Права доступа для групп

ℹ️ О разделе

В этом разделе описывается механизм назначения прав доступа для групп пользователей, принципы наследования прав членами группы и работа с групповыми учетными записями.

Концепция групповых прав

В IDENTYX права доступа могут назначаться не только отдельным пользователям, но и группам пользователей. Это упрощает управление правами в организациях, где многим сотрудникам нужен одинаковый набор прав.

👥 Групповые права

Назначаются один раз — создается правило доступа для группы, и все члены группы автоматически получают эти права.

👤 Личные права

Индивидуальные настройки — назначаются конкретному пользователю и действуют только для него.

Назначение прав для группы

Права доступа для группы назначаются через интерфейс карточки группы:

  1. Перейдите в раздел Группы
  2. Откройте нужную группу, нажав на неё в таблице
  3. Перейдите на вкладку Правила доступа
  4. Нажмите кнопку Добавить правило
  5. В открывшемся окне настройте правило доступа:
    • Объекты — выберите один или несколько объектов безопасности, к которым предоставляется доступ
    • Действия — выберите действия, которые разрешены или запрещены для этих объектов
    • Тип разрешения — выберите Разрешено или Запрещено для каждого действия
    • Наследование — установите флажок, если права должны распространяться на дочерние объекты
  6. Нажмите Сохранить для применения правила
✅ Автоматическое применение

После сохранения правила доступа для группы, все текущие члены группы немедленно получают эти права. Новые пользователи, добавленные в группу позже, также автоматически получат все права группы.

Наследование прав членами группы

Когда пользователь входит в группу, он автоматически наследует все права доступа, назначенные этой группе. Система рассчитывает эффективные права пользователя, объединяя:

  • Личные права — права, назначенные напрямую пользователю
  • Права групп — права всех групп, в которые входит пользователь
  • Права специальной группы "Все" — права, назначенные всем пользователям системы

Просмотр эффективных прав

Чтобы увидеть итоговый набор прав пользователя с учетом всех групп:

  1. Откройте карточку пользователя в разделе Пользователи
  2. Перейдите на вкладку Итоговые правила
  3. Система отобразит все эффективные права с указанием их источника:
    • Прямое право — право назначено напрямую пользователю
    • Группа: Название группы — право получено от конкретной группы
ℹ️ Источники прав

На вкладке Итоговые правила для каждого права указывается его источник. Это помогает понять, откуда пользователь получил конкретное право доступа.

Приоритет прав (личные vs групповые)

При объединении личных и групповых прав действуют следующие правила приоритета:

Приоритет запретов

🚫 Главное правило

Запрещающие права (deny) ВСЕГДА имеют приоритет над разрешающими (allow), независимо от того, назначены они лично или через группу.

Это означает, что:

  • Если пользователю через группу дано право allow, а лично назначено deny — доступ запрещён
  • Если пользователю лично дано право allow, а через группу назначено deny — доступ запрещён
  • Если хотя бы в одной из групп установлено deny — доступ запрещён

Приоритет разрешений

Для разрешающих прав действует принцип объединения:

  • Пользователь получает доступ, если хотя бы один источник (личное право или любая группа) предоставляет право allow
  • Не имеет значения, откуда пришло разрешение — от личного назначения или от группы

Примеры приоритета

Личное право Право от группы Итоговый доступ Пояснение
allow allow ✅ Разрешён Оба источника разрешают
allow ✅ Разрешён Личное право разрешает
allow ✅ Разрешён Групповое право разрешает
deny allow 🚫 Запрещён Deny имеет приоритет
allow deny 🚫 Запрещён Deny имеет приоритет
🚫 Запрещён Нет разрешений

Специальная группа "Все"

В системе существует специальная группа "Все", в которую автоматически входят все пользователи системы. Права, назначенные этой группе, получают абсолютно все пользователи без исключения.

⚠️ Будьте осторожны

Назначайте права группе "Все" только если уверены, что эти права действительно нужны всем пользователям системы. Эти права невозможно отменить для отдельных пользователей с помощью исключений — только через deny правила.

Особенности группы "Все":

  • Автоматическое членство — невозможно удалить пользователя из этой группы
  • Нельзя удалить — группа является системной и защищена от удаления
  • Нельзя изменить название — название зафиксировано системой
  • Можно изменять права — правила доступа для этой группы настраиваются так же, как для обычных групп

Групповые учетные записи

Помимо прав доступа, в IDENTYX существует механизм групповых учетных записей. Это учетные данные (логины, пароли, SSH-ключи), которые сохраняются для группы и становятся доступны всем её членам.

Назначение групповых учетных записей

Групповые учетные записи используются когда:

  • Нескольким сотрудникам нужен доступ к одному серверу под одной учетной записью
  • Есть общие служебные аккаунты для отдела или команды
  • Нужно упростить управление учетными данными для группы пользователей

Создание групповой учетной записи

  1. Перейдите в раздел Учетные записи
  2. Нажмите кнопку Добавить учетную запись
  3. В открывшемся окне:
    • Выберите переключатель Групповая учетная запись
    • Выберите группу из выпадающего списка
    • Укажите объект безопасности (сервер, приложение)
    • Выберите тип учетной записи (universal, rdp, ssh и т.д.)
    • Заполните учетные данные (домен, логин, пароль или SSH-ключ)
  4. Нажмите Сохранить
✅ Доступ для всех членов группы

После сохранения групповой учетной записи все члены группы смогут использовать эти учетные данные для подключения к указанному ресурсу.

Приоритет учетных записей

Если у пользователя есть и личная, и групповая учетная запись для одного объекта, система использует следующий порядок приоритета:

  1. Личная типизированная УЗ — личная учетная запись конкретного типа (RDP, SSH и т.д.)
  2. Групповая типизированная УЗ — групповая учетная запись конкретного типа
  3. Личная универсальная УЗ — личная универсальная учетная запись (без указания типа)
  4. Групповая универсальная УЗ — групповая универсальная учетная запись
ℹ️ Автоматический выбор

При подключении через IDENTYX Proxy система автоматически подбирает подходящую учетную запись по описанному приоритету. Если найдено несколько подходящих УЗ одного приоритета, пользователю будет предложен интерфейс выбора.

Просмотр групповых учетных записей

Чтобы просмотреть групповые учетные записи для группы:

  1. Перейдите в раздел Учетные записи
  2. В фильтре выберите нужную группу
  3. Система отобразит все групповые учетные записи, доступные членам этой группы

Практические сценарии использования

Сценарий 1: Права для отдела

Задача: Всем сотрудникам отдела техподдержки нужен доступ к модулю обработки заявок.

Решение:

  1. Создайте группу "Техподдержка"
  2. Добавьте в группу всех сотрудников отдела
  3. Назначьте группе правило доступа:
    • Объект: /helpdesk
    • Действие: /helpdesk/tickets/viewРазрешено
    • Действие: /helpdesk/tickets/editРазрешено
  4. Все члены группы получат доступ к заявкам

Сценарий 2: Общая учетная запись

Задача: Группе администраторов нужен доступ к серверу мониторинга под общей учетной записью.

Решение:

  1. Создайте или откройте группу "Администраторы"
  2. Создайте групповую учетную запись:
    • Группа: "Администраторы"
    • Объект: /servers/monitoring
    • Тип: SSH
    • Логин: admin
    • SSH-ключ: [загрузите приватный ключ]
  3. Все администраторы смогут подключаться к серверу через IDENTYX Proxy, используя эту УЗ

Сценарий 3: Ограничение доступа через deny

Задача: Всем разработчикам через группу дан доступ к продакшн-серверам, но одному конкретному разработчику нужно запретить доступ.

Решение:

  1. Группа "Разработчики" имеет право:
    • Объект: /servers/production/* с наследованием
    • Действие: /servers/connectРазрешено
  2. Откройте карточку конкретного пользователя
  3. Создайте для него личное правило доступа:
    • Объект: /servers/production/* с наследованием
    • Действие: /servers/connectЗапрещено
  4. Благодаря приоритету deny, этот пользователь не сможет подключаться к продакшн-серверам, несмотря на групповое разрешение

Рекомендации

✅ Лучшие практики
  • Используйте группы — назначайте права через группы, а не лично каждому пользователю. Это упрощает управление.
  • Минимум личных прав — личные права используйте только для исключений и особых случаев.
  • Логичная структура групп — создавайте группы по ролям (Администраторы, Разработчики, Аналитики) или по отделам.
  • Документируйте назначение — давайте группам понятные названия и описания.
  • Регулярный аудит — периодически проверяйте, какие права назначены группам и кто входит в группы.
⚠️ Чего избегать
  • Избыточных deny-правил — чрезмерное использование запретов усложняет понимание системы прав.
  • Слишком широких прав для группы "Все" — назначайте этой группе только базовые права.
  • Дублирования прав — если право уже дано через группу, не назначайте его лично пользователю.
✅ Готовы продолжить?

Переходите к разделу 23. Организационная структура, чтобы узнать о работе с организациями в IDENTYX.