Обзор управления пользователями

ℹ️ О разделе

В этом разделе вы узнаете об основных концепциях управления пользователями в IDENTYX: какие типы пользователей существуют, как выглядит их жизненный цикл, какими способами можно создавать пользователей, и как они связаны с другими элементами системы.

Типы пользователей

IDENTYX поддерживает несколько типов пользователей в зависимости от источника их создания и способа аутентификации:

👤 Локальные пользователи

Локальные пользователи — это учетные записи, созданные непосредственно в IDENTYX через административную панель или API.

Особенности:

Полностью управляются в IDENTYX
Имеют логин и пароль, хранящийся в системе
Могут использовать любые методы аутентификации
Редактируются администраторами IAM

🏢 Пользователи из LDAP

Пользователи из LDAP — это учетные записи, привязанные к корпоративному каталогу (Active Directory, FreeIPA).

Особенности:

Создаются автоматически при первом входе или импортируются массово
Аутентификация происходит через LDAP-сервер
Отображаемое имя синхронизируется из LDAP
Могут быть привязаны к организациям и группам IDENTYX

🌐 Пользователи с внешней аутентификацией

Пользователи с внешней аутентификацией — это учетные записи, использующие OAuth-провайдеров для входа.

Поддерживаемые провайдеры:

Сбер ID
ЕСИА (Госуслуги)
Яндекс ID
VK ID
Telegram
WebAuthn (биометрия/ключи безопасности)
КриптоПро (электронная подпись)

⚠️ Гибридные учетные записи

Один и тот же пользователь может иметь несколько методов аутентификации одновременно. Например, локальный пользователь может привязать свой аккаунт Сбер ID и LDAP-учетную запись, получив возможность входить любым из этих способов.

Жизненный цикл пользователя

Пользователь в IDENTYX проходит через несколько этапов от создания до удаления:

1. Создание

Пользователь может быть создан следующими способами:

Вручную администратором — через раздел Пользователи → Локальные пользователи, кнопка Добавить пользователя
Массовый импорт из LDAP — через кнопку Импорт пользователей из домена, где можно выбрать несколько пользователей из LDAP-каталога
Автоматическое создание при первом входе — если включена автоматическая регистрация через внешние OAuth-провайдеры или LDAP
Самостоятельная регистрация — если включена функция самостоятельной регистрации пользователей

При создании пользователя обязательно указываются:

Отображаемое имя (ФИО) — как пользователь будет показываться в интерфейсе
Логин (username) — уникальный идентификатор для входа
Пароль (при локальной аутентификации) — если разрешен вход по логину и паролю

Опционально указываются:

Email — для восстановления пароля, двухфакторной аутентификации и уведомлений
Телефон — контактная информация
Группы — участие в группах для назначения прав
Организации — принадлежность к организационным единицам

2. Активное использование

В активном состоянии пользователь:

Может входить в систему через разрешенные методы аутентификации
Имеет доступ к приложениям согласно своим правам
Создает сессии IAM и OIDC
Может изменять свой профиль, пароль и настройки безопасности
Может настраивать методы двухфакторной аутентификации

Администраторы в любой момент могут:

Редактировать данные пользователя
Изменять группы и организации
Настраивать права доступа
Устанавливать требование смены пароля
Требовать настройку двухфакторной аутентификации
Просматривать активные сессии и принудительно завершать их

3. Блокировка

Пользователь может быть заблокирован:

Вручную администратором — через флажок Заблокировать пользователя в карточке пользователя
Автоматически системой — при превышении лимита неудачных попыток ввода пароля

Заблокированный пользователь:

Не может войти в систему ни одним из методов
Его активные сессии остаются работать (но можно завершить принудительно)
Остается в системе, но помечается статусом Отключен
Сохраняет все свои права и членство в группах

Разблокировка пользователя:

Администратор снимает флажок Заблокировать пользователя
Пользователь снова может входить в систему

4. Удаление

IDENTYX использует мягкое удаление пользователей:

Пользователь не удаляется физически из базы данных
Устанавливается флаг deleted = true
Пользователь исчезает из списков и не может войти в систему
Все активные сессии пользователя завершаются
Связи с группами удаляются
Привязки к внешним провайдерам удаляются

⚠️ Важно

Удаление пользователя — необратимая операция в рамках интерфейса. Восстановить удаленного пользователя можно только через прямое обращение к базе данных администратором системы.

Способы создания пользователей

Создание вручную

Чтобы создать пользователя вручную:

Перейдите в раздел Пользователи в главном меню
Нажмите кнопку Добавить пользователя в правом верхнем углу
Заполните обязательные поля в открывшейся карточке:
- ФИО — полное имя пользователя
- Логин — уникальный идентификатор для входа (минимум 3 символа, только латинские буквы и цифры)
- Пароль — если планируется вход по паролю
Опционально заполните:
- Email — адрес электронной почты
- Телефон — контактный номер
Выберите группы на вкладке Группы
Назначьте организации на вкладке Организации (если используются)
Настройте права доступа на вкладке Правила доступа (опционально)
Настройте методы входа на вкладке Авторизация:
- Включите необходимые способы входа (логин и пароль, LDAP, Сбер ID и т.д.)
- Установите флажки безопасности при необходимости
Нажмите кнопку Сохранить

Массовый импорт из LDAP

Массовый импорт позволяет создать сразу несколько пользователей из LDAP-каталога:

Перейдите в раздел Пользователи
Нажмите кнопку Импорт пользователей из домена
Выберите LDAP-домен из списка
Отметьте пользователей, которых нужно импортировать
Выберите группы, в которые будут добавлены импортированные пользователи
Выберите организации для назначения (если используются)
Нажмите кнопку Импортировать

Система покажет результат импорта:

Количество импортированных пользователей
Количество пропущенных (уже существующих) пользователей
Ошибки при импорте (если были)

ℹ️ Дублирование

Если пользователь с такой же привязкой к LDAP уже существует, он будет пропущен при импорте. Система проверяет уникальность по комбинации domain_id + username.

Автоматическое создание

Пользователи могут создаваться автоматически при первом входе через внешние системы, если включена соответствующая настройка:

Вход через LDAP — если настроено автоматическое создание пользователей LDAP
Вход через OAuth-провайдеров — если включена автоматическая регистрация для Сбер ID, ЕСИА, VK ID и других
Вход через Telegram — если настроена автоматическая регистрация

При автоматическом создании:

Пользователю автоматически генерируется логин
Отображаемое имя берется из внешней системы
Email берется из внешней системы (если предоставлен)
Пользователь автоматически добавляется в настроенные группы по умолчанию
Пользователь автоматически назначается в настроенные организации по умолчанию

Связь пользователей с другими элементами

Связь с группами

Пользователи могут состоять в одной или нескольких группах. Группы используются для:

Назначения прав доступа — пользователь наследует все права своих групп
Организации пользователей — логическая группировка по отделам, ролям и т.д.
Групповых учетных записей — пользователь получает доступ к учетным записям приложений, назначенным группе

Существуют два типа групп:

Локальные группы — создаются и управляются администраторами вручную
Системные группы — специальные группы с предопределенным поведением:
- Администраторы IAM — пользователи с полными правами на управление системой
- Все — автоматическая группа, включающая всех пользователей системы

Связь с организациями

Организации представляют собой иерархическую структуру организационных единиц (отделы, филиалы, подразделения). Пользователи могут быть назначены в одну или несколько организаций.

Зачем нужны организации:

Ограниченное администрирование — локальные администраторы могут управлять только пользователями своих организаций
Фильтрация пользователей — удобный поиск и отображение пользователей по организациям
Интеграция с LDAP — автоматическое назначение пользователей в организации при импорте из LDAP
Словари приложений — приложения могут получать списки пользователей по организациям

ℹ️ Необязательность организаций

Организации — это опциональная функция. Если в вашей системе не создано ни одной организации, то вкладка Организации в карточке пользователя не отображается, и все пользователи управляются без привязки к организационной структуре.

Связь с правами доступа

Пользователи получают права доступа двумя путями:

Личные права — назначаются непосредственно пользователю через вкладку Правила доступа в карточке пользователя
Права через группы — пользователь автоматически наследует все права групп, в которых состоит

Итоговые разрешения пользователя:

Формируются как объединение личных прав и прав всех групп
Правила запрета (deny) имеют приоритет над правилами разрешения (allow)
Можно просмотреть на вкладке Итоговые разрешения в карточке пользователя

Связь с сессиями

Когда пользователь входит в систему, для него создаются сессии:

IAM сессии — сессия входа в саму систему IDENTYX
OIDC сессии — сессии для каждого подключенного приложения

Администраторы могут:

Просматривать все активные сессии пользователя
Принудительно завершать сессии
Ограничивать количество одновременных сессий

Связь с учетными записями приложений

Пользователи могут сохранять учетные записи для приложений (логин/пароль, SSH-ключи) для автоматической аутентификации через IDENTYX Proxy.

Учетные записи бывают:

Личные — доступны только конкретному пользователю
Групповые — доступны всем членам группы, если у них нет личной учетной записи

Следующие шаги

Теперь, когда вы понимаете общие концепции управления пользователями, переходите к следующим разделам для изучения деталей:

Локальные пользователи — детальное руководство по созданию и управлению локальными пользователями
Массовый импорт пользователей — импорт пользователей из LDAP
Профиль пользователя — как пользователи управляют своим профилем

✅ Готовы продолжить?

Переходите к разделу Локальные пользователи для изучения детальных инструкций по работе с пользователями.