу «Документация» | Операция R дает доступ просматривать: 1. Документацию | R |
Модуль ClickHouse
Привилегия | Назначение | Действия | Возможные доступы |
---|---|---|---|
«Доступ к данным ClickHouse» | Позволяет через API работать с данными в БД ClickHouse | Операция R дает доступ просматривать: 1. Таблицы. Операция W дает доступ изменять: 1. Таблицы. Операция E дает доступ: 1. Выгружать таблицы; 2. Дозагружать таблицы; 3. Восстанавливать данные | RWE |
«Хранилища» | Отвечает за настройку серверов в разделе настроек «Хранилища данных» | Операция R дает доступ просматривать: 1. Список созданных серверов; 2. Настройки созданных серверов (только для Standalone-версии Proceset). Операция W дает доступ изменять: 1. Список созданных серверов (только для Standalone-версии Proceset); 2. Настройки созданных серверов (только для Standalone-версии Proceset); 3. Доступы пользователям на создание пространств на выбранном сервере. Операция C дает доступ создавать: 1. Сервер ClickHouse (только для Standalone-версии Proceset). Операция D дает доступ удалять: 1. Сервер ClickHouse (только для Standalone-версии Proceset) | RWCD |
Модуль Мониторинга
Привилегия | Назначение | Действия | Возможные доступы |
---|---|---|---|
«Параметры мониторинга» | Отвечает за настройку параметров в профиле сотрудника | Операция R дает доступ просматривать: 1. Мониторинг (выкл/простой/расширенный). Операция W дает доступ: 1. Изменять параметры «Мониторинга» (выкл/простой/расширенный); 2. Массовое назначение «Мониторинг» | RW |
«Фильтры активностей» | Отвечает за настройку фильтров по активностям (белый и черный списки) | Операция R дает доступ просматривать: 1. Фильтр по активности: *Настройка фильтра (Нет фильтра, Белый список, Черный список); *Белый список; *Черный список. Операция W дает доступ изменять: 1. Фильтр по активностям: *Настройки фильтра (Нет фильтра, Белый список, Черный список); *Активность в белом списке; *Активность в черном списке; 2. Информационное поле. Операция C дает доступ добавлять: 1. Активность в белый список; 2. Активность в черный список. Операция D дает доступ удалять: 1. Активность из белого списка; 2. Активность из черного списка | RWCD |
«Экспорт/импорт активности пользователей» | Позволяет с помощью API экспортировать и импортировать активность пользователей | Операция E дает доступ выполнять: 1. GraphQL-запросы для экспорта и импорта активности пользователей | E |
«Скачать агент мониторинга» | Отвечает за доступ к скачиванию дистрибутива агента мониторинга в системе | Операция E дает доступ: 1. Скачать агент | E |
«Агент мониторинга» | Отвечает за соединение агентам мониторинга и сервера в системе. Привилегию невозможно применить для ролей доступа, можно назначить исключительно для Ключей API. Привилегия предназначена для агента мониторинга | Операция R дает доступ получать: 1. Актуальную версию агента мониторинга; 2. Дистрибутив агента мониторинга для обновления; 3. Настройки для агента мониторинга; 4. ФИО сотрудника по ID сотрудника; 5. Список поддерживаемых протоколов агентских данных; 6. Значение параметра «Мониторинг» у сотрудника; 7. Список фильтров по активности. Операция W дает доступ: 1. Загружать данные с активностью от агента мониторинга; 2. Загружать дамп-файлы агента мониторинга; 3. Создавать сотрудников | RW |
Модуль Active Directory
Привилегия | Назначение | Действия | Возможные доступы |
---|---|---|---|
«Синхронизация User Directory» | Отвечает за управление настройками с Active Directory и другими интеграциями | Операция R дает доступ просматривать: 1. Название интеграции; 2. Протокол подключения; 3. Адрес домен-контроллера; 3. Логин; 4. Синхронизация; 5. Отключать при отключении в AD; 6. Включать при включении в AD; 7. Деперсонализировать при удалении в AD; 8. Время синхронизации; 9. Доменный объект; 10. Синхронизируемые атрибуты; 10. Active Directory профиля сотрудника; 11. Первичное сопоставление атрибута (Поле профиля сотрудника и Синхронизируемый атрибут). Операция W дает доступ изменять: 1. Название интеграции; 2. Протокол подключения; 3. Сертификаты; 4. Адрес домена контроллера; 5. Логин; 6. Пароль; 7. Синхронизацию; 8. Отключение при отключении в AD; 9. Включение при включении в AD; 10. Деперсонализацию при удалении в AD; 11. Доменные объекты; 12. Синхронизируемые атрибуты; 13. Синхронизацию в Active Directory профиля сотрудника; 14. Первичное сопоставление атрибута (Поле профиля сотрудника и Синхронизируемый атрибут). Операция C дает доступ создавать: 1. Интеграций; 2. Доменные объекты; 3. Синхронизируемые атрибуты. Операция D дает доступ удалять: 1. Интеграции; 2. Сертификаты; 3. Доменные объекты; 4. Синхронизируемые атрибуты. Операция E дает доступ выполнять: 1. Тестирование подключения; 2. Синхронизации сейчас | RWCDE |
Модуль «Бизнес-Аналитика»
Привилегия | Назначение | Действия | Возможные доступы |
---|---|---|---|
«Пространство» | Отвечает за настройку прав доступа к пространствам | Операция R дает доступ просматривать: Все элементы в профиле всех созданных пространств: Панель управления: 1. Дашборды; 2. Процессы; 3. Таблицы; Модель данных: 1. Чтение связей; 2. Чтение, создание, изменение, удаление показателей пространств; Основное. Вкладка Доступы недоступна для просмотра. Операция W дает доступ: Просматривать, изменять, создавать, удалять все элементы в профиле всех созданных пространств: Панель управления: 1. Дашборды; 2. Скрипты; 3. Подключения; 4. Процессы; 5. Таблицы; Модель данных: 1. Создание связей; 2. Чтение, создание, изменение, удаление показателей пространств; Основное. Также: 1. Назначение доступов в параметрах пространств; 2. Добавление доступа к пространству в профиле сотрудника. Назначение доступов возможно, если у пользователя включена привилегия «Сотрудники и отделы» с доступом R или W. Операция C дает доступ создавать: 1. Пространства кнопкой «+Добавить». При создании пространства пользователь, совершающий эту операцию, автоматически получает «Доступ на запись» в этом пространстве. Операция D дает доступ удалять: 1. Пространства | RWСD |
Модуль «Автоматизация»
Привилегия | Назначение | Действия | Возможные доступы |
---|---|---|---|
«Подключения» | Отвечает за настройку прав доступа к подключениям | Операция R дает доступ просматривать: 1. Список доступных подключений; 2. Параметры подключения: *Название; *Источник; *Хост; *Порт; *Имя базы данных; *Имя пользователя; *Пароль (кнопка Изменить пароль. По умолчанию вводимые символы скрываются точками, при нажатии на символ глаза открывается вводимый текст); *Переключатель с SSL. Операция W дает доступ: Изменять у подключения: *Название; *Хост; *Порт; *Имя базы данных (выбор таблиц ограничивается указанной базой данных); *Имя пользователя; *Пароль (по умолчанию вводимые символы скрываются точками, при нажатии на символ глаза открывается вводимый текст); *Переключатель с SSL (при активации): Корневой сертификат (загрузка сертификата). Операция C дает доступ на: Создание подключения. Операция D дает доступ на: Удаление подключения. | RWCD |
Предустановленные роли доступа
По умолчанию после установки системы в модулях есть две сквозные роли доступа:
- «Администратор» (А);
- «Администратор ИБ» (АИБ).
Матрица прав доступа по привилегиям для предустановленных ролей приведена в таблице ниже.
Название привилегии | А | АИБ |
---|---|---|
«Роли доступа» | RWCD | R |
«Ключи API» | RWCD | R |
«Аутентификация» | RWCD | R |
«Общие настройки» | RW | R |
«Сервер исходящей почты» | RWE | R |
«Сотрудники и отделы» | RWCD | R |
«Доступы сотрудников» | RWE | R |
«Инструмент GraphQL» | E | E |
«Личные настройки» | W | W |
«Настройка тегов» | RWCD | R |
«Поля сотрудника» | RWCD | R |
«Доступ к документации» | R | – |
«Доступ к данным ClickHouse» | RWE | R |
«Хранилища» | RWCD | R |
«Параметры мониторинга» | RW | R |
«Фильтры активностей» | RWCD | R |
«Скачать агент мониторинга» | E | E |
«Агент мониторинга» | – | – |
«Синхронизация User Directory»* | RWCDE | R |
«Сервисный режим» | R | R |
«Активация ключа» | E | – |
«Пространство» | RWCD | – |
Полномочия по использованию веб-интерфейса предоставляются всем ролям доступа, а по использованию инструмента GraphQL – исключительно следующим ролям доступа:
- «Администратор»;
- «Администратор ИБ».
Ниже представлена Матрица прав доступа к сотрудникам и проектам для предустановленных ролей.
Название | «Администратор» | «Администратор ИБ» |
---|---|---|
Выборочный доступ к сотрудникам | – | – |
Доступ ко всем сотрудникам | + | + |
Символ «+» означает наличие доступа, символ «-» означает отсутствие доступа.
Выборочный доступ к сотрудникам подразумевает под собой наличие у пользователя доступа к определенному списку сотрудников. Список сотрудников регламентируется заказчиком, доступ предоставляет администратор системы. Доступ ко всем сотрудникам подразумевает под собой доступ ко всем пользователям, которые существуют в системе. Управление данными параметрами происходит на странице «Доступ» в профиле каждого пользователя.
Матрица конфликтных ролей доступа
Название | «Администратор» | «Администратор ИБ» |
---|---|---|
«Администратор» | X | |
«Администратор ИБ» | X |
Символ «X» в таблице означает невозможность совмещения ролей.
Дополнительная информация по ролям доступа
- Первому пользователю системы назначается роль доступа «Администратор»;
- При установке нового модуля никому не дается никакой роли доступа в нём;
- Имя роли доступа должно быть уникально. Задать одинаковое значение «имени» роли доступа невозможно;
- Удалить роль доступа «Администратор» невозможно;
- Перед тем, как назначить пользователей администраторами, необходимо сначала в их профилях включить «Доступ ко всем сотрудникам».
Если в системе остался один сотрудник, у которого назначена роль с операцией доступа W, то в таком случае:
- невозможно у этой роли доступа изменить/выключить данную привилегию;
- У данного сотрудника в профиле в «Основное» обязательно должны быть заполнены поля «Электронная почта», «Пароль» (для возможности восстановления пароля и авторизации);
- у данного сотрудника в профиле нельзя удалить роль доступа с привилегией «Роль доступа», если она является последней из всех, в которой включена эта привилегия.
Права доступа для Ключей API
Для каждого ключа API, по аналогии с пользователями системы, можно назначить права доступа к привилегиям и пространствам. Настройка прав доступа ключа API происходит в его профиле, в разделе «Настройки» / «Ключи API» веб-интерфейса системы.