Предустановленные роли

ℹ️ О разделе

IDENTYX предоставляет несколько предустановленных ролей, которые упрощают первоначальную настройку системы и обеспечивают базовую модель разграничения доступа. В этом разделе вы узнаете о готовых ролях, их правах и как их использовать для организации работы пользователей.

Что такое роли в IDENTYX

Роль — это набор прав доступа, которые определяют, какие действия может выполнять пользователь в системе. В IDENTYX роли реализуются через:

  • Системные группы — группы с предустановленными правами доступа
  • Действия безопасности — специальные действия, определяющие уровень доступа (например, /iam/super-admin)
  • Правила доступа (ACL) — конкретные разрешения на объекты и действия
✅ Преимущества предустановленных ролей
  • Быстрый старт — не нужно настраивать права вручную при первой установке
  • Безопасность по умолчанию — правильно настроенные права из коробки
  • Простота — понятные названия и предсказуемые права
  • Гибкость — можно создавать собственные роли на основе предустановленных

Доступные предустановленные роли

IDENTYX предоставляет следующие предустановленные роли:

🔑 Суперадминистратор IAM

Группа: "Администраторы IAM"

Право: /iam:/iam/super-admin:allow

Доступ: Полные права на управление всеми функциями системы IDENTYX

⚙️ Локальный администратор

Действие: /iam/local-admin

Право: /orgs/[ID]:/iam/local-admin:allow

Доступ: Ограниченное администрирование конкретных организаций

👤 Обычный пользователь

Группа: Специальная группа "Все"

Права: Базовые права доступа к системе (настраиваются администратором)

Доступ: Доступ к своему профилю и разрешенным приложениям

Суперадминистратор IAM

Суперадминистратор — это роль с полным доступом ко всем функциям управления IDENTYX. Эта роль реализуется через системную группу "Администраторы IAM".

Права суперадминистратора

При установке системы группе "Администраторы IAM" автоматически назначается правило доступа:

Объект Действие Тип Распространение
/iam /iam/super-admin allow На дочерние объекты

Это означает, что члены группы "Администраторы IAM" получают полное право на управление:

  • Локальными пользователями (создание, редактирование, блокировка, удаление)
  • Локальными группами (создание, управление составом, назначение прав)
  • Организациями (создание, редактирование, удаление, восстановление)
  • LDAP доменами (добавление, настройка, импорт пользователей)
  • OIDC приложениями (создание, настройка, управление сессиями)
  • Правами доступа (создание объектов, действий и правил ACL)
  • Настройками системы (безопасность, email, интеграции)
  • Сервисами и мониторингом (просмотр логов, управление сервисами)
⚠️ Ответственность суперадминистратора

Суперадминистраторы имеют неограниченный доступ ко всей системе, включая возможность изменять права доступа других пользователей, управлять безопасностью и настройками. Эта роль должна назначаться только доверенным лицам.

Как стать суперадминистратором

Для получения роли суперадминистратора необходимо быть добавленным в группу "Администраторы IAM":

  1. Перейдите в раздел ПользователиЛокальные группы
  2. Найдите и откройте группу "Администраторы IAM" (отмечена как Системная)
  3. Перейдите на вкладку Пользователи группы
  4. Нажмите кнопку Добавить в группу
  5. Выберите пользователей, которым нужны права суперадминистратора
  6. Нажмите Сохранить
💡 Первый администратор

При первой установке IDENTYX автоматически создается пользователь admin с паролем admin, который уже входит в группу "Администраторы IAM". Обязательно смените пароль после первого входа!

Проверка прав суперадминистратора

Система проверяет права суперадминистратора следующим образом:

  • Ищет в списке прав пользователя правило /iam:/iam/super-admin:allow
  • Или проверяет наличие wildcard-права, покрывающего это действие (например, /*:/iam/super-admin:allow)
  • Если хотя бы одно из условий выполнено — пользователь является суперадминистратором

Ограничения для суперадминистраторов

Даже суперадминистраторы имеют некоторые ограничения:

  • Нельзя удалить последнего администратора — система всегда проверяет, что в группе "Администраторы IAM" остается хотя бы один активный пользователь
  • Нельзя удалить системные группы — группы "Администраторы IAM" и "Все" защищены от удаления
  • Нельзя изменить название системных групп — поле названия заблокировано для системных групп

Локальный администратор (ограниченное администрирование)

Локальный администратор — это роль с ограниченными правами на управление конкретными организациями. Эта роль позволяет делегировать часть административных функций без предоставления полного доступа к системе.

Концепция ограниченного администрирования

В отличие от суперадминистратора, локальный администратор:

  • Может управлять только пользователями, группами и LDAP доменами своих организаций
  • Видит в интерфейсе только те ресурсы, которые относятся к его организациям
  • Не может создавать права, которыми сам не обладает
  • Не имеет доступа к глобальным настройкам системы

Права локального администратора

Для назначения роли локального администратора нужно создать правило доступа в следующем формате:

/orgs/[ID организации]:/iam/local-admin:allow

Пример:

Объект Действие Тип Описание
/orgs/5 /iam/local-admin allow Права на управление организацией с ID=5
/orgs/* /iam/local-admin allow Права на управление всеми организациями (wildcard)
💡 Wildcard для локальных администраторов

Если назначить право /orgs/*:/iam/local-admin:allow, пользователь получит права локального администратора на все организации системы. Однако это не эквивалентно суперадминистратору — доступ к глобальным настройкам по-прежнему будет запрещен.

Что может локальный администратор

Локальный администратор имеет следующие возможности:

✅ Разрешенные действия

  • Управление пользователями — создавать, редактировать, блокировать локальных пользователей своих организаций
  • Управление группами — создавать локальные группы, добавлять/удалять пользователей в/из групп своих организаций
  • LDAP импорт — импортировать пользователей из LDAP доменов, привязанных к его организациям
  • Назначение в организации — назначать пользователей и группы в свои организации
  • Просмотр сессий — видеть и завершать сессии пользователей своих организаций
  • Назначение прав — давать пользователям права, которыми сам обладает, в рамках своих организаций

🚫 Запрещенные действия

  • Создание организаций — только суперадминистратор может создавать организации
  • Удаление организаций — только суперадминистратор может удалять организации
  • Управление LDAP доменами — создание и настройка доменов доступны только суперадминистратору
  • Глобальные настройки — доступ к настройкам безопасности, email, интеграций закрыт
  • Управление OIDC приложениями — создание и настройка приложений только для суперадминистратора
  • Управление объектами и действиями RBAC — создание новых объектов/действий только для суперадминистратора
  • Выдача прав, которыми не обладает — нельзя дать другому пользователю право, которого нет у самого локального администратора

Как назначить локального администратора

Для назначения пользователя локальным администратором конкретной организации:

  1. Перейдите в раздел Права доступаПравила доступа (ACL)
  2. Нажмите кнопку Создать правило доступа
  3. В поле Для кого выберите пользователя или группу
  4. В разделе Объекты выберите организацию (например, /orgs/5)
  5. В разделе Действия выберите /iam/local-admin
  6. В поле Тип правила выберите Разрешить (allow)
  7. Установите флажок Распространять на дочерние объекты (если нужно)
  8. Нажмите Сохранить
✅ Рекомендация

Создайте отдельную локальную группу для локальных администраторов каждой организации (например, "Администраторы отдела продаж"). Назначьте права группе, а затем добавляйте в нее нужных пользователей. Это упростит управление правами.

Сценарии использования

Сценарий 1: Администратор филиала

У вас есть несколько филиалов компании, каждый представлен отдельной организацией в IDENTYX:

  • Создайте организации: "Филиал Москва" (ID=10), "Филиал Санкт-Петербург" (ID=11)
  • Создайте группы: "Администраторы Москва", "Администраторы СПб"
  • Назначьте права:
    • /orgs/10:/iam/local-admin:allow для группы "Администраторы Москва"
    • /orgs/11:/iam/local-admin:allow для группы "Администраторы СПб"
  • Добавьте руководителей филиалов в соответствующие группы

Результат: Каждый руководитель может управлять только пользователями своего филиала, не видя и не имея доступа к другим филиалам.

Сценарий 2: Администратор департамента

У вас есть департаменты внутри компании:

  • Создайте организацию "ИТ-департамент" (ID=20)
  • Создайте пользователя "Старший ИТ-специалист"
  • Назначьте ему право /orgs/20:/iam/local-admin:allow

Результат: Старший специалист может создавать новых пользователей ИТ-департамента, управлять их доступами к приложениям, блокировать учетные записи при увольнении, но не имеет доступа к управлению другими департаментами.

Обычный пользователь

Обычный пользователь — это роль по умолчанию для всех пользователей системы, которые не являются администраторами. Эта роль не требует специальной настройки и автоматически применяется к новым пользователям.

Права обычного пользователя

По умолчанию обычные пользователи получают базовые права через специальную группу "Все":

  • Доступ к своему профилю (просмотр и редактирование)
  • Возможность менять свой пароль
  • Настройка методов двухфакторной аутентификации (TOTP, Email 2FA)
  • Управление привязанными методами входа (WebAuthn, Telegram, OAuth провайдеры)
  • Просмотр списка своих групп и организаций

Дополнительные права (например, доступ к OIDC приложениям) назначаются администратором через правила ACL.

Доступ к приложениям

Для предоставления обычному пользователю доступа к конкретному приложению нужно создать правило доступа:

/[app_id]/*:/[app_id]/[action]:allow

Пример: Предоставить доступ к приложению "Helpdesk":

Объект Действие Тип Описание
/helpdesk/* /helpdesk/view allow Просмотр тикетов в приложении Helpdesk
/helpdesk/* /helpdesk/create allow Создание тикетов в приложении Helpdesk
💡 Групповое назначение прав

Создайте группу (например, "Пользователи Helpdesk") и назначьте права группе. Затем просто добавляйте пользователей в эту группу — они автоматически получат доступ к приложению. Это намного удобнее, чем назначать права каждому пользователю отдельно.

Ограничения обычного пользователя

Обычные пользователи не могут:

  • Создавать, редактировать или удалять других пользователей
  • Управлять группами или добавлять/удалять пользователей в/из групп
  • Создавать или изменять организации
  • Назначать права доступа другим пользователям
  • Просматривать или завершать чужие сессии
  • Изменять настройки системы
  • Создавать или настраивать OIDC приложения
  • Просматривать журнал событий безопасности

Создание собственных ролей

Кроме предустановленных ролей, вы можете создавать свои собственные роли с любой комбинацией прав. Это делается через систему RBAC:

  1. Создайте группу — в разделе ПользователиЛокальные группы
  2. Создайте правила доступа — в разделе Права доступаПравила доступа (ACL)
  3. Назначьте права группе — выберите созданную группу в качестве субъекта
  4. Добавьте пользователей в группу — они автоматически получат все права группы
✅ Примеры пользовательских ролей
  • "Операторы техподдержки" — доступ к приложению Helpdesk с правом просмотра и ответа на тикеты
  • "Менеджеры проектов" — доступ к приложениям управления проектами с правом создания и редактирования
  • "Наблюдатели" — доступ только на чтение ко всем приложениям без права изменений
  • "Модераторы" — доступ к журналу событий и право блокировать пользователей

Иерархия ролей и приоритет прав

При определении эффективных прав пользователя система учитывает следующие правила:

Источники прав

Пользователь может получить права из нескольких источников:

  1. Личные права — напрямую назначенные пользователю
  2. Права групп — от всех групп, в которые входит пользователь
  3. Права группы "Все" — базовые права для всех пользователей

Итоговый набор прав — это объединение всех прав из всех источников.

Приоритет запретов

Правила запрета (deny) всегда имеют высший приоритет над правилами разрешения (allow):

  • Если у пользователя есть allow через группу, но есть deny лично — доступ запрещен
  • Если у пользователя есть allow на родительский объект, но есть deny на дочерний — доступ к дочернему запрещен

Пример:

  • Пользователь входит в группу "Пользователи Helpdesk" с правом /helpdesk/*:/helpdesk/view:allow
  • Но лично ему назначено /helpdesk/admin:/helpdesk/view:deny
  • Результат: Пользователь может просматривать все разделы Helpdesk, кроме административной панели

Комбинирование ролей

Один пользователь может входить в несколько групп одновременно:

  • Пользователь может быть членом группы "Администраторы IAM" (суперадминистратор)
  • И одновременно членом группы "Пользователи Helpdesk" (доступ к приложению)
  • Он получит объединение всех прав обеих групп
⚠️ Будьте осторожны с deny

Использование правил deny может привести к неожиданному поведению при комбинировании ролей. Рекомендуется использовать deny только в исключительных случаях, когда нужно явно запретить доступ к конкретному ресурсу.

Управление ролями

Просмотр эффективных прав

Чтобы увидеть, какие права имеет конкретный пользователь:

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Откройте карточку нужного пользователя
  3. Перейдите на вкладку Правила доступа
  4. Система покажет все правила, которые применяются к этому пользователю:
    • Личные правила (назначенные напрямую пользователю)
    • Групповые правила (из всех групп, в которые входит пользователь)

Изменение роли пользователя

Чтобы изменить роль пользователя, есть несколько способов:

Способ 1: Через управление группами

  1. Откройте карточку пользователя
  2. Перейдите на вкладку Группы пользователя
  3. Добавьте пользователя в нужную группу или удалите из ненужной

Способ 2: Через управление правами

  1. Перейдите в раздел Права доступаПравила доступа (ACL)
  2. Найдите правила для нужного пользователя
  3. Отредактируйте или удалите существующие правила
  4. Создайте новые правила с нужными правами

Аудит ролей и прав

Регулярно проверяйте назначенные роли и права:

  • Журнал событий — в разделе Журнал отслеживайте изменения прав, добавление/удаление из групп
  • Список администраторов — регулярно проверяйте состав группы "Администраторы IAM"
  • Активные сессии — в разделе Сессии смотрите, кто имеет активный доступ к системе
  • Правила ACL — периодически проверяйте актуальность всех правил доступа

Лучшие практики

🔐 Принцип минимальных привилегий

Назначайте пользователям только те права, которые действительно необходимы для выполнения их работы. Не делайте всех суперадминистраторами.

👥 Используйте группы

Назначайте права группам, а не отдельным пользователям. Создайте группы для каждой роли и добавляйте пользователей в них.

📝 Документируйте роли

Используйте поле "Описание" в группах для документирования назначения каждой роли и каких прав она предоставляет.

🔄 Регулярный аудит

Периодически проверяйте состав групп и назначенные права. Удаляйте уволенных сотрудников, корректируйте права при смене должности.

⚖️ Разделяйте обязанности

Используйте локальных администраторов для делегирования управления организациями. Не давайте всем права суперадминистратора.

🛡️ Защищайте администраторов

Требуйте двухфакторную аутентификацию для всех администраторов. Используйте сильные пароли и регулярно их меняйте.

Решение проблем

Пользователь не имеет доступа к системе

Проблема: Пользователь может войти, но не видит никаких разделов меню или приложений.

Решение:

  1. Проверьте, входит ли пользователь хотя бы в одну группу
  2. Убедитесь, что группа или пользователь имеют права на объект /menu/* с действием /menu/allow:allow
  3. Проверьте, нет ли правил deny, которые блокируют доступ

Локальный администратор не может управлять пользователями

Проблема: Пользователь с правами локального администратора не видит раздел управления пользователями.

Решение:

  1. Проверьте, что пользователь имеет право /orgs/[ID]:/iam/local-admin:allow на нужную организацию
  2. Убедитесь, что пользователи, которыми нужно управлять, назначены в эту же организацию
  3. Проверьте, что у пользователя есть права на доступ к разделу меню администрирования пользователей

Пользователь имеет слишком много прав

Проблема: Пользователь видит разделы, к которым не должен иметь доступа.

Решение:

  1. Откройте карточку пользователя и перейдите на вкладку Правила доступа
  2. Проверьте все правила (личные и групповые)
  3. Удалите пользователя из лишних групп или создайте правила deny для блокировки доступа к конкретным ресурсам
✅ Готовы продолжить?

Теперь, когда вы понимаете предустановленные роли в IDENTYX, переходите к разделу Ограниченное администрирование, чтобы узнать больше о настройке локальных администраторов и делегировании прав.