Пользователи и роли¶
На странице Пользователи и роли доступны вкладки Пользователи, Роли и Права.
Права доступа¶
На вкладке Права приведены все существующие в системе права доступа и их описание. С помощью данного набора прав можно гибко создавать требующиеся для работы роли пользователей с необходимыми привилегиями.
Права доступа в системе относятся к нескольким разделам:
- Политики безопасности.
- Менеджеры репозиториев и репозитории.
- Команды и приложения.
- Разблокировка.
- Пользователи и роли.
- Настройки.
- Исключения, применяемые для прочих разделов.
При присваивании определенного права, нужно учитывать, зависит ли оно от какого-либо другого права в системе. Если пользователю присвоено право доступа, но не присвоено право, от которого оно зависит, такое право не будет иметь смысла.
Зависимость прав друг от друга выстроена с учетом уровней иерархии объектов:
- Глобальный уровень
- Менеджер репозиториев
- Репозиторий
- Команда
- Приложение
- Менеджер репозиториев
Для доступа к определенному разделу и его функционалу, пользователю должны быть добавлены роли с соответствующими правами. Роль пользователя также должна быть привязана к определенному объекту.
| Описание | Право доступа | Зависит от | Допустимый уровень |
|---|---|---|---|
| Политики безопасности | |||
| Просмотр политик | VIEW_RULE | Для доступа к OSA - VIEW_OSA, для доступа к SCA - VIEW_SCA | Глобальный, Менеджер репозиториев, Репозиторий, Команда, Приложение |
| Создание, редактирование политик, добавление и удаление правил внутри политики | EDIT_RULE | VIEW_RULE Для доступа к OSA - VIEW_OSA, для доступа к SCA - VIEW_SCA |
Глобальный, Менеджер репозиториев, Репозиторий, Команда, Приложение |
| Деактивация политики | DELETE_RULE | VIEW_RULE Для доступа к OSA - VIEW_OSA, для доступа к SCA - VIEW_SCA |
Глобальный, Менеджер репозиториев, Репозиторий, Команда, Приложение |
| Менеджеры репозиториев и репозитории | |||
| Просмотр данных по OSA. Просмотр всей информации по плагину и репозиторию, в зависимости от доступного объекта | VIEW_OSA | Глобальный, Менеджер репозиториев, Репозиторий | |
| Удаление данных OSA. Отключение подключенного менеджера репозиториев и репозитория, в зависимости от доступного объекта | DELETE_OSA | VIEW_OSA | Глобальный, Менеджер репозиториев, Репозиторий |
| Редактирование данных OSA. Редактирование менеджеров репозиториев и репозиториев, в зависимости от доступного объекта | EDIT_OSA | VIEW_OSA | Глобальный, Менеджер репозиториев, Репозиторий |
| Просмотр списка пользователей внутри менеджеров репозиториев и репозиториев | VIEW_USER | VIEW_OSA | Менеджер репозиториев, Репозиторий |
| Команды и приложения | |||
| Просмотр данных по SCA. Просмотр всей информации по команде и приложению, в зависимости от доступного объекта | VIEW_SCA | Глобальный, Команда, Приложение | |
| Редактирование данных SCA. Редактирование команды и приложения, в зависимости от доступного объекта | EDIT_SCA | VIEW_SCA | Глобальный, Команда, Приложение |
| Удаление данных SCA. Удаление команды и приложения, в зависимости от доступного объекта | DELETE_SCA | VIEW_SCA | Глобальный, Команда, Приложение |
| Просмотр отчетов | VIEW_SCA_REPORT | VIEW_SCA | Глобальный, Команда, Приложение |
| Просмотр страницы информации о компоненте | VIEW_INFO | VIEW_SCA | Глобальный, Команда, Приложение |
| Создание отчета сканирования | APPLICATIONS_CREATE_REPORT | VIEW_SCA | Глобальный, Команда, Приложение |
| Сканирование SBOM через UI | APPLICATIONS_SCAN_SBOM_UI | VIEW_SCA | Глобальный, Команда, Приложение |
| Сканирование SBOM через API | APPLICATIONS_SCAN_SBOM_API | VIEW_SCA | Глобальный, Команда, Приложение |
| Просмотр списка пользователей внутри команд и приложений | VIEW_USER | VIEW_SCA | Команда, Приложение |
| Пользователи и роли. Роли | |||
| Просмотр списка ролей | VIEW_ROLE | Глобальный | |
| Редактирование роли (изменение имени, добавление прав) | EDIT_ROLE | VIEW_ROLE | Глобальный |
| Деактивация роли | DELETE_ROLE | VIEW_ROLE | Глобальный |
| Пользователи и роли. Права | |||
| Просмотр списка прав доступа | VIEW_AUTHORITIES | Глобальный | |
| Пользователи и роли. Пользователи | |||
| Просмотр списка пользователей | VIEW_USER | Глобальный | |
| Редактирование пользователей (изменение паролей, ролей) | EDIT_USER | VIEW_USER | Глобальный |
| Деактивация пользователя | DELETE_USER | VIEW_USER | Глобальный |
| Настройки. Сервис данных | |||
| Просмотр списка подключенных облачных сервисов данных | VIEW_BACKEND | Глобальный | |
| Редактирование списка облачных сервисов данных | EDIT_BACKEND | VIEW_BACKEND | Глобальный |
| Деактивация подключенного сервиса | DELETE_BACKEND | VIEW_BACKEND | Глобальный |
| Просмотр списка прокси | VIEW_PROXY | Глобальный | |
| Редактирование прокси серверов | EDIT_PROXY | VIEW_PROXY | Глобальный |
| Удаление прокси сервера | DELETE_PROXY | VIEW_PROXY | Глобальный |
| Настройки. LDAP | |||
| Настройка LDAP-соединения и распределение групп | CONFIG_LDAP | Глобальный | |
| Настройки. Kaspersky Feed | |||
| Пользователь имеет право настраивать Kaspersky Feed | CONFIG_KASPERSKY | Глобальный | |
| Настройки. Уведомления | |||
| Просмотр настроек сервера уведомлений | VIEW_NOTIFICATION | Глобальный | |
| Изменение настроек сервера уведомлений | EDIT_NOTIFICATION | VIEW_NOTIFICATION | Глобальный |
| Просмотр логов действий пользователей в системе | VIEW_USER_LOG | VIEW_NOTIFICATION | Глобальный |
| Исключения | |||
| Просмотр исключений | VIEW_WAVE | Глобальный | |
| Создание, редактирование исключения | EDIT_WAVE | VIEW_WAVE | Глобальный |
| Удаление исключения | DELETE_WAVE | VIEW_WAVE | Глобальный |
| Просмотр логов запросов со стороны плагина | VIEW_REQUEST_LOG | Глобальный | |
| Разблокировка | |||
| Просмотр раздела с созданными запросами | VIEW_UNBLOCK | Глобальный | |
| Редактирование или обработка запроса на разблокировку | EDIT_UNBLOCK | VIEW_UNBLOCK | Глобальный |
| Удаление запроса на разблокировку | DELETE_UNBLOCK | VIEW_UNBLOCK | Глобальный |
Примечание
При миграции прав доступа пользователей устаревшие права EDIT/DELETE/VIEW_PLUGIN и EDIT/DELETE/VIEW_REPO будут автоматически заменены на EDIT/DELETE/VIEW OSA.
Пользователи и роли¶
Роли пользователей¶
В системе существует три предустановленных роли пользователей, которые можно редактировать, как и все вновь созданные роли:
- SUPER_ADMIN.
- Инженер ИБ.
- Аналитик ИБ.
Все роли пользователей в системе разделяются на:
- Глобальные, то есть относящиеся ко всем объектам в системе (ко всей системе в целом).
- Относящиеся только к некоторым конкретным объектам в системе (локальные), например, к одному или нескольким репозиториям, менеджерам репозиториев, командам или приложениям.
Например, предустановленная роль Аналитик ИБ, присвоенная пользователю на глобальном уровне, позволит ему работать со всеми политиками в системе, а та же самая предустановленная роль Аналитик ИБ, присвоенная на уровне конкретного репозитория, позволит работать только с политиками для этого конкретного репозитория.
Также система предоставляет гибкий механизм управления ролями, включающий в себя:
- Создание новых ролей.
- Редактирование ролей.
- Удаление ролей.
- Присваивание созданных ролей пользователям.
Создание, редактирование и удаление ролей¶
Выберите пункт Пользователи и роли в меню слева и перейдите на вкладку Роли, чтобы посмотреть список существующих в системе ролей.
Для каждой роли указаны ее имя и присвоенные ей в системе права. Более подробная информация о правах доступа приведена в разделе «Права доступа».
Права можно отредактировать, нажав на иконку 
, расположенную справа в строке роли.
В появившемся окне отметьте необходимые для роли права и нажмите кнопку Сохранить.
Примечание
Отдельные права дают возможность просматривать, редактировать, создавать или удалять объекты определенного типа в системе. Например, для просмотра ролей в системе у пользователя должны быть права VIEW_ROLE. Для редактирования прав роли у пользователя, редактирующего роль, должны быть права EDIT_ROLE. Для удаления роли у пользователя, удаляющего роль, должны быть права DELETE_ROLE.
В случае отсутствия прав на просмотр и совершение операций с объектами определенного типа или на работу с конкретными объектами в системе, пользователь либо не будет их видеть на соответствующей странице, либо будет их видеть, но получать сообщение об отсутствии прав при попытке совершить какое-либо действие, либо будет видеть их в неактивном состоянии и не будет иметь возможности работать с элементами пользовательского интерфейса, позволяющими производить с этими объектами какие-либо действия.
Например, в случае отсутствия прав на просмотр правил в системе (VIEW_RULE), пользователь будет видеть пустую страницу Политики.
Роль можно удалить, нажав на иконку 
в ее строке.
Для создания роли в системе нажмите кнопку Добавить роль справа вверху на вкладке Роли. В появившемся окне введите имя новой роли, отметьте необходимые для нее права и нажмите на кнопку Сохранить.
Вновь созданная роль появится в списке ролей в системе.
Присваивание ролей пользователям¶
Выберите пункт Пользователи и роли в меню слева и перейдите на вкладку Пользователи, чтобы посмотреть список существующих в системе пользователей. Для каждого пользователя указаны его имя и присвоенные ему в системе роли.
Пользователей можно отфильтровать по статусу в системе (активен/неактивен), по именам и по ролям в системе.
Глобальные роли в столбце Роль пользователя отмечены значком 
и относятся ко всей системе в целом.
Наведите курсор мыши на локальную роль пользователя, чтобы увидеть список объектов в системе, для которых эта роль присвоена пользователю.
Роль(и) пользователя в системе можно изменить, нажав на строку пользователя.
На странице Редактирование пользователя можно выбрать для пользователя глобальные роли из списка слева внизу.
Также на странице Редактирование пользователя добавьте и/или удалите необходимые для пользователя локальные роли на вкладках Команды, Приложения, Плагины и Репозитории, нажав на расположенные слева вверху вкладки кнопки выбора или удаления.
В появившемся окне Выбор группы выберите необходимые объекты и права пользователя для работы с ними и нажмите на кнопку Добавить.
После присваивания пользователю глобальных и локальных ролейи нажмите на кнопку Сохранить на странице Редактирование пользователя.
Изменение пароля пользователя¶
Пароль пользователя в системе можно изменить, нажав на строку пользователя.
На странице Редактирование пользователя в поле Пароль введите новый пароль, отвечающий требованиям парольной политики, и нажмите на кнопку Сохранить.
Парольная политика¶
Для паролей пользователей в системе установлена парольная политика, согласно которой минимальная длина пароля должна составлять 15 символов, и при этом пароль должен соответствовать как минимум двум из трех следующих требований:
- Пароль должен содержать как минимум одну заглавную букву.
- Пароль должен содержать как минимум одну цифру.
- Пароль должен содержать как минимум один специальный символ.
После 10 неуспешных попыток авторизации происходит блокировка пользователя на 15 минут. В этом случае при попытке входа система выдаст сообщение «Пользователь временно заблокирован».
Для пользователей, созданных в системе до введения парольной политики, установлено следующее правило миграции: установленные парольной политикой требования не применяются до первой смены пароля.
Все параметры парольной политики задаются в конфигурационном файле application.yml, соответствующий фрагмент файла приведен ниже:
password:
min-length: 15
min-lowercase: 1
min-uppercase: 1
min-digits: 1
min-symbols: 1
login-max-attempts: 10
failure-timeout: 15m
Каждому из параметров в конфигурационном файле application.yml нельзя в отдельности присвоить значение 0. Возможно одновременное присваивание всем параметрам значения 0, в этом случае парольная политика в системе не будет применяться.
Активация/деактивация пользователя¶
Активировать/деактивировать пользователя в системе можно, нажав на иконку 
в столбце Действия в строке пользователя.
Добавление пользователя¶
Чтобы создать нового пользователя в системе, выберите пункт Пользователи и роли в меню слева, перейдите на вкладку Пользователи и нажмите кнопку Добавить пользователя.
На странице Создание пользователя введите имя, адрес электронной почты, пароль нового пользователя, отвечающий требованиям парольной политики, задайте необходимые для пользователя глобальные и локальные роли и нажмите на кнопку Сохранить.
Примечание
Адрес электронной почты пользователя используется в качестве логина и может содержать только цифры, английские буквы, а также символы «@», «_», «-» и «.». Адрес электронной почты пользователя должен быть уникальным в системе.
Примечание
Имя пользователя является дополнительным параметром, позволяющим идентифицировать пользователя в системе, и может не быть уникальным.
Примечание
Добавление LDAP-пользователей происходит автоматически при их авторизации.
Удаление пользователя¶
Чтобы удалить пользователя, нажмите иконку в соответствующей ему строке. Можно удалить как неактивного, так и активного пользователя, в том числе в момент его работы в системе, при этом текущий сеанс работы удаленного пользователя будет прерван.
После удаления пользователь не сможет авторизоваться в системе. При удалении пользователя из системы удаляется любая связанная с ним информация, кроме информации на вкладке Лог действий пользователей.
Существует возможность после удаления пользователя создать в системе нового пользователя с таким же именем.
Примечание
В системе нельзя удалить пользователя admin@localhost с ролью SUPER_ADMIN.
Кроме того, пользователь не может удалить сам себя.