Локальные группы

ℹ️ О разделе

Локальные группы позволяют объединять пользователей для централизованного управления правами доступа. Вместо назначения прав каждому пользователю отдельно, вы создаете группу, назначаете права группе, а затем просто добавляете пользователей в эту группу.

Обзор групп

Группы в IDENTYX — это основной инструмент для организации пользователей и управления правами доступа. Члены группы автоматически наследуют все права, назначенные этой группе.

👥 Обычные группы

Создаваемые администратором группы для организации пользователей по отделам, ролям или проектам.

🛡️ Системные группы

Предустановленные группы с особым назначением, например, "Администраторы IAM". Нельзя удалить, но можно управлять составом пользователей.

⭐ Специальная группа "Все"

Уникальная группа, в которую автоматически входят все пользователи системы. Используется для назначения базовых прав всем пользователям.

Просмотр списка групп

Список локальных групп доступен в разделе ПользователиЛокальные группы.

Таблица групп

В таблице отображаются следующие колонки:

Колонка Описание Возможности
ID Уникальный идентификатор группы Сортировка
Наименование Название группы Поиск, сортировка
Системная Признак системной группы (Да/Нет) Фильтр: Все / Системные / Не системные
Организация Организации, к которым относится группа Фильтр по организации
ℹ️ Специальная группа "Все"

Группа "Все" отмечается оранжевым значком Специальная группа в таблице. По умолчанию эта группа отображается в списке.

Создание группы

Чтобы создать новую группу пользователей:

  1. Перейдите в раздел ПользователиЛокальные группы
  2. Нажмите кнопку Добавить группу в правом верхнем углу
  3. Откроется окно Карточка группы пользователей с несколькими вкладками

Вкладка "Общее"

На этой вкладке задается основная информация о группе:

  • Наименование — название группы (обязательное поле). Используйте понятные названия, отражающие назначение группы, например: "Отдел продаж", "Разработчики", "Бухгалтерия"
⚠️ Требования к названию

Название группы должно быть уникальным и понятным. Избегайте слишком общих названий вроде "Группа 1" — используйте описательные имена.

Вкладка "Организации"

ℹ️ Доступность вкладки

Эта вкладка отображается только если в системе настроены организации, и не доступна для специальной группы "Все".

На этой вкладке вы назначаете группу в одну или несколько организаций:

  • Организации отображаются в виде дерева с чекбоксами
  • Отметьте чекбоксы рядом с нужными организациями
  • Группа может быть назначена в несколько организаций одновременно
  • Кнопка Сбросить выбор позволяет снять все отметки

Значение назначения в организации:

  • Локальные администраторы могут управлять только группами, назначенными в их организации
  • Группы без организаций доступны только суперадминистраторам
  • Фильтрация пользователей и групп по организациям упрощает управление в крупных компаниях

Вкладка "Правила доступа"

ℹ️ Доступность вкладки

Эта вкладка доступна только для обычных групп и специальной группы "Все". Для системных групп (например, "Администраторы IAM") права предустановлены и не редактируются.

На этой вкладке настраиваются права доступа (ACL), которые будут применяться ко всем членам группы.

⚠️ Специальная группа "Все"

Если вы настраиваете права для группы "Все", помните: эти права получат все пользователи системы без исключения. Используйте эту группу только для базовых прав, которые действительно нужны всем.

Подробнее о настройке прав доступа читайте в разделе Правила доступа (ACL).

Вкладка "Итоговые правила"

ℹ️ Доступность вкладки

Эта вкладка отображается только для существующих групп (после первого сохранения).

На этой вкладке отображаются вычисляемые привилегии — итоговый набор прав, которые получат члены группы с учетом всех правил доступа, включая правила deny и allow.

Используйте эту вкладку для проверки, какие права фактически получат пользователи группы.

Вкладка "Пользователи группы"

ℹ️ Доступность вкладки

Эта вкладка не доступна для специальной группы "Все", так как в неё автоматически входят все пользователи.

На этой вкладке вы управляете составом пользователей группы:

  • Таблица пользователей отображает всех членов группы с их ФИО и логином
  • Кнопка Добавить в группу — открывает окно выбора пользователей для добавления
  • Кнопка Удалить из группы — удаляет выбранных пользователей из группы (появляется только когда выбраны пользователи)

Добавление пользователей:

  1. Нажмите кнопку Добавить в группу
  2. В открывшемся окне отметьте нужных пользователей (можно выбрать несколько)
  3. Подтвердите выбор
  4. Пользователи появятся в таблице

Удаление пользователей:

  1. Отметьте чекбоксы рядом с пользователями, которых нужно удалить из группы
  2. Нажмите кнопку Удалить из группы
  3. Пользователи будут удалены из группы (но не из системы)
ℹ️ Изменения не сохранены

Добавление и удаление пользователей вступит в силу только после нажатия кнопки Сохранить внизу окна.

Сохранение группы

После заполнения всех необходимых вкладок нажмите кнопку Сохранить в нижней части окна.

Система:

  • Сохранит группу в базу данных
  • Применит назначенные права доступа ко всем членам группы
  • Добавит запись в журнал событий
  • Обновит список групп

Редактирование группы

Чтобы изменить существующую группу:

  1. В таблице групп нажмите на строку с нужной группой
  2. Откроется окно Карточка группы пользователей с заполненными данными
  3. Внесите необходимые изменения на любой из вкладок
  4. Нажмите кнопку Сохранить
⚠️ Ограничения редактирования
  • Системные группы (ID=1, "Администраторы IAM"): нельзя изменить название, удалить группу или изменить права. Можно только управлять составом пользователей.
  • Специальная группа "Все": нельзя изменить название, удалить группу, изменить состав пользователей или назначения в организации. Можно только изменять права доступа.

Удаление группы

Чтобы удалить группу:

  1. Откройте карточку группы (нажмите на строку в таблице)
  2. Нажмите кнопку Удалить в нижней части окна
  3. Подтвердите удаление во всплывающем окне
🚫 Ограничения удаления

Нельзя удалить:

  • Системную группу "Администраторы IAM" (ID=1) — это основная группа администраторов
  • Специальную группу "Все" — это встроенная группа для всех пользователей

Что происходит при удалении группы:

  • Группа удаляется из базы данных
  • Все правила доступа, назначенные группе, удаляются
  • Пользователи, которые были членами группы, не удаляются
  • Пользователи теряют права, которые получали через эту группу
  • Событие удаления записывается в журнал
⚠️ Внимание

Удаление группы необратимо. Все права доступа, назначенные группе, будут потеряны. Убедитесь, что пользователи не потеряют критичный доступ к приложениям.

Системные группы

Группа "Администраторы IAM"

Это основная системная группа с ID=1, созданная при установке IDENTYX.

Особенности:

  • Имеет предустановленные права суперадминистратора
  • Нельзя удалить
  • Нельзя изменить название
  • Нельзя изменить права доступа
  • Можно управлять составом пользователей
⚠️ Важно

В системе всегда должен быть хотя бы один пользователь в группе "Администраторы IAM". Система не позволит удалить последнего администратора из этой группы.

Специальная группа "Все"

Уникальная группа, в которую автоматически входят все пользователи системы.

Особенности:

  • Все пользователи автоматически являются членами этой группы
  • Нельзя добавлять или удалять пользователей вручную
  • Нельзя изменить название
  • Нельзя удалить группу
  • Нельзя изменять назначения в организации
  • Можно изменять только права доступа

Когда использовать группу "Все":

  • Для назначения базовых прав, которые нужны всем пользователям
  • Для доступа к общедоступным приложениям
  • Для предоставления прав на просмотр общей информации
🚫 Осторожно

Права, назначенные группе "Все", получают абсолютно все пользователи системы. Будьте крайне осторожны при назначении прав этой группе. Не давайте через неё административные права.

Права доступа для групп

Наследование прав

Пользователи автоматически получают все права, назначенные группам, в которых они состоят:

  • Если пользователь входит в несколько групп, он получает права всех этих групп
  • Права групп объединяются (комбинируются)
  • Правила deny имеют приоритет над allow

Пример:

  • Группа "Отдел продаж" имеет доступ к приложению "CRM"
  • Группа "Менеджеры" имеет доступ к приложению "Аналитика"
  • Пользователь, входящий в обе группы, получает доступ и к "CRM", и к "Аналитика"

Личные права vs Групповые права

У пользователя могут быть как личные права (назначенные напрямую), так и групповые права (полученные через группы):

  • Личные права — назначаются конкретному пользователю в его карточке
  • Групповые права — пользователь получает их автоматически через членство в группах
  • Оба типа прав объединяются
  • Правила deny работают поверх allow независимо от источника
ℹ️ Рекомендация

Лучшая практика — назначать права через группы, а не индивидуально. Это упрощает управление правами и делает систему более прозрачной. Личные права используйте только для особых случаев.

Группы и организации

Если в вашей системе настроены организации, группы можно назначать в конкретные организации.

Преимущества:

  • Ограниченное администрирование — локальные администраторы могут управлять только группами своих организаций
  • Логическое разделение — группы связаны с организационной структурой компании
  • Фильтрация — удобный поиск групп по организациям в больших системах

Группы могут быть назначены в несколько организаций одновременно. Это полезно, когда одна группа используется в разных подразделениях (например, группа "Пользователи 1С" для филиалов).

⚠️ Ограничения для локальных администраторов

Локальные администраторы (не суперадминистраторы) могут управлять только теми группами, которые назначены в организации, к которым у них есть права. При попытке редактирования группы из "чужой" организации система выдаст ошибку "Недостаточно прав".

Сценарии использования

Группы по отделам

Создайте группы для каждого отдела компании:

  • "Отдел продаж" — доступ к CRM, телефонии, email-рассылкам
  • "Бухгалтерия" — доступ к 1С, системе документооборота
  • "Разработчики" — доступ к GitLab, Jira, серверам разработки
  • "HR отдел" — доступ к системе управления персоналом

При приеме нового сотрудника просто добавьте его в группу его отдела — он автоматически получит все нужные права.

Группы по ролям

Создайте группы для ролей, которые могут пересекать отделы:

  • "Менеджеры" — доступ к аналитике и отчетам
  • "Руководители" — расширенный доступ для начальников отделов
  • "Стажеры" — ограниченный доступ для новых сотрудников

Пользователь может входить в группы и по отделу, и по роли одновременно.

Группы по проектам

Для проектных команд создайте временные группы:

  • "Проект Альфа" — участники проекта
  • "Проект Бета — команда разработки"

По завершении проекта группу можно удалить, и пользователи потеряют доступ к проектным ресурсам.

Лучшие практики

📝 Понятные названия

Используйте описательные названия групп: "Отдел продаж", "Администраторы CRM", а не "Группа 1", "Группа A".

🎯 Одна цель — одна группа

Создавайте группы под конкретную цель (отдел, роль, проект). Не смешивайте разные критерии в одной группе.

⚙️ Права через группы

Назначайте права через группы, а не индивидуально пользователям. Это упрощает управление и аудит.

🔍 Регулярная проверка

Периодически проверяйте состав групп и удаляйте пользователей, которым больше не нужен доступ.

🗑️ Удаление ненужных групп

Удаляйте группы, которые больше не используются (например, после завершения проекта).

⚠️ Осторожно с группой "Все"

Назначайте группе "Все" только базовые права. Никогда не давайте через неё административные права.

Журналирование событий

Все операции с группами автоматически записываются в журнал событий:

  • Создание группы
  • Изменение группы (название, организации, права, состав пользователей)
  • Удаление группы

В журнале фиксируется:

  • ID и название группы
  • ID пользователя, выполнившего действие
  • Время и дата операции

Подробнее о просмотре журнала читайте в разделе События управления.

👥 Локальные пользователи

Узнайте, как создавать пользователей, которых вы будете добавлять в группы. Перейти к разделу

🔐 Правила доступа (ACL)

Подробное руководство по настройке прав доступа для групп. Перейти к разделу

🏢 Организации

Изучите, как работают организации и как связывать с ними группы. Перейти к разделу

🛡️ Система прав доступа

Общий обзор системы RBAC и принципов работы прав. Перейти к разделу

✅ Что дальше?

После изучения локальных групп переходите к разделу Системные группы, чтобы узнать больше о предустановленных группах и их особенностях.