Назначение в проекты

ℹ️ О разделе

После создания проектов их необходимо заполнить содержимым: назначить пользователей, группы и LDAP домены. Это позволяет организовать структурированную систему управления доступом и делегировать полномочия локальным администраторам.

Что можно назначить в проекты

IDENTYX позволяет назначать в проекты следующие сущности:

👥 Пользователи

Локальные пользователи могут быть назначены в одну или несколько проектов. Это определяет область их деятельности и права доступа.

👨‍👩‍👧‍👦 Группы

Группы пользователей привязываются к проектам для централизованного управления правами доступа на уровне подразделений.

🌐 LDAP домены

LDAP домены могут быть привязаны к проектам для автоматического распределения импортируемых пользователей.

Назначение пользователей в проекты

Пользователи могут быть назначены в проекты несколькими способами: при создании/редактировании пользователя, при массовом импорте из LDAP, или автоматически через привязку LDAP домена к проекту.

Назначение через форму редактирования пользователя

Это основной способ назначения пользователя в проекты.

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Кликните по пользователю в таблице для открытия формы редактирования
  3. Перейдите на вкладку Проекты
  4. В дереве проектов отметьте чекбоксами нужные проекты
  5. Нажмите кнопку Сохранить
✅ Множественное назначение

Один пользователь может быть назначен одновременно в несколько проектов. Просто отметьте все нужные проекты в дереве.

Вкладка "Проекты"

На вкладке "Проекты" в форме пользователя вы увидите:

  • Дерево проектов — иерархическое представление всех активных проектов в системе
  • Чекбоксы — рядом с каждой проектом для выбора
  • Кнопка "Сбросить выбор" — для быстрой очистки всех выбранных проектов
ℹ️ Отображение для локальных администраторов

Если вы являетесь локальным администратором (не суперадминистратором), вы увидите в дереве только те проекты, которыми вам разрешено управлять. Это обеспечивает разграничение полномочий между администраторами разных подразделений.

Назначение при массовом импорте из LDAP

При массовом импорте пользователей из LDAP можно сразу назначить их в проекты.

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Нажмите кнопку Массовый импорт из LDAP
  3. Выберите LDAP домен
  4. Выберите пользователей для импорта
  5. При необходимости выберите группы для автоматического добавления
  6. В разделе Проекты для добавления пользователей отметьте нужные проекты
  7. Нажмите кнопку Импортировать

Все импортируемые пользователи будут автоматически добавлены в выбранные проекты.

⚠️ Требование для локальных администраторов

Если вы являетесь локальным администратором, вы обязаны выбрать хотя бы одну проект при массовом импорте пользователей. Это требование обеспечивает, что все создаваемые пользователи будут находиться под вашим управлением.

Автоматическое назначение через LDAP домен

Если LDAP домен привязан к проектам, все пользователи, импортируемые из этого домена, автоматически добавляются в проекты домена.

Как это работает:

  1. Администратор назначает LDAP домен в проекты (см. раздел Назначение LDAP доменов)
  2. При импорте пользователей из этого домена они автоматически получают принадлежность к проектам домена
  3. Эта принадлежность отображается в форме импорта как информационное сообщение
ℹ️ Приоритет назначения

Если LDAP домен уже привязан к проектам, при массовом импорте вы можете дополнительно добавить пользователей в другие проекты. Итоговый набор проектов будет объединением проектов домена и вручную выбранных проектов.

Просмотр проектов пользователя

В таблице пользователей есть колонка Проекты, где отображаются:

  • До 3 проектов в виде тегов с названиями
  • Если проектов больше 3, отображается тег +N ещё с количеством оставшихся
  • Если пользователь не назначен ни в одну проект: "Нет проектов"

Также в колонке есть фильтр, позволяющий отобразить только пользователей конкретного проекта.

Назначение групп в проекты

Группы пользователей назначаются в проекты для централизованного управления правами доступа на уровне подразделений.

Назначение группы в проекты

  1. Перейдите в раздел ГруппыЛокальные группы
  2. Кликните по группе в таблице для открытия формы редактирования
  3. Перейдите на вкладку Проекты
  4. В дереве проектов отметьте чекбоксами нужные проекты
  5. Нажмите кнопку Сохранить

Вкладка "Проекты" в форме группы

Интерфейс назначения групп в проекты аналогичен интерфейсу для пользователей:

  • Дерево проектов с чекбоксами для выбора
  • Кнопка "Сбросить выбор" для очистки выбранных проектов
  • Фильтрация для локальных администраторов (видят только свои проекты)
⚠️ Системные группы

Специальная группа "Все" не может быть назначена в проекты, так как она автоматически включает всех пользователей системы независимо от проектной принадлежности. Для других системных групп (например, "Администраторы IAM") назначение в проекты может быть ограничено.

Связь проектов группы и её членов

Важно понимать, что назначение группы в проекты не влияет автоматически на принадлежность членов группы к проектам.

Как это работает:

  • Группа может быть назначена в проекты /projects/1 и /projects/2
  • Пользователь, входящий в эту группу, может быть назначен в другие проекты: /projects/3, /projects/4
  • Принадлежность группы и пользователя к проектам — это независимые характеристики

Зачем нужно назначение групп в проекты:

  • Для управления локальными администраторами — они видят и могут управлять только группами своих проектов
  • Для логической проекты групп по подразделениям
  • Для фильтрации групп в интерфейсе по принадлежности к проектам

Просмотр проектов группы

В таблице групп есть колонка Проекты с аналогичным отображением:

  • До 3 проектов в виде тегов
  • Тег +N ещё при большем количестве
  • Фильтр для отображения групп конкретного проекта

Назначение LDAP доменов в проекты

LDAP домены могут быть привязаны к проектам для автоматического распределения импортируемых пользователей по проектам.

Назначение LDAP домена в проекты

  1. Перейдите в раздел LDAPLDAP домены
  2. Кликните по домену в таблице для открытия формы редактирования
  3. Перейдите на вкладку Проекты
  4. Прочитайте описание: "Выберите проекты, к которым принадлежит данный домен. Это поможет организовать управление доменами по проектам."
  5. В дереве проектов отметьте чекбоксами нужные проекты
  6. Нажмите кнопку Сохранить

Автоматическое добавление пользователей в проекты домена

Привязка LDAP домена к проектам имеет важное следствие: все пользователи, импортируемые из этого домена, автоматически добавляются в проекты домена.

Сценарий использования:

  1. Проект "Московский офис" (/projects/1) использует домен moscow.company.local
  2. Администратор привязывает домен moscow.company.local к проекту /projects/1
  3. При импорте пользователей из этого домена все они автоматически получают принадлежность к проекту /projects/1
  4. Локальный администратор проекты /projects/1 может управлять этими пользователями
✅ Удобство для больших проектов

Если у вас есть отдельный LDAP домен для каждого филиала или подразделения, привязка доменов к проектам позволяет автоматически распределять пользователей без ручного назначения при каждом импорте.

Дополнительная настройка на вкладке "Настройки"

На вкладке Настройки в форме LDAP домена есть дополнительный раздел "Автоматическое добавление в проекты".

Этот раздел дублирует функциональность вкладки "Проекты", но расположен рядом с другими настройками автоматизации (автодобавление в группы).

Использование:

  • Выберите проекты в дереве
  • Нажмите Сбросить для очистки выбора
  • Настройки сохраняются в поле auto_add_user_to_orgs в дополнительных данных домена

Отображение проектов домена

В таблице LDAP доменов колонка Проекты показывает:

  • До 2 проектов в виде тегов (меньше, чем для пользователей, чтобы экономить место)
  • Тег +N ещё при большем количестве
  • Иконку здания рядом с каждой проектом

Информационное отображение при импорте

Когда вы выбираете LDAP домен для импорта пользователей или просмотра пользователей домена, система показывает информационное сообщение об проектх домена:

В форме массового импорта:

  • Отображается блок с информацией о домене
  • Показываются проекты домена в виде тегов
  • Текст: "Пользователи будут автоматически добавлены в проекты домена:"
  • Или: "Домен не привязан к проектам" если проектов нет

В селекторе пользователей LDAP:

  • После выбора домена отображается информационный блок
  • Показываются проекты домена
  • Для локальных администраторов — информация о фильтрации по их проектам

Ограничения для локальных администраторов

Локальные администраторы имеют ограниченные права на управление проектами по сравнению с суперадминистраторами.

Что видят локальные администраторы

При назначении пользователей, групп или LDAP доменов в проекты локальные администраторы:

  • Видят только свои проекты — в дереве проектов отображаются только те проекты, которыми им разрешено управлять
  • Не могут назначить в чужие проекты — попытка сохранить сущность с проектами, которыми администратор не управляет, приведет к ошибке
  • Не могут исключить из чужих проектов — если сущность уже назначена в проект, которой администратор не управляет, он не может её оттуда удалить
🚫 Типичные ошибки локальных администраторов
  • "Недостаточно прав для управления пользователями" — администратор пытается создать/изменить пользователя без выбора проекты
  • "У вас нет прав для добавления пользователей в проект /projects/N" — администратор пытается назначить в проект, которой не управляет
  • "Нельзя исключить группу из проектов, которыми вы не управляете" — администратор пытается удалить группу из чужой проекты
  • "Локальный администратор должен выбрать хотя бы одну проект" — при массовом импорте не выбраны проекты

Обязательное назначение в проекты

Для локальных администраторов действует правило:

⚠️ Обязательное правило

Если в системе существуют проекты, и вы являетесь локальным администратором, вы обязаны назначить создаваемых/изменяемых пользователей, группы и LDAP домены хотя бы в одну из ваших проектов.

Причины этого правила:

  • Гарантирует, что все создаваемые сущности находятся под управлением создавшего их администратора
  • Предотвращает создание "бесхозных" объектов, которыми никто не управляет
  • Обеспечивает чёткое разделение зон ответственности между администраторами

Доступ к LDAP доменам

Локальные администраторы видят и могут управлять только теми LDAP доменами, которые привязаны к их проектам.

⚠️ Важное ограничение

LDAP домены, не привязанные ни к каким проектам, недоступны для локальных администраторов. Такими доменами могут управлять только суперадминистраторы.

При попытке получить список пользователей из LDAP домена, к которому нет доступа, система выдаст ошибку: "У вас нет прав для доступа к этому домену".

Фильтрация по проектам

Во всех таблицах (пользователей, групп, LDAP доменов) есть возможность фильтрации по проектам.

Использование фильтра

  1. В колонке Проекты найдите выпадающий список
  2. Выберите "Любая" для отображения всех записей
  3. Или выберите конкретную проект из списка
  4. Таблица автоматически отфильтруется, показав только записи этого проекта

Как работает фильтр:

  • Фильтр ищет записи, у которых выбранная проект присутствует в списке проектов
  • Если запись назначена в несколько проектов, она отобразится при выборе любой из них
  • Фильтр работает независимо от других фильтров таблицы

Права доступа и проекты

Назначение в проекты тесно связано с системой прав доступа (RBAC).

Проекты как объекты RBAC

Каждая проект в IDENTYX является объектом в системе прав доступа:

  • Путь проекты (например, /projects/5) — это путь объекта RBAC
  • На проект можно назначать права доступа пользователям и группам
  • Дочерние объекты могут создаваться внутри проекты (например, /projects/5/projects)

Права локального администратора

Чтобы стать локальным администратором проекты, пользователю или группе необходимо:

  1. Получить право /iam:/iam/limited-admin — право на ограниченное администрирование
  2. Получить права на конкретные проекты, например:
    • /projects/5:* — все действия с проектом 5
    • /projects/5/*:* — все действия с проектом 5 и всеми её дочерними объектами

После этого администратор будет видеть и управлять только пользователями, группами и доменами, назначенными в его проекты.

ℹ️ Подробнее о правах доступа

Детальную информацию о системе прав доступа и настройке ограниченного администрирования см. в разделах Обзор системы прав и Ограниченное администрирование.

Проверка прав при назначении

Система автоматически проверяет права при назначении в проекты:

Действие Требуемые права Проверка
Назначение пользователя в проект Права на управление проектом Система проверяет, что администратор имеет права на все выбранные проекты
Назначение группы в проект Права на управление проектом и группой Администратор не может исключить группу из проектов, которыми не управляет
Назначение LDAP домена в проект Права на управление проектом Проверяются права на все выбранные проекты

Практические сценарии использования

Сценарий 1: Офисы в разных городах

Ситуация: Компания имеет офисы в Москве, Санкт-Петербурге и Казани. У каждого офиса свой локальный администратор.

Решение:

  1. Создать проекты: "Московский офис", "Санкт-Петербургский офис", "Казанский офис"
  2. Назначить пользователей каждого офиса в соответствующие проекты
  3. Создать группы для каждого офиса и назначить их в проекты
  4. Создать LDAP домены для каждого офиса (если есть) и привязать к проектам
  5. Назначить локальных администраторов с правами только на свои проекты

Результат: Каждый локальный администратор управляет только пользователями своего офиса, не имея доступа к другим.

Сценарий 2: Департаменты компании

Ситуация: Компания имеет департаменты: IT, HR, Продажи, Финансы. У каждого департамента свои группы и права доступа.

Решение:

  1. Создать проекты для каждого департамента
  2. Назначить сотрудников в проекты по их департаментам
  3. Один сотрудник может быть назначен в несколько проектов (например, руководитель одновременно в IT и Финансах)
  4. Создать группы внутри каждого департамента и назначить в проекты
  5. Настроить права доступа на уровне проектов для разных приложений

Результат: Чёткая структура по департаментам с возможностью пересечения для руководителей.

Сценарий 3: Автоматический импорт по доменам

Ситуация: Компания использует два LDAP домена: office.company.ru для офисных сотрудников и prod.company.ru для производственного персонала.

Решение:

  1. Создать проекты "Офис" и "Производство"
  2. Добавить LDAP домены в систему
  3. Назначить домен office.company.ru в проект "Офис"
  4. Назначить домен prod.company.ru в проект "Производство"
  5. При импорте пользователей из доменов они автоматически попадают в правильные проекты

Результат: Автоматическое распределение пользователей по проектам при импорте, без ручного назначения.

Рекомендации и лучшие практики

Планирование структуры проектов

  • Сначала структура, потом назначение — спроектируйте полную структуру проектов до начала назначения пользователей
  • Отражайте реальность — структура проектов должна соответствовать реальной структуре компании
  • Предусмотрите рост — оставьте возможность для добавления новых подразделений без кардинальной реструктуризации

Назначение сущностей

  • Используйте группы — вместо назначения прав каждому пользователю, создавайте группы по проектам
  • Привязывайте LDAP домены — если домен соответствует одной проекты, привяжите его для автоматизации импорта
  • Множественное назначение для руководителей — руководители могут быть назначены в несколько проектов одновременно
  • Регулярная проверка — периодически проверяйте актуальность назначений пользователей в проекты

Работа с локальными администраторами

  • Чёткое разделение зон — у каждого локального администратора должна быть понятная зона ответственности
  • Обучение администраторов — объясните локальным администраторам ограничения их прав
  • Документирование полномочий — ведите документацию о том, кто управляет какими проектами

Использование фильтрации

  • Фильтруйте при поиске — используйте фильтр по проектам для быстрого поиска пользователей подразделения
  • Проверяйте принадлежность — перед назначением прав проверьте, в какие проекты входит пользователь

Решение проблем

Не могу назначить пользователя в проект

Причина: Недостаточно прав на управление проектом.

Решение:

  • Если вы локальный администратор — проверьте, что проект входит в список доступных вам
  • Обратитесь к суперадминистратору для получения прав на нужную проект
  • Проверьте, что выбираете проекты в дереве, а не папки (чекбоксы есть только у конечных проектов)

Ошибка "Локальный администратор должен выбрать хотя бы одну проект"

Причина: При создании/импорте пользователей локальный администратор не выбрал ни одной проекты.

Решение:

  • В форме создания/импорта найдите раздел с выбором проектов
  • Отметьте хотя бы одну проект из доступных вам
  • Если не видите раздел с проектами, обратитесь к суперадминистратору — возможно, в системе ещё не созданы проекты

Не могу исключить группу из проекта

Причина: Группа назначена в проект, которой вы не управляете.

Решение:

  • Если вы локальный администратор — вы не можете исключить группу из чужих проектов
  • Обратитесь к администратору той проекты или к суперадминистратору
  • Вы можете добавить группу в свои проекты, но не можете убрать из чужих

Не вижу вкладку "Проекты"

Причина: В системе не созданы проекты.

Решение:

  • Вкладка "Проекты" отображается только если в системе существует хотя бы одна проект
  • Обратитесь к суперадминистратору для создания структуры проектов
  • После создания первой проекты вкладка появится автоматически

Дерево проектов пустое

Причина: Вы локальный администратор без назначенных проектов, или все проекты удалены.

Решение:

  • Проверьте с суперадминистратором, что вам назначены права на конкретные проекты
  • Убедитесь, что проекты не были удалены (проверьте в разделе "Проекты" с включенным "Показать удаленные")
  • Проверьте, что у вас есть право /iam:/iam/limited-admin и права на объекты типа /projects/N
✅ Готовы продолжить?

Теперь, когда вы знаете как назначать пользователей, группы и LDAP домены в проекты, переходите к разделу Обзор системы прав, чтобы узнать как управлять доступом на уровне проектов.