Общие параметры системы

ℹ️ О документе

В этом разделе описываются базовые настройки системы IDENTYX, включая название системы, URL для интеграций, временную зону и API-ключ для доступа к журналу безопасности.

Доступ к настройкам

Для доступа к настройкам системы:

  1. Войдите в систему под учетной записью администратора
  2. Перейдите в раздел Настройки через главное меню
  3. Откройте вкладку Настройки
  4. Найдите секцию Общее в дереве параметров
⚠️ Права доступа

Изменение общих параметров системы доступно только пользователям с правами суперадминистратора IAM. Обычные пользователи и локальные администраторы не имеют доступа к этим настройкам.

Название системы

Параметр: system_name

Этот параметр определяет название системы, которое отображается в интерфейсе пользователя. По умолчанию установлено значение "Identyx", но вы можете изменить его на название вашей организации или проекта.

Где отображается название системы

  • Заголовок веб-интерфейса — в шапке административной панели
  • Страница входа — при аутентификации пользователей
  • Email-уведомления — в письмах, отправляемых системой
  • Страница "О системе" — в информации о продукте

Как изменить название

  1. Перейдите в раздел НастройкиНастройки
  2. Разверните секцию Общее
  3. Найдите поле Название системы
  4. Введите новое название (например, "IAM Компания XYZ")
  5. Нажмите кнопку Сохранить внизу страницы
✅ Рекомендация

Используйте короткое и понятное название, которое легко идентифицируется вашими пользователями. Избегайте слишком длинных названий, которые могут некорректно отображаться в интерфейсе.

Эндпоинты для интеграций

Параметр: iam_url

Этот параметр определяет базовый URL вашей системы IDENTYX, который используется для интеграции с внешними приложениями и сервисами. URL должен быть доступен из сети, где работают интегрируемые приложения.

Для чего используется URL

🔐 OIDC интеграция

Формирование эндпоинтов OpenID Connect для авторизации, токенов и информации о пользователе:

  • /oidc/authorize
  • /oidc/token
  • /oidc/userinfo
  • /.well-known/openid-configuration
🌐 OAuth провайдеры

Формирование redirect_uri для российских OAuth провайдеров:

  • Сбер ID: /login/sber
  • ЕСИА: /login/esia
  • Яндекс ID: /login/yandex
  • VK ID: /login/vk
📧 Email-уведомления

Формирование ссылок в письмах для:

  • Сброса пароля
  • Подтверждения email
  • Активации учетной записи
🔗 Backchannel Logout

Автоматическое завершение сессий в приложениях при выходе пользователя из IAM системы.

Формат URL

URL должен соответствовать следующим требованиям:

  • Начинаться с https:// (использование HTTP не рекомендуется по соображениям безопасности)
  • Содержать доменное имя или IP-адрес
  • Не должен заканчиваться на слеш (/)
  • Должен быть доступен из сети интегрируемых приложений

Примеры правильных URL:

  • https://iam.mycompany.ru
  • https://identyx.example.com
  • https://192.168.1.100
  • https://iam.mycompany.ru:8443 (с нестандартным портом)
⚠️ Важно

При изменении URL системы необходимо обновить настройки во всех интегрированных приложениях и внешних OAuth провайдерах (Сбер ID, ЕСИА, VK ID и т.д.). В противном случае аутентификация работать не будет.

Работа в Docker окружении

Если IDENTYX развернут в Docker, параметр iam_url может быть переопределен через переменную окружения APP_IDENTYX_URL в файле docker-compose.yml. В этом случае значение из переменной окружения имеет приоритет над значением из базы данных.

environment:
  - APP_IDENTYX_URL=https://iam.mycompany.ru
ℹ️ Проверка переопределения

В интерфейсе настроек рядом с полем URL будет показано уведомление, если значение переопределено через переменную окружения.

Временная зона

Параметр: time_zone

Этот параметр определяет временную зону, в которой работает ваша организация. Временная зона используется для корректного отображения времени событий в журнале безопасности, времени создания сессий и других временных меток.

Значение по умолчанию

По умолчанию установлена временная зона Europe/Moscow (UTC+3).

Поддерживаемые временные зоны

IDENTYX поддерживает все стандартные временные зоны PHP. Полный список доступен в документации PHP: https://www.php.net/manual/ru/timezones.php

Примеры часто используемых временных зон:

Временная зона Описание Смещение UTC
Europe/Moscow Московское время UTC+3
Europe/Samara Самарское время UTC+4
Asia/Yekaterinburg Екатеринбургское время UTC+5
Asia/Omsk Омское время UTC+6
Asia/Krasnoyarsk Красноярское время UTC+7
Asia/Irkutsk Иркутское время UTC+8
Asia/Yakutsk Якутское время UTC+9
Asia/Vladivostok Владивостокское время UTC+10
Europe/Kaliningrad Калининградское время UTC+2
UTC Всемирное координированное время UTC+0

Как изменить временную зону

  1. Перейдите в раздел НастройкиНастройки
  2. Разверните секцию Общее
  3. Найдите поле Временная зона работы организации
  4. Введите идентификатор временной зоны (например, Asia/Yekaterinburg)
  5. Нажмите кнопку Сохранить внизу страницы
  6. Дождитесь перезапуска сервиса (происходит автоматически после сохранения)
⚠️ Влияние на существующие записи

Изменение временной зоны влияет только на новые записи в журнале событий. Существующие записи сохраняют временные метки в той зоне, которая была активна на момент их создания.

API-ключ для журнала безопасности

Параметр: security_journal_api_key

Этот параметр определяет секретный ключ для доступа к API журнала безопасности. API позволяет внешним системам мониторинга и SIEM-решениям получать события безопасности из IDENTYX в режиме реального времени.

Использование API-ключа

API-ключ передается в заголовке HTTP-запроса X-API-KEY при обращении к эндпоинтам журнала безопасности:

GET /api/security-journal/events HTTP/1.1
Host: iam.mycompany.ru
X-API-KEY: ваш-секретный-ключ-здесь

Генерация API-ключа

Для генерации нового API-ключа можно использовать встроенный скрипт системы:

php /path/to/identyx/api/Scripts/generate_security_journal_api_key.php

Скрипт сгенерирует случайный безопасный ключ и автоматически сохранит его в базе данных.

✅ Безопасность

API-ключ должен быть длинным (не менее 32 символов) и содержать случайные символы. Никогда не используйте простые пароли или предсказуемые последовательности. Храните ключ в безопасном месте и не публикуйте его в открытых репозиториях кода.

Изменение API-ключа

  1. Перейдите в раздел НастройкиНастройки
  2. Разверните секцию Общее
  3. Найдите поле API-ключ для доступа к журналу безопасности
  4. Введите новый ключ или используйте генератор паролей
  5. Нажмите кнопку Сохранить внизу страницы
⚠️ Важно

После изменения API-ключа необходимо обновить ключ во всех внешних системах, которые обращаются к API журнала безопасности. Старый ключ перестанет работать немедленно после сохранения новых настроек.

Доступные эндпоинты API

С помощью API-ключа можно получить доступ к следующим эндпоинтам:

  • GET /api/security-journal/events — получение списка событий безопасности
  • GET /api/security-journal/events/{id} — получение конкретного события
  • GET /api/security-journal/statistics — получение статистики по событиям

Подробная документация по API журнала безопасности доступна в разделе REST API документация.

Сохранение настроек

После изменения любых параметров в разделе Общее:

  1. Нажмите кнопку Сохранить, расположенную в правом нижнем углу страницы
  2. Дождитесь сообщения "Параметры сохранены"
  3. Система автоматически перезапустит необходимые сервисы (может занять несколько секунд)
🚫 Не забывайте сохранять

Изменения в настройках не применяются автоматически. Если вы закроете страницу настроек без нажатия кнопки Сохранить, все изменения будут потеряны.

Решение проблем

URL системы не работает после изменения

Причина: Интегрированные приложения используют старый URL или новый URL недоступен из сети.

Решение:

  • Убедитесь, что новый URL доступен из браузера и из сети интегрированных приложений
  • Проверьте настройки DNS и firewall
  • Обновите redirect_uri во всех OAuth провайдерах (Сбер ID, ЕСИА и т.д.)
  • Обновите настройки OIDC в интегрированных приложениях

Время в журнале отображается неправильно

Причина: Неправильно указана временная зона или изменения еще не применились.

Решение:

  • Проверьте правильность написания идентификатора временной зоны (например, Europe/Moscow, а не Moscow)
  • Убедитесь, что вы нажали кнопку Сохранить после изменения
  • Дождитесь автоматического перезапуска сервиса
  • Обновите страницу браузера (Ctrl+F5)

API-ключ не работает

Причина: Ключ передан неправильно или не сохранен в системе.

Решение:

  • Убедитесь, что ключ передается в заголовке X-API-KEY, а не в теле запроса
  • Проверьте, что ключ не содержит лишних пробелов в начале или в конце
  • Убедитесь, что вы сохранили изменения после ввода нового ключа
  • Проверьте, что в системе не используется переопределение параметра через переменные окружения
✅ Готовы продолжить?

Теперь вы можете настроить параметры безопасности системы. Переходите к разделу Параметры безопасности для настройки политик паролей, двухфакторной аутентификации и других параметров безопасности.