Системные группы
Системные группы — это предустановленные группы с особым назначением, которые создаются автоматически при установке IDENTYX. Они имеют специальные функции и ограничения, отличающие их от обычных локальных групп.
Что такое системные группы
Системные группы выполняют важные функции в работе IDENTYX и защищены от случайного удаления или некорректной настройки. В системе существует два типа системных групп:
Назначение: Содержит пользователей с полными правами на управление системой IDENTYX.
Права: По умолчанию имеет полные права на объект /iam с действием /iam/super-admin.
Особенности: Система всегда проверяет, что в этой группе остается хотя бы один активный пользователь.
Назначение: Автоматически включает всех пользователей системы без исключения.
Права: Права, назначенные этой группе, получают абсолютно все пользователи.
Особенности: Нельзя добавлять или удалять пользователей — членство полностью автоматическое.
Группа "Администраторы IAM"
Группа "Администраторы IAM" создается автоматически при первой установке IDENTYX. Эта группа предназначена для пользователей с полными правами на управление системой.
Как определить группу "Администраторы IAM"
В списке групп (раздел Пользователи → Локальные группы) группа "Администраторы IAM" отмечена как Системная:
- В колонке Системная отображается значок Да
- При открытии карточки группы вверху появляется информационная панель серого цвета с текстом: "Это системная группа с предустановленными правами доступа"
Права по умолчанию
При создании группа "Администраторы IAM" автоматически получает следующие права:
| Объект | Действие | Распространение | Описание |
|---|---|---|---|
/iam |
/iam/super-admin |
На дочерние объекты | Полные права на управление IAM системой |
Это означает, что члены группы "Администраторы IAM" получают неограниченный доступ ко всем функциям управления пользователями, группами, организациями, приложениями и настройками системы.
Управление группой "Администраторы IAM"
Для группы "Администраторы IAM" доступны следующие действия:
✅ Разрешенные действия
- Добавление пользователей в группу — через вкладку Пользователи группы → кнопка Добавить в группу
- Удаление пользователей из группы — выбор пользователей и кнопка Удалить из группы
- Изменение прав доступа — через вкладку Правила доступа (хотя это обычно не требуется)
- Назначение в организации — через вкладку Организации (если в системе настроены организации)
🚫 Запрещенные действия
- Удаление группы — кнопка Удалить не отображается для системной группы
- Изменение названия группы — поле Наименование заблокировано с подсказкой: "Нельзя изменять название системной группы"
- Удаление последнего администратора — система не позволит удалить или отключить всех пользователей из группы
IDENTYX проверяет, что в группе "Администраторы IAM" всегда остается хотя бы один активный (не заблокированный и не удаленный) пользователь. Если вы попытаетесь удалить последнего активного пользователя, система выдаст ошибку:
"Нельзя удалить или отключить всех пользователей, которые входят в группу Администраторы IAM"
Это защита от случайной блокировки доступа к управлению системой.
Первый администратор
При первой установке IDENTYX автоматически создается:
- Группа "Администраторы IAM" с полными правами
- Пользователь
adminс паролемadmin - Пользователь
adminавтоматически добавляется в группу "Администраторы IAM"
После первого входа обязательно смените пароль пользователя admin! Стандартные учетные данные представляют серьезную угрозу безопасности.
Также рекомендуется:
- Создать персональные учетные записи для каждого администратора
- Добавить их в группу "Администраторы IAM"
- Удалить или отключить стандартного пользователя
admin(после создания других администраторов)
Специальная группа "Все"
Группа "Все" — это уникальная системная группа с особым механизмом работы. Она предназначена для назначения базовых прав, которые должны быть у всех пользователей без исключения.
Как определить группу "Все"
В списке групп группа "Все" имеет специальную маркировку:
- Рядом с названием отображается оранжевый значок Специальная группа
- В колонке Системная отображается значок Да
- При открытии карточки группы в верхней части отображается яркая оранжевая информационная панель с пояснениями
Автоматическое членство
Ключевая особенность группы "Все" — это автоматическое членство всех пользователей:
- Каждый пользователь системы автоматически считается членом группы "Все"
- Никаких действий по добавлению пользователей не требуется
- Нельзя удалить пользователя из этой группы
- Нельзя исключить какого-либо пользователя из членства
- Новые пользователи автоматически становятся членами группы при создании
Группа "Все" работает на уровне системы прав доступа. Когда система проверяет права пользователя, она автоматически учитывает права, назначенные группе "Все", для любого пользователя. Физически пользователи не записываются в таблицу членства этой группы.
Когда использовать группу "Все"
Группа "Все" полезна для назначения базовых прав, которые нужны всем пользователям системы:
- Базовый доступ к OIDC приложениям — право на вход в определенные приложения для всех сотрудников
- Просмотр общих ресурсов — доступ к корпоративной документации, справочникам
- Базовые функции профиля — право на просмотр и редактирование своего профиля
- Общие учетные записи — доступ к общим учетным записям для всех сотрудников
Будьте внимательны при назначении прав группе "Все"! Эти права получат абсолютно все пользователи системы, включая:
- Обычных пользователей без специальных прав
- Новых пользователей, которые будут созданы в будущем
- Пользователей из всех организаций (если используется организационная структура)
Назначайте группе "Все" только те права, которые действительно нужны каждому пользователю системы.
Управление группой "Все"
Для группы "Все" действуют самые строгие ограничения среди всех групп системы:
✅ Единственное разрешенное действие
- Изменение прав доступа — через вкладку Правила доступа
🚫 Запрещенные действия
- Изменение названия — поле Наименование заблокировано с подсказкой: "Нельзя изменять название специальной группы "Все""
- Добавление пользователей — вкладка Пользователи группы не отображается
- Удаление пользователей — невозможно, так как членство автоматическое
- Изменение организаций — вкладка Организации не отображается
- Удаление группы — кнопка Удалить не отображается
При открытии карточки группы "Все" вы увидите:
- Яркую оранжевую информационную панель с пояснением особенностей группы
- Заблокированное поле Наименование
- Вкладки Правила доступа и Итоговые правила
- Отсутствие вкладок Организации и Пользователи группы
- Отсутствие кнопки Удалить
Сообщения об ошибках
Если вы попытаетесь выполнить запрещенное действие с группой "Все", система выдаст соответствующее сообщение:
| Действие | Сообщение об ошибке |
|---|---|
| Попытка изменить состав пользователей | Нельзя добавлять или удалять пользователей из специальной группы "Все". Все пользователи автоматически входят в эту группу. |
| Попытка удалить группу | Нельзя удалить специальную группу "Все" |
Сравнение системных групп
Для лучшего понимания различий между системными группами и обычными локальными группами, рассмотрим таблицу сравнения:
| Возможность | Обычная группа | "Администраторы IAM" | Группа "Все" |
|---|---|---|---|
| Изменение названия | ✅ Да | 🚫 Нет | 🚫 Нет |
| Добавление пользователей | ✅ Да | ✅ Да | 🚫 Нет (автоматически) |
| Удаление пользователей | ✅ Да | ✅ Да (кроме последнего) | 🚫 Нет (автоматически) |
| Изменение прав доступа | ✅ Да | ✅ Да | ✅ Да |
| Назначение в организации | ✅ Да | ✅ Да | 🚫 Нет |
| Удаление группы | ✅ Да | 🚫 Нет | 🚫 Нет |
| Защита от удаления всех пользователей | 🚫 Нет | ✅ Да | ➖ Не применимо |
| Автоматическое членство | 🚫 Нет | 🚫 Нет | ✅ Да (все пользователи) |
Рекомендации по работе с системными группами
Группа "Администраторы IAM"
- Ограничьте количество администраторов — добавляйте в группу только тех пользователей, которым действительно нужны полные права на управление системой
- Используйте именные учетные записи — создайте отдельную учетную запись для каждого администратора вместо использования общего аккаунта
- Не удаляйте права по умолчанию — группа должна сохранять полные права на
/iam, иначе администраторы потеряют доступ к управлению - Всегда оставляйте резервного администратора — убедитесь, что в группе минимум 2 активных пользователя на случай проблем с основным аккаунтом
- Настройте 2FA для администраторов — используйте двухфакторную аутентификацию для максимальной безопасности
Группа "Все"
- Минимизируйте права — назначайте только действительно необходимые базовые права, которые нужны каждому сотруднику
- Периодически проверяйте права — убедитесь, что права группы "Все" соответствуют текущим требованиям безопасности
- Используйте для общего доступа — назначайте права на общедоступные ресурсы и приложения
- Избегайте административных прав — никогда не назначайте группе "Все" права на управление системой
- Документируйте изменения — записывайте, какие права и зачем были назначены группе "Все"
Восстановление доступа администратора
Если по какой-то причине вы потеряли доступ к системе (например, забыли пароли всех администраторов), IDENTYX предоставляет специальный механизм восстановления доступа через консольную команду.
Процесс восстановления
- Получите доступ к серверу с установленным IDENTYX (SSH или физический доступ)
- Перейдите в директорию с установленным IDENTYX
- Выполните команду:
./service - В появившемся меню выберите опцию Восстановить доступ (добавить нового администратора)
- Введите имя пользователя для новой учетной записи администратора
- Система автоматически создаст нового пользователя с случайным паролем и добавит его в группу "Администраторы IAM"
- Запишите выданный пароль и используйте его для входа в систему
Для выполнения команды восстановления доступа требуется физический или SSH доступ к серверу. Это специально сделано для безопасности — злоумышленник не может восстановить доступ администратора удаленно без доступа к серверу.
Связанные разделы
- Локальные группы — создание и управление обычными группами пользователей
- Права доступа для групп — подробнее о назначении прав доступа группам
- Обзор системы прав — общие принципы работы системы прав доступа RBAC
- Локальные пользователи — управление пользователями, которых можно добавлять в группы
Теперь, когда вы понимаете работу системных групп, переходите к разделу Права доступа для групп, чтобы узнать больше о назначении прав и их наследовании.