Локальные пользователи
В этом разделе описывается работа с локальными пользователями IDENTYX: создание, редактирование, управление доступом, настройка способов входа и другие операции.
Общие сведения
Локальные пользователи — это учетные записи, которые создаются и управляются непосредственно в системе IDENTYX. В отличие от пользователей из внешних источников (LDAP, Active Directory), локальные пользователи полностью находятся под контролем администратора IAM.
Для доступа к управлению локальными пользователями перейдите в раздел Пользователи → Локальные пользователи в главном меню системы.
Список пользователей
На странице локальных пользователей отображается таблица со следующими колонками:
| Колонка | Описание | Возможности |
|---|---|---|
| ID | Уникальный идентификатор пользователя в системе | Поиск по ID, сортировка |
| ФИО | Отображаемое имя пользователя (Фамилия Имя Отчество) | Поиск по ФИО, сортировка |
| Логин | Имя пользователя для входа в систему (username) | Поиск по логину, сортировка |
| Почта | Email адрес пользователя | Поиск по почте, сортировка |
| Статус | Активен или отключен | Фильтр по статусу (любой/отключен/включен), сортировка |
| Организация | Организации, к которым относится пользователь | Фильтр по организации, отображение до 3 организаций + счетчик |
Используйте поиск по колонкам для быстрого нахождения нужного пользователя. Вы можете фильтровать одновременно по нескольким полям.
Создание пользователя
Для создания нового локального пользователя:
- Нажмите кнопку Добавить пользователя в правом верхнем углу страницы
- Откроется модальное окно Карточка пользователя
- Заполните обязательные и дополнительные поля
- Настройте параметры доступа и безопасности
- Нажмите кнопку Сохранить
Основные поля
Вкладка Общее содержит основную информацию о пользователе:
| Поле | Обязательное | Описание |
|---|---|---|
| ФИО | Да | Фамилия Имя Отчество пользователя. Это имя будет отображаться в интерфейсе |
| Логин | Да | Уникальное имя для входа в систему. Может содержать только латинские буквы (строчные и заглавные) и цифры, минимум 3 символа. Генерируется автоматически, если не указан |
| Нет | Адрес электронной почты пользователя. Используется для восстановления пароля, двухфакторной аутентификации и уведомлений | |
| Пароль | Зависит от способа входа | Пароль для входа. Обязателен, если включен способ входа "Логин и пароль". При редактировании оставьте поле пустым, чтобы не менять пароль |
| Повтор пароля | Если указан пароль | Подтверждение пароля. Должно совпадать с полем "Пароль" |
| Телефон | Нет | Контактный телефон пользователя |
Используйте кнопку Сгенерировать новый пароль для автоматического создания надежного пароля, соответствующего требованиям системы.
Пароль должен соответствовать политике безопасности, настроенной администратором. Обычно это включает минимальную длину, наличие заглавных и строчных букв, цифр и специальных символов.
Подтверждение Email
При указании или изменении email адреса:
- На указанный адрес автоматически отправляется письмо с кодом подтверждения
- Для нового пользователя в письмо также включается сгенерированный пароль (если был создан автоматически)
- Пользователь должен перейти по ссылке из письма для подтверждения адреса
- До подтверждения email не может быть использован для двухфакторной аутентификации
Управление группами
Вкладка Группы позволяет управлять членством пользователя в локальных группах:
Добавление в группу
- Нажмите кнопку Добавить группу
- В открывшемся окне выберите нужную группу из списка
- Группа добавится в список групп пользователя
Удаление из группы
- Выберите группу в списке (кликните по ней)
- Нажмите кнопку Удалить группу
- Группа будет удалена из списка
Пользователь наследует все права доступа от групп, в которые он входит. Групповые права суммируются с персональными правами пользователя.
Назначение в организации
Вкладка Организации доступна, если в системе используется организационная структура:
- Отображается дерево организаций системы
- Установите флажки напротив организаций, к которым должен относиться пользователь
- Можно выбрать несколько организаций
- Используйте кнопку Сбросить выбор для снятия всех флажков
Локальные администраторы могут назначать пользователей только в те организации, которыми они управляют. После сохранения пользователь должен оставаться хотя бы в одной организации, доступной текущему администратору.
Правила доступа
Вкладка Правила доступа позволяет настроить персональные права пользователя:
- Здесь отображаются только правила, назначенные непосредственно пользователю
- Права от групп здесь не показываются
- Вы можете создавать разрешающие (allow) и запрещающие (deny) правила
- Запрещающие правила имеют приоритет над разрешающими
Детальное описание системы прав доступа RBAC см. в разделе Обзор системы прав.
Итоговые разрешения
Вкладка Итоговые разрешения (доступна только при редактировании существующего пользователя):
- Показывает вычисленные эффективные права пользователя
- Учитывает как персональные права, так и права от всех групп
- Применяет приоритет deny над allow
- Обновляется после сохранения карточки пользователя
Настройки авторизации
Вкладка Авторизация содержит расширенные настройки безопасности и способов входа пользователя.
Безопасность и ограничения
Установите флажок для блокировки учетной записи. Заблокированный пользователь не сможет войти в систему ни одним из доступных способов.
При следующем входе пользователь будет обязан сменить свой пароль. Используется при первичной настройке учетной записи или после сброса пароля администратором.
Управляет статусом подтверждения email адреса. Подтвержденная почта необходима для использования двухфакторной аутентификации через email.
Если установлен, пользователь обязан настроить двухфакторную аутентификацию. При входе без настроенной 2FA система потребует её настройку.
Позволяет пользователю входить через WebAuthn (биометрия/ключи безопасности) без дополнительного второго фактора. Доступно только если включена глобальная настройка системы.
Пользователь не может заблокировать свою собственную учетную запись. Также в системе всегда должен оставаться хотя бы один активный администратор.
Способы входа
В блоке Способы входа вы можете настроить, какие методы аутентификации доступны данному пользователю:
| Способ входа | Описание |
|---|---|
| Логин и пароль | Стандартная аутентификация по имени пользователя и паролю |
| Вход по электронной почте (без пароля, через код на email) | |
| LDAP | Аутентификация через корпоративный домен (Active Directory, FreeIPA) |
| Госуслуги | Вход через ЕСИА (Единая система идентификации и аутентификации) |
| Сбер ID | Аутентификация через Сбербанк ID |
| Яндекс | Вход через Яндекс ID |
| ВКонтакте | Аутентификация через VK ID |
| Telegram | Вход через Telegram Login Widget |
| Электронная подпись | Аутентификация через КриптоПро (электронная подпись) |
| Биометрия | Вход через WebAuthn (биометрия, ключи безопасности FIDO2) |
Должен быть включен хотя бы один способ входа. Нельзя отключить все методы аутентификации одновременно.
Карточки включенных способов входа подсвечиваются цветом и имеют цветную границу для наглядности.
Интеграция с LDAP
В блоке Интеграции можно связать локального пользователя с учетной записью LDAP:
- Нажмите кнопку Выбрать пользователя (или имя уже выбранного пользователя LDAP)
- В открывшемся окне выберите домен LDAP
- Выберите пользователя из списка пользователей домена
- Привязка будет установлена
После привязки пользователь сможет входить в систему используя свои учетные данные LDAP, если включен способ входа "LDAP".
Для удаления привязки нажмите кнопку с иконкой корзины рядом с именем пользователя LDAP.
Отвязка двухфакторной аутентификации
Кнопка Отвязать 2FA (доступна только при редактировании существующего пользователя):
- Удаляет настроенную TOTP (Time-based One-Time Password) аутентификацию
- Используется, если пользователь потерял доступ к приложению-аутентификатору
- После удаления пользователю потребуется заново настроить двухфакторную аутентификацию
Отвязка 2FA снижает уровень безопасности учетной записи. Убедитесь, что пользователь действительно потерял доступ к методу аутентификации.
Редактирование пользователя
Для редактирования существующего пользователя:
- Найдите пользователя в списке
- Кликните по строке пользователя в таблице
- Откроется карточка пользователя с текущими данными
- Внесите необходимые изменения
- Нажмите кнопку Сохранить
Если вы не хотите менять пароль пользователя, просто оставьте поля "Пароль" и "Повтор пароля" пустыми. Пароль будет изменен только если вы введете новое значение.
Удаление пользователя
Для удаления пользователя:
- Откройте карточку пользователя
- Нажмите кнопку Удалить в нижнем левом углу
- Подтвердите удаление в диалоговом окне
При удалении пользователя:
- Пользователь помечается как удаленный (мягкое удаление)
- Все привязки к внешним системам удаляются
- Членство в группах удаляется
- Все активные сессии пользователя завершаются
- Действие записывается в журнал событий
Нельзя удалить свою собственную учетную запись. Также система контролирует наличие хотя бы одного администратора — если вы удаляете последнего администратора, операция будет заблокирована.
Массовый импорт из LDAP
IDENTYX позволяет импортировать сразу несколько пользователей из домена LDAP/Active Directory:
- Нажмите кнопку Импорт пользователей из домена в правом верхнем углу
- Выберите домен LDAP из списка
- Отметьте флажками пользователей для импорта
- Выберите группы, в которые нужно автоматически добавить импортируемых пользователей (опционально)
- Выберите организации для назначения (обязательно для локальных администраторов)
- Нажмите кнопку Импортировать
Что происходит при импорте:
- Для каждого выбранного пользователя создается локальная учетная запись
- Отображаемое имя копируется из LDAP
- Создается привязка к учетной записи LDAP
- Автоматически включается способ входа "LDAP"
- Пользователь добавляется в выбранные группы
- Пользователь назначается в выбранные организации
- Генерируется случайный логин и пароль (не используются, так как вход будет через LDAP)
Если пользователь с привязкой к данной учетной записи LDAP уже существует, он будет пропущен. В результатах импорта отображается количество импортированных и пропущенных пользователей.
Автоматическая блокировка
IDENTYX автоматически защищает учетные записи от подбора паролей:
- При неудачной попытке входа счетчик неправильных попыток увеличивается
- При успешном входе счетчик сбрасывается
- Если количество неудачных попыток превышает настроенный лимит, вход по паролю блокируется
- Администраторы IAM (группа "Администраторы IAM") защищены от автоматической блокировки
- Блокировка записывается в журнал событий
Для разблокировки пользователя администратор может:
- Открыть карточку пользователя
- Перейти на вкладку "Авторизация"
- Включить флажок способа входа "Логин и пароль" (если он был отключен системой)
- Сохранить изменения
Истечение срока действия пароля
Если в системных настройках включено принудительное истечение паролей:
- Система отслеживает дату последней смены пароля каждым пользователем
- При входе проверяется, не истек ли срок действия пароля
- Если пароль устарел, автоматически устанавливается флаг "Требовать смену пароля"
- Пользователь будет обязан сменить пароль при следующем входе
- Действие записывается в журнал
История паролей
IDENTYX запоминает ранее использованные пароли:
- Количество запоминаемых паролей настраивается в системных параметрах
- Пользователь не может установить пароль, который уже использовался ранее
- Это предотвращает повторное использование скомпрометированных паролей
Журналирование действий
Все операции с локальными пользователями записываются в журнал событий:
- Создание пользователя
- Изменение данных пользователя
- Удаление пользователя
- Блокировка и разблокировка
- Изменение способов входа
- Настройка и удаление 2FA
- Массовый импорт из LDAP
- Привязка и отвязка внешних учетных записей
- Изменение пароля
- Автоматическая блокировка при неудачных попытках входа
Для просмотра всех действий с пользователем используйте журнал событий. Фильтруйте записи по ID пользователя или типу события. Подробнее см. раздел Обзор журнала событий.
Рекомендации
- Используйте надежные пароли или генератор паролей
- Включайте обязательную 2FA для критичных пользователей
- Регулярно проверяйте список активных пользователей
- Блокируйте или удаляйте неиспользуемые учетные записи
- Используйте группы для назначения прав вместо персональных правил
- Назначайте пользователей в правильные организации
- Указывайте email для восстановления доступа
- Импортируйте пользователей из LDAP вместо создания вручную
- Не отключайте все способы входа одновременно
- Для пользователей LDAP включайте только способ "LDAP"
- Используйте внешние провайдеры (ЕСИА, Сбер ID) для удобства пользователей
- WebAuthn обеспечивает наивысший уровень безопасности
- ФИО указывайте в формате "Фамилия Имя Отчество"
- Логины делайте понятными и легко запоминаемыми
- Используйте единый стандарт именования (например, "i.ivanov")
- Не используйте специальные символы в логинах
Решение проблем
| Проблема | Решение |
|---|---|
| Ошибка "Пользователь с таким именем входа существует" | Логин должен быть уникальным. Выберите другой логин или найдите существующего пользователя |
| Ошибка "Пользователь с такой почтой уже существует" | Email адрес должен быть уникальным в системе. Используйте другой адрес или обновите существующего пользователя |
| Не сохраняется пароль | Проверьте, что пароль соответствует требованиям безопасности и поля "Пароль" и "Повтор пароля" совпадают |
| Нельзя удалить пользователя | Возможно, это последний администратор системы или вы пытаетесь удалить свою учетную запись |
| Пользователь не может войти | Проверьте: 1) не заблокирован ли пользователь, 2) включен ли используемый способ входа, 3) не заблокирован ли вход по паролю из-за неудачных попыток |
| Не работает двухфакторная аутентификация | Убедитесь, что email подтвержден (для Email 2FA) или TOTP настроен корректно |
| Не приходит письмо с подтверждением | Проверьте настройки SMTP в системных параметрах и папку "Спам" в почтовом клиенте |
Переходите к разделу Массовый импорт пользователей для изучения расширенных возможностей импорта из LDAP.