Ограниченное администрирование

ℹ️ О разделе

Ограниченное администрирование позволяет делегировать часть административных прав пользователям без предоставления полного доступа к системе. Локальные администраторы могут управлять только своими организациями и не могут выдавать права, которыми сами не обладают. Это важная функция для крупных организаций с децентрализованной структурой управления.

Что такое ограниченное администрирование

Ограниченное администрирование (Local Admin) — это роль, которая предоставляет права на управление определенными организациями и их пользователями без доступа к общим настройкам системы IDENTYX.

🔑 Суперадминистратор

Право: /iam:/iam/super-admin

Доступ: Полный контроль над всей системой

Может: Управлять всеми организациями, настройками, интеграциями

⚙️ Локальный администратор

Право: /orgs/[ID]:/iam/local-admin

Доступ: Только указанные организации

Может: Управлять пользователями, группами и LDAP доменами своих организаций

Когда использовать

Ограниченное администрирование особенно полезно в следующих случаях:

  • Крупные организации с филиалами, каждый из которых должен управлять своими пользователями
  • Аутсорсинговые компании, обслуживающие несколько клиентов с изолированным доступом
  • Образовательные учреждения с несколькими факультетами или кафедрами
  • Холдинговые структуры с независимыми дочерними компаниями
  • Департаменты крупных корпораций с автономным управлением кадрами
✅ Преимущества делегирования
  • Снижение нагрузки на центральную ИТ-службу
  • Быстрая реакция на запросы внутри организации
  • Разделение ответственности между подразделениями
  • Сохранение безопасности за счет строгих ограничений
  • Прозрачность — каждый администратор видит только свою зону ответственности

Возможности локального администратора

Локальный администратор может выполнять следующие действия в рамках своих организаций:

Управление пользователями

  • Создавать новых локальных пользователей в своих организациях
  • Редактировать данные пользователей (отображаемое имя, email)
  • Блокировать и разблокировать пользователей
  • Удалять пользователей из своих организаций
  • Назначать и удалять пользователей в группы
  • Импортировать пользователей из LDAP доменов в свои организации
  • Управлять паролями пользователей (сброс, требование смены)

Управление группами

  • Создавать локальные группы
  • Редактировать названия и описания групп
  • Добавлять и удалять участников групп
  • Назначать группы в свои организации
  • Назначать права доступа группам (только те права, которыми обладает сам)

Работа с LDAP доменами

  • Просматривать список LDAP доменов, назначенных в их организации
  • Просматривать пользователей LDAP доменов
  • Импортировать пользователей из LDAP в свои организации
⚠️ Ограничения локального администратора

Локальный администратор НЕ может:

  • Управлять другими организациями кроме назначенных ему
  • Создавать, редактировать или удалять LDAP домены
  • Изменять настройки системы безопасности
  • Управлять OIDC приложениями
  • Изменять настройки интеграций (Сбер ID, ЕСИА и т.д.)
  • Управлять объектами и действиями RBAC
  • Выдавать права, которыми сам не обладает
  • Управлять сервисами системы

Создание локального администратора

Создать локального администратора может только суперадминистратор. Процесс состоит из трех шагов:

Шаг 1. Создание организаций

Сначала убедитесь, что в системе созданы организации, которыми будет управлять локальный администратор:

  1. Перейдите в раздел НастройкиОрганизации
  2. Нажмите кнопку Создать организацию
  3. Заполните поля:
    • Название — название организации
    • Описание — опциональное описание
  4. Нажмите Сохранить

Каждая созданная организация автоматически добавляется в дерево объектов RBAC с путем вида /orgs/[название].

Шаг 2. Создание пользователя-администратора

Создайте пользователя, который будет локальным администратором:

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Нажмите кнопку Создать пользователя
  3. Заполните обязательные поля:
    • Имя пользователя (username)
    • Отображаемое имя
    • Email
    • Пароль (если не установлен флаг требования смены пароля)
  4. Нажмите Сохранить

Шаг 3. Назначение прав локального администратора

Теперь назначьте созданному пользователю права локального администратора на конкретные организации:

  1. Откройте карточку пользователя
  2. Перейдите на вкладку Правила доступа
  3. Нажмите кнопку Добавить правило
  4. В открывшемся окне выберите:
    • Объекты: Выберите организации из дерева объектов в разделе /orgs. Отметьте галочкой организации, которыми должен управлять этот администратор
    • Действия: В дереве действий найдите /IAMОграниченное администрирование и отметьте его галочкой
  5. Убедитесь, что для всех выбранных действий установлен тип "Разрешено" (галочка зеленая)
  6. Нажмите Сохранить
💡 Несколько организаций

Вы можете назначить одному локальному администратору права на управление несколькими организациями одновременно. Для этого просто выберите в одном правиле несколько объектов из дерева организаций.

⚠️ Обязательные условия

При создании правила с действием /iam/local-admin система требует:

  • Выбрать хотя бы одну организацию из /orgs
  • Выбрать хотя бы один объект из /iam или приложения (не только организации)

Эти требования гарантируют, что локальный администратор имеет четко определенную область ответственности.

Пример готового правила

После настройки правило локального администратора будет выглядеть следующим образом:

Объекты Действие Тип
/orgs/moscow-office
/orgs/spb-office
/iam (+ дочерние) 		/iam/local-admin Разрешено

Это правило предоставляет пользователю права локального администратора для организаций "Московский офис" и "Санкт-Петербургский офис".

Ограничение выдачи прав

Одна из ключевых особенностей ограниченного администрирования — локальный администратор не может выдавать права, которыми сам не обладает.

Как это работает

При создании или редактировании правил доступа для пользователя или группы система проверяет:

  1. Для каждого выбранного объекта проверяется каждое выбранное действие
  2. Система формирует строку права в формате объект:действие
  3. Проверяется, обладает ли сам администратор этим правом
  4. Если администратор не обладает правом — операция блокируется с сообщением об ошибке
🚫 Пример ошибки

Если локальный администратор попытается выдать право /menu/settings:/menu/allow, но сам не имеет доступа к разделу "Настройки", система выдаст ошибку:

Вы не можете выдать право "/menu/allow" для объекта "/menu/settings", так как сами не обладаете этим правом

Ограничения в интерфейсе

Чтобы избежать ошибок, интерфейс создания правил автоматически ограничивает доступные опции для локальных администраторов:

  • Объекты: В дереве объектов отображаются только те объекты, на которые администратор имеет право /iam/local-admin
  • Действия: В дереве действий отображаются только те действия, которые администратор может выдавать для выбранных объектов
  • Недоступные элементы: Элементы, на которые нет прав, отображаются серым цветом или скрываются полностью
ℹ️ Динамическая фильтрация

Список доступных действий меняется в зависимости от выбранных объектов. Если для одного объекта у администратора есть право на действие, а для другого — нет, то это действие не будет доступно для выбора.

Управление только своими организациями

Локальный администратор может работать только с теми организациями, на которые ему явно выданы права.

Создание пользователей

При создании нового пользователя локальный администратор:

  • Может назначить пользователя только в те организации, которыми управляет
  • Видит в выборе организаций только свои назначенные организации
  • Не может создать пользователя без указания организации (если в системе используются организации)

Импорт из LDAP

При массовом импорте пользователей из LDAP домена:

  • Локальный администратор видит только LDAP домены, назначенные в его организации
  • При выборе пользователей для импорта обязательно указание организации
  • Можно выбрать только те организации, которыми управляет администратор
  • Система проверяет права перед импортом и блокирует операцию при попытке импорта в недоступную организацию
⚠️ Проверка при сохранении

Даже если локальный администратор попытается обойти проверки на клиентской стороне, сервер всегда выполняет финальную проверку прав. Любая попытка создать или изменить данные в недоступной организации будет отклонена с ошибкой:

У вас нет прав для добавления пользователей в организацию /orgs/other-company

Использование wildcard прав

Локальный администратор может получить права на управление всеми организациями или группой организаций через wildcard права.

Пример wildcard правила

Объекты Действие Тип Описание
/orgs (+ дочерние) /iam/local-admin Разрешено Права на все организации

При отметке объекта с флагом "+ дочерние" (звездочка вместо галочки), администратор получает доступ ко всем организациям, включая те, которые будут созданы в будущем.

✅ Когда использовать wildcard
  • Корпоративные администраторы — управление всеми подразделениями компании
  • Региональные управляющие — право на все офисы в регионе
  • Департаменты с подразделениями — управление департаментом и всеми входящими отделами

Проверка эффективных прав

Чтобы понять, какие права в итоге имеет локальный администратор, используйте раздел Итоговые правила:

  1. Откройте карточку пользователя-администратора
  2. Перейдите на вкладку Итоговые правила
  3. Просмотрите полный список прав, включая права, полученные через группы

В этом разделе отображаются:

  • Личные права пользователя
  • Права, полученные через группы
  • Разрешающие права (allow)
  • Запрещающие права (deny)
  • Итоговый результат с учетом приоритета запретов

Лучшие практики

👥 Используйте группы

Создайте группы локальных администраторов (например, "Администраторы Москвы") и назначайте права группе, а не каждому пользователю отдельно. Это упростит управление при смене персонала.

📋 Документируйте зоны ответственности

Используйте поле "Описание" в группах и правилах доступа, чтобы задокументировать, какая организация за что отвечает и почему выданы конкретные права.

🔍 Регулярный аудит

Периодически проверяйте список локальных администраторов и их права через раздел Журнал событий. Отслеживайте действия администраторов для обеспечения безопасности.

⚖️ Принцип минимальных привилегий

Выдавайте только те права, которые действительно необходимы для работы. Не создавайте wildcard права на все организации без явной необходимости.

🎓 Обучение администраторов

Убедитесь, что локальные администраторы понимают свою зону ответственности и ограничения своих прав. Предоставьте доступ к этой документации.

🔐 Безопасность учетных записей

Для локальных администраторов включите обязательную двухфакторную аутентификацию и регулярную смену паролей. Администраторские права требуют дополнительной защиты.

Решение проблем

Не вижу пользователей в своей организации

Проблема: Локальный администратор не видит пользователей, которые должны быть в его организации.

Решение:

  • Убедитесь, что пользователи действительно назначены в вашу организацию (проверьте в карточке пользователя)
  • Проверьте, что у вас есть право /iam/local-admin на эту организацию
  • Обратитесь к суперадминистратору для проверки ваших прав доступа

Не могу назначить права группе

Проблема: При попытке создать правило доступа для группы появляется ошибка о недостатке прав.

Решение:

  • Убедитесь, что вы не пытаетесь выдать права, которыми сами не обладаете
  • Проверьте, что все выбранные объекты находятся в ваших организациях
  • Попросите суперадминистратора выдать вам нужные права, если они требуются для работы

Не могу импортировать пользователей из LDAP

Проблема: Не вижу LDAP домен или не могу импортировать пользователей из него.

Решение:

  • Убедитесь, что LDAP домен назначен в вашу организацию
  • При импорте обязательно выберите организацию из списка доступных
  • Если LDAP домен не назначен в вашу организацию — обратитесь к суперадминистратору

Некоторые действия недоступны в сером цвете

Проблема: При создании правила доступа некоторые действия отображаются серым и не активны.

Решение:

  • Это нормальное поведение — вы видите действия, которые не можете выдавать, так как сами ими не обладаете
  • Выбирайте только активные действия
  • Если нужное действие недоступно — запросите его у суперадминистратора
✅ Готовы продолжить?

Теперь вы понимаете, как работает ограниченное администрирование в IDENTYX. Переходите к разделу Проверка и управление правами, чтобы узнать о практических инструментах для работы с правами доступа.