Обзор управления пользователями

ℹ️ О разделе

В этом разделе вы узнаете об основных концепциях управления пользователями в IDENTYX: какие типы пользователей существуют, как выглядит их жизненный цикл, какими способами можно создавать пользователей, и как они связаны с другими элементами системы.

Типы пользователей

IDENTYX поддерживает несколько типов пользователей в зависимости от источника их создания и способа аутентификации:

👤 Локальные пользователи

Локальные пользователи — это учетные записи, созданные непосредственно в IDENTYX через административную панель или API.

Особенности:

  • Полностью управляются в IDENTYX
  • Имеют логин и пароль, хранящийся в системе
  • Могут использовать любые методы аутентификации
  • Редактируются администраторами IAM
🏢 Пользователи из LDAP

Пользователи из LDAP — это учетные записи, привязанные к корпоративному каталогу (Active Directory, FreeIPA).

Особенности:

  • Создаются автоматически при первом входе или импортируются массово
  • Аутентификация происходит через LDAP-сервер
  • Отображаемое имя синхронизируется из LDAP
  • Могут быть привязаны к проектам и группам IDENTYX
🌐 Пользователи с внешней аутентификацией

Пользователи с внешней аутентификацией — это учетные записи, использующие OAuth-провайдеров для входа.

Поддерживаемые провайдеры:

  • Сбер ID
  • ЕСИА (Госуслуги)
  • Яндекс ID
  • VK ID
  • Telegram
  • WebAuthn (биометрия/ключи безопасности)
  • КриптоПро (электронная подпись)
⚠️ Гибридные учетные записи

Один и тот же пользователь может иметь несколько методов аутентификации одновременно. Например, локальный пользователь может привязать свой аккаунт Сбер ID и LDAP-учетную запись, получив возможность входить любым из этих способов.

Жизненный цикл пользователя

Пользователь в IDENTYX проходит через несколько этапов от создания до удаления:

1. Создание

Пользователь может быть создан следующими способами:

  • Вручную администратором — через раздел ПользователиЛокальные пользователи, кнопка Добавить пользователя
  • Массовый импорт из LDAP — через кнопку Импорт пользователей из домена, где можно выбрать несколько пользователей из LDAP-каталога
  • Автоматическое создание при первом входе — если включена автоматическая регистрация через внешние OAuth-провайдеры или LDAP
  • Самостоятельная регистрация — если включена функция самостоятельной регистрации пользователей

При создании пользователя обязательно указываются:

  • Отображаемое имя (ФИО) — как пользователь будет показываться в интерфейсе
  • Логин (username) — уникальный идентификатор для входа
  • Пароль (при локальной аутентификации) — если разрешен вход по логину и паролю

Опционально указываются:

  • Email — для восстановления пароля, двухфакторной аутентификации и уведомлений
  • Телефон — контактная информация
  • Группы — участие в группах для назначения прав
  • Проекты — принадлежность к проектам

2. Активное использование

В активном состоянии пользователь:

  • Может входить в систему через разрешенные методы аутентификации
  • Имеет доступ к приложениям согласно своим правам
  • Создает сессии IAM и OIDC
  • Может изменять свой профиль, пароль и настройки безопасности
  • Может настраивать методы двухфакторной аутентификации

Администраторы в любой момент могут:

  • Редактировать данные пользователя
  • Изменять группы и проекты
  • Настраивать права доступа
  • Устанавливать требование смены пароля
  • Требовать настройку двухфакторной аутентификации
  • Просматривать активные сессии и принудительно завершать их

3. Блокировка

Пользователь может быть заблокирован:

  • Вручную администратором — через флажок Заблокировать пользователя в карточке пользователя
  • Автоматически системой — при превышении лимита неудачных попыток ввода пароля

Заблокированный пользователь:

  • Не может войти в систему ни одним из методов
  • Его активные сессии остаются работать (но можно завершить принудительно)
  • Остается в системе, но помечается статусом Отключен
  • Сохраняет все свои права и членство в группах

Разблокировка пользователя:

  • Администратор снимает флажок Заблокировать пользователя
  • Пользователь снова может входить в систему

4. Удаление

IDENTYX использует мягкое удаление пользователей:

  • Пользователь не удаляется физически из базы данных
  • Устанавливается флаг deleted = true
  • Пользователь исчезает из списков и не может войти в систему
  • Все активные сессии пользователя завершаются
  • Связи с группами удаляются
  • Привязки к внешним провайдерам удаляются
⚠️ Важно

Удаление пользователя — необратимая операция в рамках интерфейса. Восстановить удаленного пользователя можно только через прямое обращение к базе данных администратором системы.

Способы создания пользователей

Создание вручную

Чтобы создать пользователя вручную:

  1. Перейдите в раздел Пользователи в главном меню
  2. Нажмите кнопку Добавить пользователя в правом верхнем углу
  3. Заполните обязательные поля в открывшейся карточке:
    • ФИО — полное имя пользователя
    • Логин — уникальный идентификатор для входа (минимум 3 символа, только латинские буквы и цифры)
    • Пароль — если планируется вход по паролю
  4. Опционально заполните:
    • Email — адрес электронной почты
    • Телефон — контактный номер
  5. Выберите группы на вкладке Группы
  6. Назначьте проекты на вкладке Проекты (если используются)
  7. Настройте права доступа на вкладке Правила доступа (опционально)
  8. Настройте методы входа на вкладке Авторизация:
    • Включите необходимые способы входа (логин и пароль, LDAP, Сбер ID и т.д.)
    • Установите флажки безопасности при необходимости
  9. Нажмите кнопку Сохранить

Массовый импорт из LDAP

Массовый импорт позволяет создать сразу несколько пользователей из LDAP-каталога:

  1. Перейдите в раздел Пользователи
  2. Нажмите кнопку Импорт пользователей из домена
  3. Выберите LDAP-домен из списка
  4. Отметьте пользователей, которых нужно импортировать
  5. Выберите группы, в которые будут добавлены импортированные пользователи
  6. Выберите проекты для назначения (если используются)
  7. Нажмите кнопку Импортировать

Система покажет результат импорта:

  • Количество импортированных пользователей
  • Количество пропущенных (уже существующих) пользователей
  • Ошибки при импорте (если были)
ℹ️ Дублирование

Если пользователь с такой же привязкой к LDAP уже существует, он будет пропущен при импорте. Система проверяет уникальность по комбинации domain_id + username.

Автоматическое создание

Пользователи могут создаваться автоматически при первом входе через внешние системы, если включена соответствующая настройка:

  • Вход через LDAP — если настроено автоматическое создание пользователей LDAP
  • Вход через OAuth-провайдеров — если включена автоматическая регистрация для Сбер ID, ЕСИА, VK ID и других
  • Вход через Telegram — если настроена автоматическая регистрация

При автоматическом создании:

  • Пользователю автоматически генерируется логин
  • Отображаемое имя берется из внешней системы
  • Email берется из внешней системы (если предоставлен)
  • Пользователь автоматически добавляется в настроенные группы по умолчанию
  • Пользователь автоматически назначается в настроенные проекты по умолчанию

Связь пользователей с другими элементами

Связь с группами

Пользователи могут состоять в одной или нескольких группах. Группы используются для:

  • Назначения прав доступа — пользователь наследует все права своих групп
  • Проекты пользователей — логическая группировка по отделам, ролям и т.д.
  • Групповых учетных записей — пользователь получает доступ к учетным записям приложений, назначенным группе

Существуют два типа групп:

  • Локальные группы — создаются и управляются администраторами вручную
  • Системные группы — специальные группы с предопределенным поведением:
    • Администраторы IAM — пользователи с полными правами на управление системой
    • Все — автоматическая группа, включающая всех пользователей системы

Связь с проектами

Проекты представляют собой иерархическую структуру. Пользователи могут быть назначены в один или несколько проектов.

Зачем нужны проекты:

  • Ограниченное администрирование — локальные администраторы могут управлять только пользователями своих проектов
  • Фильтрация пользователей — удобный поиск и отображение пользователей по проектам
  • Интеграция с LDAP — автоматическое назначение пользователей в проекты при импорте из LDAP
  • Словари приложений — приложения могут получать списки пользователей по проектам
ℹ️ Необязательность проектов

Проекты — это опциональная функция. Если в вашей системе не создано ни одной проекты, то вкладка Проекты в карточке пользователя не отображается, и все пользователи управляются без привязки к проектам.

Связь с правами доступа

Пользователи получают права доступа двумя путями:

  1. Личные права — назначаются непосредственно пользователю через вкладку Правила доступа в карточке пользователя
  2. Права через группы — пользователь автоматически наследует все права групп, в которых состоит

Итоговые разрешения пользователя:

  • Формируются как объединение личных прав и прав всех групп
  • Правила запрета (deny) имеют приоритет над правилами разрешения (allow)
  • Можно просмотреть на вкладке Итоговые разрешения в карточке пользователя

Связь с сессиями

Когда пользователь входит в систему, для него создаются сессии:

  • IAM сессии — сессия входа в саму систему IDENTYX
  • OIDC сессии — сессии для каждого подключенного приложения

Администраторы могут:

  • Просматривать все активные сессии пользователя
  • Принудительно завершать сессии
  • Ограничивать количество одновременных сессий

Связь с учетными записями приложений

Пользователи могут сохранять учетные записи для приложений (логин/пароль, SSH-ключи) для автоматической аутентификации через IDENTYX Proxy.

Учетные записи бывают:

  • Личные — доступны только конкретному пользователю
  • Групповые — доступны всем членам группы, если у них нет личной учетной записи

Следующие шаги

Теперь, когда вы понимаете общие концепции управления пользователями, переходите к следующим разделам для изучения деталей:

✅ Готовы продолжить?

Переходите к разделу Локальные пользователи для изучения детальных инструкций по работе с пользователями.