Групповые учетные записи

ℹ️ О разделе

В этом разделе описывается работа с групповыми учетными записями — общими учетными данными, которые могут использовать все члены группы. Групповые учетные записи упрощают управление доступом к приложениям и системам для команд и отделов.

Что такое групповые учетные записи

Групповые учетные записи — это учетные данные (логин, пароль, домен, SSH ключи), которые привязываются к группе пользователей, а не к отдельному пользователю. Все члены группы получают доступ к этим учетным записям и могут использовать их для входа в приложения и системы.

👥 Общий доступ

Все члены группы имеют доступ к групповым учетным записям без необходимости создавать отдельные личные учетные записи.

🔄 Централизованное управление

Изменение учетных данных группы автоматически применяется для всех её членов, что упрощает администрирование.

🔐 Безопасность

Учетные данные шифруются и хранятся безопасно. При удалении пользователя из группы он теряет доступ к групповым УЗ.

Когда использовать групповые учетные записи

Групповые учетные записи полезны в следующих сценариях:

  • Командный доступ — когда несколько сотрудников работают с одними и теми же системами
  • Сервисные учетные записи — для доступа к общим серверам, базам данных, сетевым устройствам
  • Тестовые среды — общие учетные записи для тестирования приложений
  • Временный доступ — для подрядчиков и временных сотрудников через добавление в группу
  • Отделы и подразделения — учетные записи для доступа к ресурсам всего отдела

Создание групповой учетной записи

Для создания групповой учетной записи выполните следующие шаги:

  1. Перейдите в раздел Учетные записи через главное меню
  2. Убедитесь, что выбран режим отображения Дерево (кнопка с иконкой дерева)
  3. В левой панели выберите объект безопасности, для которого нужно создать учетную запись
  4. Нажмите кнопку Добавить в правой панели
  5. В открывшемся окне выберите тип владельца Групповая учетная запись
  6. Выберите группу из выпадающего списка
  7. Заполните обязательные поля учетной записи
  8. Нажмите кнопку Создать
⚠️ Требование

Создавать групповые учетные записи может только пользователь, который является членом выбранной группы. Если вы не видите нужную группу в списке, обратитесь к администратору для добавления вас в эту группу.

Поля учетной записи

При создании или редактировании групповой учетной записи доступны следующие поля:

Поле Описание Обязательное
Тип владельца Выбор между личной и групповой учетной записью (только при создании) Да
Группа Группа-владелец учетной записи (только при создании) Да
Объект Объект безопасности или приложение, к которому относится УЗ Да
Логин Имя пользователя для входа Да
Пароль Пароль для входа (можно сгенерировать автоматически) Нет
Домен Доменное имя (для Windows-систем и RDP) Нет
Тип УЗ Тип учетной записи: Universal, RDP, SSH, VNC, Winbox, VMware, Proxmox Да
Закрытый ключ SSH приватный ключ (для типа SSH) Нет
Passphrase Фраза-пароль для расшифровки закрытого ключа Нет

Типы учетных записей

Групповые учетные записи поддерживают те же типы, что и личные:

⭐ Universal (Универсальная)

Универсальный тип, подходит для любых приложений и систем. Используется, когда не требуется специфическая типизация.

🖥️ RDP

Для удаленного подключения к Windows-серверам через Remote Desktop Protocol. Поддерживает домен, логин и пароль.

🔧 SSH

Для подключения к Linux/UNIX серверам через SSH. Поддерживает как пароль, так и приватный ключ.

👁️ VNC

Для удаленного управления рабочим столом через Virtual Network Computing.

📡 Winbox

Для подключения к маршрутизаторам и сетевому оборудованию MikroTik.

🖧 VMware

Для подключения к виртуальным машинам и серверам VMware ESXi, vCenter.

🖧 Proxmox

Для подключения к виртуальным машинам и серверам на платформе Proxmox VE.

Просмотр групповых учетных записей

Групповые учетные записи отображаются в разделе Учетные записи вместе с личными, но имеют визуальные отличия:

  • Иконка группы — рядом с названием типа отображается значок pi-users
  • Бейдж группы — показывается название группы-владельца учетной записи
  • Цветовая индикация — групповые УЗ имеют голубую левую границу (личные — синюю)
  • Отдельный раздел — в режиме дерева групповые УЗ показываются под заголовком "Учетные записи групп"

В режиме Список вы увидите только ваши личные учетные записи. Чтобы увидеть групповые УЗ, используйте режим Дерево.

Редактирование групповой учетной записи

Для редактирования существующей групповой учетной записи:

  1. Перейдите в раздел Учетные записи
  2. Выберите режим Дерево
  3. Найдите нужный объект в левой панели
  4. В правой панели в разделе "Учетные записи групп" найдите нужную учетную запись
  5. Нажмите на карточку учетной записи или кнопку с иконкой карандаша
  6. Внесите необходимые изменения
  7. Нажмите Сохранить
⚠️ Ограничение

Редактировать групповые учетные записи могут только члены группы-владельца. После создания учетной записи нельзя изменить группу-владельца — для этого нужно создать новую учетную запись.

Удаление групповой учетной записи

Для удаления групповой учетной записи:

  1. Откройте учетную запись для редактирования
  2. В нижней части окна редактирования нажмите кнопку Удалить
  3. Подтвердите удаление в диалоговом окне
🚫 Внимание

При удалении групповой учетной записи все члены группы потеряют доступ к этим учетным данным. Операция необратима — удаленную учетную запись невозможно восстановить.

Приоритет учетных записей

Когда приложению требуются учетные данные для входа, IDENTYX использует следующий порядок приоритетов:

  1. Личная типизированная — если у пользователя есть личная УЗ нужного типа (RDP, SSH и т.д.)
  2. Групповая типизированная — если в группах пользователя есть УЗ нужного типа
  3. Личная универсальная — если у пользователя есть универсальная личная УЗ
  4. Групповая универсальная — если в группах пользователя есть универсальная УЗ
ℹ️ Важно

Личные учетные записи всегда имеют приоритет над групповыми. Это позволяет пользователям переопределять групповые настройки своими личными учетными данными при необходимости.

Поиск по дереву объектов

При поиске учетных записей система использует алгоритм восхождения по дереву объектов:

  1. Сначала ищутся учетные записи на уровне запрошенного объекта
  2. Если не найдены — поиск продолжается на родительском уровне
  3. Процесс повторяется до корня дерева объектов
  4. На каждом уровне применяется приоритет (личные → групповые, типизированные → универсальные)

Это позволяет создавать учетные записи на уровне приложения (корневой объект), и они будут автоматически доступны для всех вложенных объектов этого приложения.

Управление доступом к групповым УЗ

Доступ к групповым учетным записям регулируется членством в группе:

  • Создание — может любой член группы
  • Просмотр — доступен всем членам группы
  • Редактирование — может любой член группы
  • Удаление — может любой член группы
  • Использование — автоматически для всех членов группы
✅ Автоматическое управление

При добавлении пользователя в группу он автоматически получает доступ ко всем групповым учетным записям. При удалении из группы доступ автоматически отзывается.

Предотвращение дубликатов

Система автоматически проверяет дубликаты учетных записей по комбинации:

  • Группа — ID группы-владельца
  • Объект — путь к объекту безопасности
  • Домен — доменное имя (может быть пустым)
  • Логин — имя пользователя

Если в одной группе для одного объекта уже существует учетная запись с такой же комбинацией домен+логин, создание или изменение будет отклонено с сообщением об ошибке.

Шифрование учетных данных

Все групповые учетные записи хранятся в зашифрованном виде:

  • Шифрование на уровне базы данных — используется тип поля encrypted_jsonb
  • Ключ шифрования — уникальный ключ, основанный на идентификаторе приложения
  • Расшифровка при использовании — учетные данные расшифровываются только в момент передачи приложению
  • Безопасная передача — все данные передаются только по защищенному соединению HTTPS

Использование в приложениях

Групповые учетные записи автоматически используются интегрированными приложениями:

  • OIDC приложения — получают учетные записи через API
  • IDENTYX Proxy — автоматически подставляет учетные данные в запросы
  • Прямой API — приложения могут запрашивать учетные записи напрямую

При запросе учетных данных приложением система автоматически определяет группы пользователя и применяет алгоритм приоритетов для выбора наиболее подходящей учетной записи.

Множественные учетные записи

Если для одного объекта и типа найдено несколько подходящих учетных записей (например, несколько групп имеют УЗ для одного приложения), пользователю будет предложен интерфейс выбора конкретной учетной записи.

ℹ️ Рекомендация

Для избежания необходимости выбора рекомендуется создавать групповые УЗ на разных уровнях дерева объектов или использовать разные типы учетных записей для разных целей.

Каскадное удаление

При удалении группы автоматически удаляются все связанные с ней групповые учетные записи. Это обеспечивает целостность данных и предотвращает появление "осиротевших" учетных записей.

⚠️ Внимание

Перед удалением группы убедитесь, что члены группы не зависят от групповых учетных записей для доступа к критически важным системам. После удаления группы восстановить её учетные записи будет невозможно.

Лучшие практики

Рекомендации по работе с групповыми учетными записями:

  • Используйте для команд — создавайте групповые УЗ для командного доступа, а не дублируйте личные
  • Регулярно обновляйте — меняйте пароли групповых учетных записей согласно политикам безопасности
  • Документируйте назначение — используйте понятные названия объектов и групп
  • Ограничивайте группы — включайте в группы только тех пользователей, кому действительно нужен доступ
  • Используйте типизацию — указывайте правильный тип УЗ (RDP, SSH и т.д.) для корректной приоритезации
  • Проверяйте доступ — периодически аудируйте, кто имеет доступ к групповым УЗ через членство в группах
  • Используйте иерархию — создавайте УЗ на правильном уровне дерева объектов для переиспользования

Решение проблем

Не вижу нужную группу при создании УЗ

Вы должны быть членом группы, чтобы создавать для неё учетные записи. Обратитесь к администратору для добавления в нужную группу.

Не могу отредактировать групповую УЗ

Убедитесь, что вы все еще являетесь членом группы-владельца. Если вас удалили из группы, вы потеряете доступ к редактированию её учетных записей.

Приложение использует не ту учетную запись

Проверьте приоритеты учетных записей. Если у вас есть личная УЗ, она всегда будет использоваться вместо групповой. Удалите личную УЗ, чтобы использовать групповую.

Не вижу групповые УЗ в списке

Групповые учетные записи отображаются только в режиме Дерево. Переключитесь на этот режим с помощью кнопки вверху страницы.

✅ Готовы продолжить?

Переходите к разделу Автоподстановка учетных записей для изучения того, как IDENTYX автоматически выбирает и подставляет учетные записи в приложения.