Пользователи и роли¶
Система предоставляет встроенное управление привилегиями, ролями и пользователями для обеспечения безопасности.
При выборе пункта Пользователи и роли в вертикальном меню слева можно выбрать один из появившихся подпунктов: Пользователи, Роли или Права.
Права доступа¶
В вертикальном меню слева выберите пункт Пользователи и роли, а затем подпункт Права.
На странице Права приведены все существующие в системе права доступа и их описание. С помощью данного набора прав можно гибко создавать требующиеся для работы роли пользователей с необходимыми привилегиями.
Права доступа в системе затрагивают несколько разделов:
- Политики безопасности.
- Менеджеры репозиториев и репозитории.
- Команды и приложения.
- Разблокировка.
- Пользователи и роли.
- Настройки.
- Исключения, применяемые для прочих разделов.
- Дашборды.
Права имеют иерархическую структуру и одни права в системе могут зависеть от других, что следует учитывать при их присваивании роли. Если роли не присвоены права, стоящие по иерархии выше назначенного права, то такое право не будет работать.
Зависимость прав друг от друга выстроена с учетом уровней иерархии объектов:
- Глобальный уровень.
- Менеджер репозиториев (OSA).
- Репозиторий.
- Команда (SCA).
- Приложение.
- Менеджер репозиториев (OSA).
Например
Право доступа VIEW_RULE предоставляет доступ на просмотр политик (например, на глобальном уровне). Право доступа VIEW_OSA предоставляет доступ на просмотр менеджеров репозиториев, однако, оно зависит от VIEW_RULE, так как просмотр результатов сканирования компонентов в репозиториях без доступа на просмотр политик, по которым идёт сканирование, не имеет смысла, и VIEW_OSA без VIEW_RULE работать не будет.
| Описание | Право доступа | Зависит от | Допустимый уровень |
|---|---|---|---|
| Политики безопасности | |||
| Просмотр политик | VIEW_RULE | Для доступа к OSA - VIEW_OSA, для доступа к SCA - VIEW_SCA. Без VIEW_OSA/VIEW_SCA можно просматривать глобальные политики | Глобальный, Менеджер репозиториев, Репозиторий, Команда, Приложение |
| Создание, редактирование политик, добавление и удаление правил внутри политики | EDIT_RULE | VIEW_RULE Для доступа к OSA - VIEW_OSA, для доступа к SCA - VIEW_SCA. Без VIEW_OSA/VIEW_SCA можно редактировать глобальные политики |
Глобальный, Менеджер репозиториев, Репозиторий, Команда, Приложение |
| Деактивация политики | DELETE_RULE | VIEW_RULE Для доступа к OSA - VIEW_OSA, для доступа к SCA - VIEW_SCA. Без VIEW_OSA/VIEW_SCA можно деактивировать глобальные политики |
Глобальный, Менеджер репозиториев, Репозиторий, Команда, Приложение |
| Менеджеры репозиториев и репозитории | |||
| Просмотр данных по OSA. Просмотр всей информации по плагину и репозиторию, в зависимости от доступного объекта | VIEW_OSA | VIEW_RULE | Глобальный, Менеджер репозиториев, Репозиторий |
| Удаление данных OSA. Отключение подключенного менеджера репозиториев и репозитория, в зависимости от доступного объекта | DELETE_OSA | VIEW_OSA | Глобальный, Менеджер репозиториев, Репозиторий |
| Редактирование данных OSA. Редактирование менеджеров репозиториев и репозиториев, в зависимости от доступного объекта | EDIT_OSA | VIEW_OSA | Глобальный, Менеджер репозиториев, Репозиторий |
| Просмотр списка пользователей внутри менеджеров репозиториев и репозиториев | VIEW_USER | VIEW_OSA | Менеджер репозиториев, Репозиторий |
| Команды и приложения | |||
| Просмотр данных по SCA. Просмотр всей информации по команде и приложению, в зависимости от доступного объекта | VIEW_SCA | VIEW_RULE | Глобальный, Команда, Приложение |
| Редактирование данных SCA. Редактирование команды и приложения, в зависимости от доступного объекта | EDIT_SCA | VIEW_SCA | Глобальный, Команда, Приложение |
| Удаление данных SCA. Удаление команды и приложения, в зависимости от доступного объекта | DELETE_SCA | VIEW_SCA | Глобальный, Команда, Приложение |
| Просмотр отчетов | VIEW_SCA_REPORT | VIEW_SCA | Глобальный, Команда, Приложение |
| Просмотр страницы информации о компоненте | VIEW_INFO | VIEW_SCA | Глобальный, Команда, Приложение |
| Создание отчета сканирования | APPLICATIONS_CREATE_REPORT | VIEW_SCA | Глобальный, Команда, Приложение |
| Сканирование SBOM через UI | APPLICATIONS_SCAN_SBOM_UI | VIEW_SCA | Глобальный, Команда, Приложение |
| Сканирование SBOM через API | APPLICATIONS_SCAN_SBOM_API | VIEW_SCA | Глобальный, Команда, Приложение |
| Просмотр списка пользователей внутри команд и приложений | VIEW_USER | VIEW_SCA | Команда, Приложение |
| Пользователи и роли. Роли | |||
| Просмотр списка ролей | VIEW_ROLE | Глобальный | |
| Редактирование роли (изменение имени, добавление прав) | EDIT_ROLE | VIEW_ROLE | Глобальный |
| Деактивация роли | DELETE_ROLE | VIEW_ROLE | Глобальный |
| Пользователи и роли. Права | |||
| Просмотр списка прав доступа | VIEW_AUTHORITIES | Глобальный | |
| Пользователи и роли. Пользователи | |||
| Просмотр списка пользователей | VIEW_USER | Глобальный | |
| Редактирование пользователей (изменение паролей, ролей) | EDIT_USER | VIEW_USER | Глобальный |
| Деактивация пользователя | DELETE_USER | VIEW_USER | Глобальный |
| Настройки. Состояние системы | |||
| Доступ к странице состояния системы | VIEW_CONDITION | Глобальный | |
| Настройки. Сервис данных | |||
| Просмотр списка подключенных облачных сервисов данных | VIEW_BACKEND | Глобальный | |
| Редактирование списка облачных сервисов данных | EDIT_BACKEND | VIEW_BACKEND | Глобальный |
| Деактивация подключенного сервиса | DELETE_BACKEND | VIEW_BACKEND | Глобальный |
| Просмотр списка прокси | VIEW_PROXY | Глобальный | |
| Редактирование прокси серверов | EDIT_PROXY | VIEW_PROXY | Глобальный |
| Удаление прокси сервера | DELETE_PROXY | VIEW_PROXY | Глобальный |
| Настройки. LDAP | |||
| Настройка LDAP-соединения и распределение групп | CONFIG_LDAP | Глобальный | |
| Настройки. Внешние источники данных | |||
| Пользователь имеет право настраивать внешние фиды (Kaspersky Feed, PT PyAnalysis Feed) | CONFIG_EXTERNAL_FEED | Глобальный | |
| Настройки. Уведомления | |||
| Просмотр настроек сервера уведомлений | VIEW_NOTIFICATION | Глобальный | |
| Изменение настроек сервера уведомлений | EDIT_NOTIFICATION | VIEW_NOTIFICATION | Глобальный |
| Просмотр логов действий пользователей в системе | VIEW_USER_LOG | VIEW_NOTIFICATION | Глобальный |
| Настройки. Интеграция с Jira | |||
| Просмотр настроек Jira | VIEW_JIRA | Глобальный | |
| Редактирование настроек Jira | EDIT_JIRA | Глобальный | |
| Создание связанной задачи в Jira | CREATE_TASK_JIRA | Глобальный | |
| Исключения | |||
| Просмотр исключений | VIEW_WAVE | Глобальный | |
| Создание, редактирование исключения | EDIT_WAVE | VIEW_WAVE | Глобальный |
| Удаление исключения | DELETE_WAVE | VIEW_WAVE | Глобальный |
| Просмотр логов запросов со стороны плагина | VIEW_REQUEST_LOG | Глобальный | |
| Разблокировка | |||
| Просмотр раздела с созданными запросами | VIEW_UNBLOCK | Глобальный | |
| Редактирование или обработка запроса на разблокировку | EDIT_UNBLOCK | VIEW_UNBLOCK | Глобальный |
| Удаление запроса на разблокировку | DELETE_UNBLOCK | VIEW_UNBLOCK | Глобальный |
| Дашборды | |||
| Просмотр дашбордов | VIEW_DASHBOARDS | Глобальный |
Примечание
При миграции прав доступа пользователей устаревшие права EDIT/DELETE/VIEW_PLUGIN и EDIT/DELETE/VIEW_REPO будут автоматически заменены на EDIT/DELETE/VIEW OSA.
Пользователи и роли¶
Роли пользователей¶
В системе существует три предустановленных роли пользователей, которые можно редактировать, как и все вновь созданные роли:
- SUPER_ADMIN.
- Инженер ИБ.
- Аналитик ИБ.
Все роли пользователей в системе разделяются на:
- Глобальные, то есть относящиеся ко всем объектам в системе (ко всей системе в целом).
- Относящиеся только к некоторым конкретным объектам в системе (локальные), например, к одному или нескольким репозиториям, менеджерам репозиториев, командам или приложениям.
Например, предустановленная роль Аналитик ИБ, присвоенная пользователю на глобальном уровне, позволит ему работать со всеми политиками в системе, а та же самая предустановленная роль Аналитик ИБ, присвоенная на уровне конкретного репозитория, позволит работать только с политиками для этого конкретного репозитория.
Также система предоставляет гибкий механизм управления ролями, включающий в себя:
- Создание новых ролей.
- Редактирование ролей.
- Удаление ролей.
- Присваивание созданных ролей пользователям.
Система не требует от пользователей доступа к СУБД и настройкам самой системы, кроме администраторов, занимающихся сопровождением самой системы.
Создание, редактирование и удаление ролей¶
Выберите пункт Пользователи и роли в меню слева, а затем подпункт Роли, чтобы посмотреть список существующих в системе ролей.
Для каждой роли указаны ее имя и присвоенные ей в системе права. Более подробная информация о правах доступа приведена в разделе «Права доступа».
Права можно отредактировать, нажав на иконку 
, расположенную справа в строке роли.
В появившемся окне отметьте необходимые для роли права и нажмите кнопку Сохранить.
Примечание
Отдельные права дают возможность просматривать, редактировать, создавать или удалять объекты определенного типа в системе. Например, для просмотра ролей в системе у пользователя должны быть права VIEW_ROLE. Для редактирования прав роли у пользователя, редактирующего роль, должны быть права EDIT_ROLE. Для удаления роли у пользователя, удаляющего роль, должны быть права DELETE_ROLE.
В случае отсутствия прав на просмотр и совершение операций с объектами определенного типа или на работу с конкретными объектами в системе, пользователь либо не будет их видеть на соответствующей странице, либо будет их видеть, но получать сообщение об отсутствии прав при попытке совершить какое-либо действие, либо будет видеть их в неактивном состоянии и не будет иметь возможности работать с элементами пользовательского интерфейса, позволяющими производить с этими объектами какие-либо действия.
Например, в случае отсутствия прав на просмотр правил в системе (VIEW_RULE), пользователь будет видеть пустую страницу Политики.
Роль можно удалить, нажав на иконку 
в ее строке.
Для создания роли в системе нажмите кнопку Добавить роль справа вверху на странице Роли. В появившемся окне введите имя новой роли, отметьте необходимые для нее права и нажмите на кнопку Сохранить.
Вновь созданная роль появится в списке ролей в системе.
Присваивание ролей пользователям¶
Выберите пункт Пользователи и роли в меню слева, а затем подпункт Пользователи, чтобы посмотреть список существующих в системе пользователей. Для каждого пользователя указаны его имя и присвоенные ему в системе роли.
Пользователей можно отфильтровать по статусу в системе (активен/неактивен), по именам, по ролям в системе и по доменам LDAP.
Глобальные роли в столбце Роль пользователя отмечены значком 
и относятся ко всей системе в целом.
Наведите курсор мыши на локальную роль пользователя, чтобы увидеть список объектов в системе, для которых эта роль присвоена пользователю.
Роль(и) пользователя в системе можно изменить, нажав на строку пользователя.
На странице Редактирование пользователя можно выбрать для пользователя глобальные роли из списка слева внизу.
Также на странице Редактирование пользователя добавьте и/или удалите необходимые для пользователя локальные роли на вкладках Команды, Приложения, Плагины и Репозитории, нажав на расположенные слева вверху вкладки кнопки выбора или удаления.
В появившемся окне Выбор группы выберите необходимые объекты и права пользователя для работы с ними и нажмите на кнопку Добавить.
После присваивания пользователю глобальных и локальных ролей нажмите на кнопку Сохранить на странице Редактирование пользователя.
Изменение пароля пользователя¶
Пароль пользователя в системе можно изменить, нажав на строку пользователя.
На странице Редактирование пользователя в поле Пароль введите новый пароль, отвечающий требованиям парольной политики, и нажмите на кнопку Сохранить.
Парольная политика¶
Для паролей пользователей в системе установлена парольная политика, согласно которой минимальная длина пароля должна составлять 15 символов, и при этом пароль должен соответствовать как минимум двум из трех следующих требований:
- Пароль должен содержать как минимум одну заглавную букву.
- Пароль должен содержать как минимум одну цифру.
- Пароль должен содержать как минимум один специальный символ.
После 10 неуспешных попыток авторизации происходит блокировка пользователя на 15 минут. В этом случае при попытке входа система выдаст сообщение «Пользователь временно заблокирован».
Для пользователей, созданных в системе до введения парольной политики, установлено следующее правило миграции: установленные парольной политикой требования не применяются до первой смены пароля.
Все параметры парольной политики задаются в конфигурационном файле application.yml, соответствующий фрагмент файла приведен ниже:
password:
min-length: 15
min-lowercase: 1
min-uppercase: 1
min-digits: 1
min-symbols: 1
login-max-attempts: 10
failure-timeout: 15m
Каждому из параметров в конфигурационном файле application.yml нельзя в отдельности присвоить значение 0. Возможно одновременное присваивание всем параметрам значения 0, в этом случае парольная политика в системе не будет применяться.
Активация/деактивация пользователя¶
Активировать/деактивировать пользователя в системе можно, нажав на иконку 
в столбце Действия в строке пользователя.
Добавление пользователя¶
Чтобы создать нового пользователя в системе, выберите пункт Пользователи и роли в меню слева, а затем подпункт Пользователи и нажмите кнопку Добавить пользователя.
На странице Создание пользователя введите имя, адрес электронной почты, пароль нового пользователя, отвечающий требованиям парольной политики, задайте необходимые для пользователя глобальные и локальные роли и нажмите на кнопку Сохранить.
Примечание
Адрес электронной почты пользователя используется в качестве логина и может содержать только цифры, английские буквы, а также символы «@», «_», «-» и «.». Адрес электронной почты пользователя должен быть уникальным в системе.
Примечание
Имя пользователя является дополнительным параметром, позволяющим идентифицировать пользователя в системе, и может не быть уникальным.
Примечание
Добавление LDAP-пользователей происходит автоматически при их авторизации.
Удаление пользователя¶
Чтобы удалить пользователя, нажмите иконку в соответствующей ему строке. Можно удалить как неактивного, так и активного пользователя, в том числе в момент его работы в системе, при этом текущий сеанс работы удаленного пользователя будет прерван.
После удаления пользователь не сможет авторизоваться в системе. При удалении пользователя из системы удаляется любая связанная с ним информация, кроме информации на странице Лог действий пользователей.
Существует возможность после удаления пользователя создать в системе нового пользователя с таким же именем.
Примечание
В системе нельзя удалить пользователя admin@localhost с ролью SUPER_ADMIN.
Кроме того, пользователь не может удалить сам себя.