Обзор учетных записей приложений

ℹ️ О документе

В этом разделе описана система хранения и управления учетными записями для подключенных приложений. Вы узнаете, зачем нужны учетные записи, какие типы учетных записей существуют, как работает приоритизация и автоматическая подстановка учетных данных.

Что такое учетные записи приложений

Учетные записи приложений — это защищённое хранилище учетных данных (логинов, паролей, SSH-ключей) для доступа к различным приложениям и системам. IDENTYX позволяет централизованно хранить учетные данные и автоматически подставлять их при обращении к приложениям через IDENTYX Proxy.

Зачем нужны учетные записи

Система учетных записей решает несколько важных задач:

🔐 Безопасное хранение

Все учетные данные шифруются и хранятся в защищенной базе данных. Пользователям не нужно запоминать множество паролей для разных приложений — все данные надежно хранятся в IDENTYX.

⚡ Автоматическая подстановка

При работе через IDENTYX Proxy система автоматически подставляет нужные учетные данные в приложения. Пользователю не нужно каждый раз вводить логин и пароль — вход происходит прозрачно.

👥 Групповые учетные записи

Можно создавать учетные записи не только для отдельных пользователей, но и для целых групп. Это упрощает управление доступом к общим ресурсам.

🎯 Организация по объектам

Учетные записи привязываются к объектам в дереве безопасности IDENTYX. Это позволяет гибко управлять доступом и наследовать учетные данные по иерархии объектов.

✅ Пример использования

Пользователь открывает приложение для администрирования серверов через IDENTYX Proxy. Система автоматически определяет, к какому серверу обращается пользователь, находит подходящие учетные данные и выполняет вход без участия пользователя. Пользователь даже не видит сам пароль.

Типы учетных записей

В IDENTYX существуют две основные классификации учетных записей: по владельцу и по типу подключения.

Типы по владельцу

Тип владельца Описание Когда использовать
Личные учетные записи Принадлежат конкретному пользователю. Только владелец может просматривать и использовать эти учетные данные. Для персональных аккаунтов пользователя в различных системах
Групповые учетные записи Принадлежат группе пользователей. Все члены группы могут использовать эти учетные данные. Для общих аккаунтов, к которым должны иметь доступ несколько пользователей (например, технический пользователь для мониторинга)
⚠️ Приоритет личных учетных записей

Если у пользователя есть и личная, и групповая учетная запись для одного и того же объекта, система всегда будет использовать личную учетную запись. Это позволяет пользователю иметь собственные учетные данные, которые имеют приоритет над групповыми.

Типы по способу подключения

Учетные записи также классифицируются по типу подключения к системе. Это помогает IDENTYX выбрать правильные учетные данные для конкретного способа доступа.

Тип Название Описание
universal Универсальная Подходит для любого типа подключения. Используется по умолчанию.
rdp RDP Для подключения к Windows серверам через Remote Desktop Protocol
ssh SSH Для подключения к Linux/Unix серверам через SSH (поддерживает пароль и приватный ключ)
vnc VNC Для подключения через VNC (Virtual Network Computing)
winbox Winbox Для подключения к оборудованию MikroTik через Winbox
vmware VMware Для подключения к виртуальной инфраструктуре VMware
proxmox Proxmox Для подключения к платформе виртуализации Proxmox
ℹ️ Когда использовать типизированные учетные записи

Если вы точно знаете, что учетные данные будут использоваться только для конкретного типа подключения (например, только для RDP), создайте типизированную учетную запись. Это повысит точность автоматической подстановки.

Если учетные данные могут использоваться для разных типов подключений, используйте универсальный тип.

Структура учетной записи

Каждая учетная запись в IDENTYX состоит из следующих компонентов:

Основные поля

Поле Обязательное Описание
Объект Да Объект в дереве безопасности IDENTYX, к которому относится учетная запись (например, конкретное приложение или сервер)
Тип Да Тип подключения (universal, rdp, ssh и т.д.)
Логин Да Имя пользователя для входа в систему
Пароль Нет Пароль для входа (хранится в зашифрованном виде)
Домен Нет Доменное имя (для Windows доменов и аналогичных систем)

Дополнительные поля

Для некоторых типов подключений доступны дополнительные поля:

  • Закрытый ключ (Private Key) — для SSH подключений с использованием ключей вместо паролей
  • Пароль от закрытого ключа (Passphrase) — если закрытый ключ защищен паролем
ℹ️ Шифрование данных

Все чувствительные данные (пароли, приватные ключи, passphrase) хранятся в зашифрованном виде в базе данных. Шифрование происходит автоматически при сохранении учетной записи, а расшифровка — только при необходимости использования.

Организация учетных записей

Привязка к объектам

Учетные записи в IDENTYX привязываются к объектам в дереве безопасности. Дерево объектов организовано иерархически:

/
├── app-guid-1/           (OIDC приложение)
│   ├── servers/
│   │   ├── web-server-1
│   │   └── web-server-2
│   └── databases/
│       └── postgres-1
└── app-guid-2/           (Другое приложение)
    └── infrastructure/
        └── router-1

Вы можете создать учетную запись для любого объекта в этом дереве. Например:

  • Учетная запись для /app-guid-1/servers/web-server-1 — будет использоваться только для этого конкретного сервера
  • Учетная запись для /app-guid-1/servers/ — будет использоваться для всех серверов, если нет более специфичной учетной записи
  • Учетная запись для /app-guid-1/ — будет использоваться для всех объектов внутри приложения

Когда приложению требуются учетные данные для конкретного объекта, IDENTYX выполняет поиск следующим образом:

  1. Ищет учетную запись для точного объекта (например, /app/servers/web-1)
  2. Если не найдено, поднимается на уровень выше (например, /app/servers/)
  3. Продолжает подниматься по дереву до корня приложения
  4. Если ничего не найдено, запрашивает ручной ввод у пользователя
✅ Пример поиска учетных записей

Приложение запрашивает учетные данные для объекта /myapp/servers/production/web-1.

IDENTYX последовательно проверяет наличие учетных записей в таком порядке:

  1. /myapp/servers/production/web-1 (точный объект)
  2. /myapp/servers/production (родительская папка)
  3. /myapp/servers (ещё выше)
  4. /myapp (корень приложения)

Система использует первую найденную учетную запись, соответствующую правилам приоритизации.

Приоритизация учетных записей

Когда для одного объекта существует несколько подходящих учетных записей, IDENTYX выбирает одну из них по следующим правилам приоритета:

Порядок приоритетов

Приоритет Тип учетной записи Описание
1 (высший) Типизированная личная Личная учетная запись пользователя с конкретным типом (rdp, ssh и т.д.)
2 Типизированная групповая Групповая учетная запись с конкретным типом
3 Универсальная личная Личная учетная запись универсального типа
4 (низший) Универсальная групповая Групповая учетная запись универсального типа
ℹ️ Как работает приоритизация

Когда приложение запрашивает учетные данные с указанием типа подключения (например, ssh), система сначала ищет типизированные учетные записи с типом ssh. Если типизированные не найдены, система ищет универсальные учетные записи, которые подходят для любого типа подключения.

На каждом уровне поиска личные учетные записи всегда имеют приоритет над групповыми.

Пример приоритизации

Предположим, пользователь Иван является членом группы "Администраторы" и пытается подключиться к серверу через SSH.

Для объекта /myapp/servers/web-1 существуют следующие учетные записи:

  • Личная учетная запись Ивана, тип ssh, логин ivan
  • Личная учетная запись Ивана, тип universal, логин admin
  • Групповая учетная запись группы "Администраторы", тип ssh, логин group_ssh
  • Групповая учетная запись группы "Администраторы", тип universal, логин shared_admin

При SSH подключении система выберет личную учетную запись Ивана с типом ssh (логин ivan), так как она имеет наивысший приоритет.

Множественные подходящие учетные записи

Если на одном уровне приоритета найдено несколько подходящих учетных записей (например, две личные SSH учетные записи для одного объекта), система не может автоматически выбрать одну из них.

В этом случае пользователю будет показан интерфейс выбора, где он может вручную выбрать, какую учетную запись использовать для данного подключения.

⚠️ Избегайте дубликатов

Чтобы автоматическая подстановка работала максимально эффективно, избегайте создания нескольких учетных записей с одинаковым типом и владельцем для одного объекта. Это приведет к необходимости ручного выбора каждый раз.

Безопасность и шифрование

IDENTYX обеспечивает высокий уровень безопасности хранения учетных данных:

🔒 Шифрование в базе данных

Все чувствительные данные (пароли, SSH-ключи, passphrase) автоматически шифруются перед сохранением в базу данных. Используется стойкое шифрование с индивидуальными ключами для каждого пользователя.

🔐 Индивидуальные ключи шифрования

Каждый пользователь имеет свой уникальный ключ шифрования. Это означает, что даже администраторы не могут просмотреть пароли других пользователей.

🌐 Безопасная передача

Все данные передаются между браузером и сервером только через защищенное HTTPS соединение. Даже в зашифрованном виде данные не передаются по незащищенным каналам.

📝 Журналирование доступа

Все операции с учетными записями (создание, изменение, удаление, использование) фиксируются в журнале событий безопасности для аудита.

Режимы просмотра учетных записей

Интерфейс управления учетными записями в IDENTYX предоставляет два режима просмотра:

Режим дерева

В режиме дерева вы видите:

  • Левая панель — дерево всех объектов системы с индикаторами наличия учетных записей (иконка золотого ключа)
  • Правая панель — список учетных записей для выбранного объекта, разделенный на личные и групповые

Этот режим удобен для навигации по иерархии объектов и понимания, где именно хранятся ваши учетные записи.

Режим списка

В режиме списка отображается плоская таблица всех ваших учетных записей со следующими столбцами:

  • Объект — к какому объекту относится учетная запись
  • Тип — тип подключения (universal, rdp, ssh и т.д.)
  • Логин — имя пользователя
  • Домен — доменное имя (если указано)

Этот режим удобен для быстрого поиска конкретной учетной записи по всем объектам.

ℹ️ Переключение режимов

Вы можете переключаться между режимами дерева и списка с помощью кнопок Дерево и Список в верхней части страницы управления учетными записями.

Управление доступом к учетным записям

Доступ к функциям управления учетными записями контролируется через систему прав IDENTYX:

  • Просмотр своих учетных записей — доступно всем пользователям по умолчанию
  • Создание личных учетных записей — требуется право на объект, для которого создается учетная запись
  • Создание групповых учетных записей — требуется членство в группе
  • Редактирование учетных записей — только владелец может редактировать свои личные УЗ; для групповых требуется членство в группе
  • Удаление учетных записей — аналогично редактированию
⚠️ Ограничения групповых учетных записей

Для создания, редактирования или удаления групповой учетной записи пользователь обязательно должен быть членом соответствующей группы. Даже администраторы не могут управлять групповыми учетными записями групп, в которых они не состоят.

Типовые сценарии использования

Сценарий 1: Личные учетные записи для серверов

Ситуация: Администратор Алексей работает с несколькими Linux серверами. У него есть личные SSH ключи для каждого сервера.

Решение:

  1. Алексей создает личные SSH учетные записи для каждого сервера в IDENTYX
  2. Указывает логин и загружает приватный ключ
  3. При подключении к серверу через IDENTYX Proxy система автоматически использует нужный SSH ключ
  4. Алексею не нужно каждый раз вручную указывать путь к ключу

Сценарий 2: Групповая учетная запись для мониторинга

Ситуация: В компании есть группа "Служба мониторинга", которая должна иметь доступ ко всем серверам для проверки их состояния. Используется единая техническая учетная запись monitoring.

Решение:

  1. Администратор создает групповую учетную запись для группы "Служба мониторинга"
  2. Привязывает её к корневому объекту серверов /infrastructure/servers/
  3. Указывает логин monitoring и пароль
  4. Все члены группы автоматически получают доступ к этой учетной записи для всех серверов
  5. При увольнении сотрудника достаточно удалить его из группы — доступ к учетной записи будет автоматически закрыт

Сценарий 3: Комбинация личных и групповых

Ситуация: Есть группа "Разработчики" с групповой учетной записью для тестовых серверов. Но главный разработчик Мария имеет также личную учетную запись с расширенными правами.

Решение:

  1. Групповая учетная запись developer создается для группы "Разработчики"
  2. Мария создает себе личную учетную запись maria_admin для тех же серверов
  3. Когда Мария подключается к серверу, система использует её личную учетную запись (более высокий приоритет)
  4. Другие члены группы используют групповую учетную запись

Дополнительную информацию об учетных записях смотрите в следующих разделах:

✅ Готовы продолжить?

Переходите к разделу 40. Личные учетные записи, чтобы узнать, как создавать и управлять своими личными учетными записями.