Назначение в организации

ℹ️ О разделе

После создания организаций их необходимо заполнить содержимым: назначить пользователей, группы и LDAP домены. Это позволяет организовать структурированную систему управления доступом и делегировать полномочия локальным администраторам.

Что можно назначить в организации

IDENTYX позволяет назначать в организации следующие сущности:

👥 Пользователи

Локальные пользователи могут быть назначены в одну или несколько организаций. Это определяет область их деятельности и права доступа.

👨‍👩‍👧‍👦 Группы

Группы пользователей привязываются к организациям для централизованного управления правами доступа на уровне подразделений.

🌐 LDAP домены

LDAP домены могут быть привязаны к организациям для автоматического распределения импортируемых пользователей.

Назначение пользователей в организации

Пользователи могут быть назначены в организации несколькими способами: при создании/редактировании пользователя, при массовом импорте из LDAP, или автоматически через привязку LDAP домена к организации.

Назначение через форму редактирования пользователя

Это основной способ назначения пользователя в организации.

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Кликните по пользователю в таблице для открытия формы редактирования
  3. Перейдите на вкладку Организации
  4. В дереве организаций отметьте чекбоксами нужные организации
  5. Нажмите кнопку Сохранить
✅ Множественное назначение

Один пользователь может быть назначен одновременно в несколько организаций. Просто отметьте все нужные организации в дереве.

Вкладка "Организации"

На вкладке "Организации" в форме пользователя вы увидите:

  • Дерево организаций — иерархическое представление всех активных организаций в системе
  • Чекбоксы — рядом с каждой организацией для выбора
  • Кнопка "Сбросить выбор" — для быстрой очистки всех выбранных организаций
ℹ️ Отображение для локальных администраторов

Если вы являетесь локальным администратором (не суперадминистратором), вы увидите в дереве только те организации, которыми вам разрешено управлять. Это обеспечивает разграничение полномочий между администраторами разных подразделений.

Назначение при массовом импорте из LDAP

При массовом импорте пользователей из LDAP можно сразу назначить их в организации.

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Нажмите кнопку Массовый импорт из LDAP
  3. Выберите LDAP домен
  4. Выберите пользователей для импорта
  5. При необходимости выберите группы для автоматического добавления
  6. В разделе Организации для добавления пользователей отметьте нужные организации
  7. Нажмите кнопку Импортировать

Все импортируемые пользователи будут автоматически добавлены в выбранные организации.

⚠️ Требование для локальных администраторов

Если вы являетесь локальным администратором, вы обязаны выбрать хотя бы одну организацию при массовом импорте пользователей. Это требование обеспечивает, что все создаваемые пользователи будут находиться под вашим управлением.

Автоматическое назначение через LDAP домен

Если LDAP домен привязан к организациям, все пользователи, импортируемые из этого домена, автоматически добавляются в организации домена.

Как это работает:

  1. Администратор назначает LDAP домен в организации (см. раздел Назначение LDAP доменов)
  2. При импорте пользователей из этого домена они автоматически получают принадлежность к организациям домена
  3. Эта принадлежность отображается в форме импорта как информационное сообщение
ℹ️ Приоритет назначения

Если LDAP домен уже привязан к организациям, при массовом импорте вы можете дополнительно добавить пользователей в другие организации. Итоговый набор организаций будет объединением организаций домена и вручную выбранных организаций.

Просмотр организаций пользователя

В таблице пользователей есть колонка Организации, где отображаются:

  • До 3 организаций в виде тегов с названиями
  • Если организаций больше 3, отображается тег +N ещё с количеством оставшихся
  • Если пользователь не назначен ни в одну организацию: "Нет организаций"

Также в колонке есть фильтр, позволяющий отобразить только пользователей конкретной организации.

Назначение групп в организации

Группы пользователей назначаются в организации для централизованного управления правами доступа на уровне подразделений.

Назначение группы в организации

  1. Перейдите в раздел ГруппыЛокальные группы
  2. Кликните по группе в таблице для открытия формы редактирования
  3. Перейдите на вкладку Организации
  4. В дереве организаций отметьте чекбоксами нужные организации
  5. Нажмите кнопку Сохранить

Вкладка "Организации" в форме группы

Интерфейс назначения групп в организации аналогичен интерфейсу для пользователей:

  • Дерево организаций с чекбоксами для выбора
  • Кнопка "Сбросить выбор" для очистки выбранных организаций
  • Фильтрация для локальных администраторов (видят только свои организации)
⚠️ Системные группы

Специальная группа "Все" не может быть назначена в организации, так как она автоматически включает всех пользователей системы независимо от организационной принадлежности. Для других системных групп (например, "Администраторы IAM") назначение в организации может быть ограничено.

Связь организаций группы и её членов

Важно понимать, что назначение группы в организации не влияет автоматически на организационную принадлежность членов группы.

Как это работает:

  • Группа может быть назначена в организации /orgs/1 и /orgs/2
  • Пользователь, входящий в эту группу, может быть назначен в другие организации: /orgs/3, /orgs/4
  • Организационная принадлежность группы и пользователя — это независимые характеристики

Зачем нужно назначение групп в организации:

  • Для управления локальными администраторами — они видят и могут управлять только группами своих организаций
  • Для логической организации групп по подразделениям
  • Для фильтрации групп в интерфейсе по организационной принадлежности

Просмотр организаций группы

В таблице групп есть колонка Организации с аналогичным отображением:

  • До 3 организаций в виде тегов
  • Тег +N ещё при большем количестве
  • Фильтр для отображения групп конкретной организации

Назначение LDAP доменов в организации

LDAP домены могут быть привязаны к организациям для автоматического распределения импортируемых пользователей по подразделениям.

Назначение LDAP домена в организации

  1. Перейдите в раздел LDAPLDAP домены
  2. Кликните по домену в таблице для открытия формы редактирования
  3. Перейдите на вкладку Организации
  4. Прочитайте описание: "Выберите организации, к которым принадлежит данный домен. Это поможет организовать управление доменами по структурным подразделениям."
  5. В дереве организаций отметьте чекбоксами нужные организации
  6. Нажмите кнопку Сохранить

Автоматическое добавление пользователей в организации домена

Привязка LDAP домена к организациям имеет важное следствие: все пользователи, импортируемые из этого домена, автоматически добавляются в организации домена.

Сценарий использования:

  1. Организация "Московский офис" (/orgs/1) использует домен moscow.company.local
  2. Администратор привязывает домен moscow.company.local к организации /orgs/1
  3. При импорте пользователей из этого домена все они автоматически получают принадлежность к организации /orgs/1
  4. Локальный администратор организации /orgs/1 может управлять этими пользователями
✅ Удобство для больших организаций

Если у вас есть отдельный LDAP домен для каждого филиала или подразделения, привязка доменов к организациям позволяет автоматически распределять пользователей без ручного назначения при каждом импорте.

Дополнительная настройка на вкладке "Настройки"

На вкладке Настройки в форме LDAP домена есть дополнительный раздел "Автоматическое добавление в организации".

Этот раздел дублирует функциональность вкладки "Организации", но расположен рядом с другими настройками автоматизации (автодобавление в группы).

Использование:

  • Выберите организации в дереве
  • Нажмите Сбросить для очистки выбора
  • Настройки сохраняются в поле auto_add_user_to_orgs в дополнительных данных домена

Отображение организаций домена

В таблице LDAP доменов колонка Организации показывает:

  • До 2 организаций в виде тегов (меньше, чем для пользователей, чтобы экономить место)
  • Тег +N ещё при большем количестве
  • Иконку здания рядом с каждой организацией

Информационное отображение при импорте

Когда вы выбираете LDAP домен для импорта пользователей или просмотра пользователей домена, система показывает информационное сообщение об организациях домена:

В форме массового импорта:

  • Отображается блок с информацией о домене
  • Показываются организации домена в виде тегов
  • Текст: "Пользователи будут автоматически добавлены в организации домена:"
  • Или: "Домен не привязан к организациям" если организаций нет

В селекторе пользователей LDAP:

  • После выбора домена отображается информационный блок
  • Показываются организации домена
  • Для локальных администраторов — информация о фильтрации по их организациям

Ограничения для локальных администраторов

Локальные администраторы имеют ограниченные права на управление организациями по сравнению с суперадминистраторами.

Что видят локальные администраторы

При назначении пользователей, групп или LDAP доменов в организации локальные администраторы:

  • Видят только свои организации — в дереве организаций отображаются только те организации, которыми им разрешено управлять
  • Не могут назначить в чужие организации — попытка сохранить сущность с организациями, которыми администратор не управляет, приведет к ошибке
  • Не могут исключить из чужих организаций — если сущность уже назначена в организацию, которой администратор не управляет, он не может её оттуда удалить
🚫 Типичные ошибки локальных администраторов
  • "Недостаточно прав для управления пользователями" — администратор пытается создать/изменить пользователя без выбора организации
  • "У вас нет прав для добавления пользователей в организацию /orgs/N" — администратор пытается назначить в организацию, которой не управляет
  • "Нельзя исключить группу из организаций, которыми вы не управляете" — администратор пытается удалить группу из чужой организации
  • "Локальный администратор должен выбрать хотя бы одну организацию" — при массовом импорте не выбраны организации

Обязательное назначение в организации

Для локальных администраторов действует правило:

⚠️ Обязательное правило

Если в системе существуют организации, и вы являетесь локальным администратором, вы обязаны назначить создаваемых/изменяемых пользователей, группы и LDAP домены хотя бы в одну из ваших организаций.

Причины этого правила:

  • Гарантирует, что все создаваемые сущности находятся под управлением создавшего их администратора
  • Предотвращает создание "бесхозных" объектов, которыми никто не управляет
  • Обеспечивает чёткое разделение зон ответственности между администраторами

Доступ к LDAP доменам

Локальные администраторы видят и могут управлять только теми LDAP доменами, которые:

  • Привязаны к их организациям
  • Или не привязаны ни к каким организациям (для обратной совместимости)

При попытке получить список пользователей из LDAP домена, к которому нет доступа, система выдаст ошибку: "У вас нет прав для доступа к этому домену".

Фильтрация по организациям

Во всех таблицах (пользователей, групп, LDAP доменов) есть возможность фильтрации по организациям.

Использование фильтра

  1. В колонке Организации найдите выпадающий список
  2. Выберите "Любая" для отображения всех записей
  3. Или выберите конкретную организацию из списка
  4. Таблица автоматически отфильтруется, показав только записи этой организации

Как работает фильтр:

  • Фильтр ищет записи, у которых выбранная организация присутствует в списке организаций
  • Если запись назначена в несколько организаций, она отобразится при выборе любой из них
  • Фильтр работает независимо от других фильтров таблицы

Права доступа и организации

Назначение в организации тесно связано с системой прав доступа (RBAC).

Организации как объекты RBAC

Каждая организация в IDENTYX является объектом в системе прав доступа:

  • Путь организации (например, /orgs/5) — это путь объекта RBAC
  • На организацию можно назначать права доступа пользователям и группам
  • Дочерние объекты могут создаваться внутри организации (например, /orgs/5/projects)

Права локального администратора

Чтобы стать локальным администратором организации, пользователю или группе необходимо:

  1. Получить право /iam:/iam/limited-admin — право на ограниченное администрирование
  2. Получить права на конкретные организации, например:
    • /orgs/5:* — все действия с организацией 5
    • /orgs/5/*:* — все действия с организацией 5 и всеми её дочерними объектами

После этого администратор будет видеть и управлять только пользователями, группами и доменами, назначенными в его организации.

ℹ️ Подробнее о правах доступа

Детальную информацию о системе прав доступа и настройке ограниченного администрирования см. в разделах Обзор системы прав и Ограниченное администрирование.

Проверка прав при назначении

Система автоматически проверяет права при назначении в организации:

Действие Требуемые права Проверка
Назначение пользователя в организацию Права на управление организацией Система проверяет, что администратор имеет права на все выбранные организации
Назначение группы в организацию Права на управление организацией и группой Администратор не может исключить группу из организаций, которыми не управляет
Назначение LDAP домена в организацию Права на управление организацией Проверяются права на все выбранные организации

Практические сценарии использования

Сценарий 1: Офисы в разных городах

Ситуация: Компания имеет офисы в Москве, Санкт-Петербурге и Казани. У каждого офиса свой локальный администратор.

Решение:

  1. Создать организации: "Московский офис", "Санкт-Петербургский офис", "Казанский офис"
  2. Назначить пользователей каждого офиса в соответствующие организации
  3. Создать группы для каждого офиса и назначить их в организации
  4. Создать LDAP домены для каждого офиса (если есть) и привязать к организациям
  5. Назначить локальных администраторов с правами только на свои организации

Результат: Каждый локальный администратор управляет только пользователями своего офиса, не имея доступа к другим.

Сценарий 2: Департаменты компании

Ситуация: Компания имеет департаменты: IT, HR, Продажи, Финансы. У каждого департамента свои группы и права доступа.

Решение:

  1. Создать организации для каждого департамента
  2. Назначить сотрудников в организации по их департаментам
  3. Один сотрудник может быть назначен в несколько организаций (например, руководитель одновременно в IT и Финансах)
  4. Создать группы внутри каждого департамента и назначить в организации
  5. Настроить права доступа на уровне организаций для разных приложений

Результат: Чёткая структура по департаментам с возможностью пересечения для руководителей.

Сценарий 3: Автоматический импорт по доменам

Ситуация: Компания использует два LDAP домена: office.company.ru для офисных сотрудников и prod.company.ru для производственного персонала.

Решение:

  1. Создать организации "Офис" и "Производство"
  2. Добавить LDAP домены в систему
  3. Назначить домен office.company.ru в организацию "Офис"
  4. Назначить домен prod.company.ru в организацию "Производство"
  5. При импорте пользователей из доменов они автоматически попадают в правильные организации

Результат: Автоматическое распределение пользователей по организациям при импорте, без ручного назначения.

Рекомендации и лучшие практики

Планирование структуры организаций

  • Сначала структура, потом назначение — спроектируйте полную структуру организаций до начала назначения пользователей
  • Отражайте реальность — структура организаций должна соответствовать реальной организационной структуре компании
  • Предусмотрите рост — оставьте возможность для добавления новых подразделений без кардинальной реструктуризации

Назначение сущностей

  • Используйте группы — вместо назначения прав каждому пользователю, создавайте группы по организациям
  • Привязывайте LDAP домены — если домен соответствует одной организации, привяжите его для автоматизации импорта
  • Множественное назначение для руководителей — руководители могут быть назначены в несколько организаций одновременно
  • Регулярная проверка — периодически проверяйте актуальность назначений пользователей в организации

Работа с локальными администраторами

  • Чёткое разделение зон — у каждого локального администратора должна быть понятная зона ответственности
  • Обучение администраторов — объясните локальным администраторам ограничения их прав
  • Документирование полномочий — ведите документацию о том, кто управляет какими организациями

Использование фильтрации

  • Фильтруйте при поиске — используйте фильтр по организациям для быстрого поиска пользователей подразделения
  • Проверяйте принадлежность — перед назначением прав проверьте, в какие организации входит пользователь

Решение проблем

Не могу назначить пользователя в организацию

Причина: Недостаточно прав на управление организацией.

Решение:

  • Если вы локальный администратор — проверьте, что организация входит в список доступных вам
  • Обратитесь к суперадминистратору для получения прав на нужную организацию
  • Проверьте, что выбираете организации в дереве, а не папки (чекбоксы есть только у конечных организаций)

Ошибка "Локальный администратор должен выбрать хотя бы одну организацию"

Причина: При создании/импорте пользователей локальный администратор не выбрал ни одной организации.

Решение:

  • В форме создания/импорта найдите раздел с выбором организаций
  • Отметьте хотя бы одну организацию из доступных вам
  • Если не видите раздел с организациями, обратитесь к суперадминистратору — возможно, в системе ещё не созданы организации

Не могу исключить группу из организации

Причина: Группа назначена в организацию, которой вы не управляете.

Решение:

  • Если вы локальный администратор — вы не можете исключить группу из чужих организаций
  • Обратитесь к администратору той организации или к суперадминистратору
  • Вы можете добавить группу в свои организации, но не можете убрать из чужих

Не вижу вкладку "Организации"

Причина: В системе не созданы организации.

Решение:

  • Вкладка "Организации" отображается только если в системе существует хотя бы одна организация
  • Обратитесь к суперадминистратору для создания организационной структуры
  • После создания первой организации вкладка появится автоматически

Дерево организаций пустое

Причина: Вы локальный администратор без назначенных организаций, или все организации удалены.

Решение:

  • Проверьте с суперадминистратором, что вам назначены права на конкретные организации
  • Убедитесь, что организации не были удалены (проверьте в разделе "Организации" с включенным "Показать удаленные")
  • Проверьте, что у вас есть право /iam:/iam/limited-admin и права на объекты типа /orgs/N
✅ Готовы продолжить?

Теперь, когда вы знаете как назначать пользователей, группы и LDAP домены в организации, переходите к разделу Обзор системы прав, чтобы узнать как управлять доступом на уровне организаций.