Перейти к содержанию

Главная > Документация пользователя > Администрирование

Провайдеры

Раздел Провайдеры предназначен для настройки взаимодействия Системы с провайдерами пользователей - системами идентификации, аутентификации и авторизации (ИА).

В системе имеется внутренний провайдер AW с типом Локальный (user_permissions), который используется по умолчанию. Так же можно настроить авторизацию через внешний сервис аутентификации по протоколам Open ID, LDAP, REST.

  • Open ID Connect (OIDC) - это протокол проверки подлинности удостоверений и предназначен для стандартизации процесса проверки подлинности и авторизации пользователей при входе в систему для доступа к цифровым службам. OIDC также используется для обеспечения единого входа;

  • LDAP (Lightweight Directory Access Protocol) - это открытый и кроссплатформенный протокол, используемый для аутентификации служб каталогов. LDAP позволяет приложениям взаимодействовать с другими серверами служб каталогов, которые хранят и передают важную конфиденциальную информацию, связанную с пользователями, паролями и учетными записями компьютеров. В качестве LDAP сервера может использоваться как Active Directory («Активный каталог», AD), так и OpenLDAP;

  • REST - упрощенная версия спецификации Authorization Code Flow OpenID Connect, которая не имеет защиты как спецификация OpenID Connect. Поэтому при использовании данного типа провайдера увеличиваются требования к уровню безопасности сервера, на котором развернута Система. Требуется включение поддержки регулирования безопасности, чтобы гарантировать предотвращение атак грубой силы при сбоях аутентификации.

С помощью сервисов аутентификации пользователи могут проходить аутентификацию и авторизацию в нескольких облачных приложениях через единую точку с использованием одного логина и пароля.

img

Интерфейс управления провайдерами содержит:

1.Название раздела. 

2.Кнопка img Добавить - при нажатии на кнопку, открывается окно создания нового провайдера.

3.Блок фильтрации содержит следующие элементы:

  • Все типы - фильтр по типу данных атрибута, в реестре отобразятся объекты с выбранным типом;

  • Все активности - фильтр по типу активности, в реестре отобразятся объекты с выбранным типом;

  • Кнопка img Очистить фильтры - появляется при установке фильтра. При нажатии на кнопку, выполняется сброс фильтров;

  • Поиск - единый поиск по объектам: поиск провайдеров выполняется по наименованию.

4.Табличное представление объектов. Информация отображается в следующих столбцах:

  • Наименование - название провайдера, введенное при создании или изменении;
  • Тип - тип протокола;
  • Активность - признак блокировки провайдера;
  • кнопка svg - для выполнения действий над драйвером:
    • Редактировать;
    • Удалить.

По всем столбцам реализована сортировка. Нажмите на наименование необходимого столбца, список отсортируется по возрастанию. Повторно нажмите на наименование столбца, список отсортируется по убыванию. Нажмите на наименование столбца в третий раз, список отобразится без сортировки, и скроется кнопка сортировки.

5. Постраничное отображение объектов, переходы между страницами:

  • img в левой нижней части окна расположен информационный блок о количестве отображаемых объектов на странице и об общем количестве;

  • img в центральной нижней части окна расположен элемент управления для перехода между страницами;

  • img в правой нижней части окна расположен выпадающий список для выбора количества отображаемых объектов на странице.

img

6.Поле для установки img флажка для выбора провайдера.

7.Поле для установки img флажка для выбора всех провайдеров на странице.

8.Панель для выполнения действий над выбранными провайдерами - появляется при выборе одного или нескольких провайдеров. Содержит следующие элементы:

  • надпись Выделено - отображается количество выбранных провайдеров;

  • img Редактировать - доступна, если выбран только один провайдер. При нажатии на кнопку открывается окно редактирования провайдера;

  • img Удалить - при нажатии на кнопку, открывается окно подтверждения удаления провайдера. Чтобы подтвердить действие, нажмите на кнопку img Удалить, для отмены - нажмите на кнопку img Отмена.

  • img Сбросить выбранные - при нажатии на кнопку, выбранные провайдеры сбрасываются.

Чтобы настроить взаимодействие, необходимо произвести настройки для обоих участников взаимодействия: провайдера (поставщика учетных записей) и Системы (поставщика сервиса). Предварительно выполните настройки взаимодействия провайдера (поставщика учетных записей) с Системой и зарегистрируйте учетные записи.

Добавление провайдера

Чтобы создать внешний провайдер, нажмите на кнопку img Добавить. Откроется окно создания нового провайдера.

img

Окно добавления состоит из вкладок:

  • Основное - доступна возможность выбора типа провайдера и указание его наименования и активности;
  • Параметры - предназначена для ввода идентифицирующей информации о взаимодействии Системы и внешнего провайдера. Данную информацию  передает администратор провайдера при регистрации заявки на подключение Системы к промышленному/тестовому контору ИА. Вкладка недоступна для внутреннего провайдера. Набор полей на вкладке Параметры зависит от выбора в поле Тип на вкладке Основное;
  • Маппинг схемы - содержит интерфейс для задания правил сопоставления атрибутов пользователя (ролей) внешнего провайдера и атрибутов доступа (ролей) схемы.

img

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

Локальный (user_permissions)

Внутренний провайдер Системы.

В Систему невозможно добавить дополнительный внутренний провайдер с типом Локальный (user_permissions), так как он должен быть уникальным.

Интерфейс подключения провайдера типа Локальный (user_permissions) содержит:

img

  • img Активный - переключатель для включения/отключения провайдера. При создании нового провайдера переключатель выключен;

  • Наименование  - введите понятное имя провайдера в Системе, поле обязательно для заполнения;

  • Тип - выпадающий список провайдеров в зависимости от протокола взаимодействия, необходимо выбрать Локальный (user_permissions);

Все остальные опции не применяются для данного провайдера.

  • Надпись кнопки сторонней аутентификации - наименование кнопки, которая будет отображаться на странице авторизации Системы и выполнять переход на страницу авторизации провайдера;

Надпись кнопки сторонней аутентификации применяется только для провайдеров с типом OpenID.

  • Базовые группы - выпадающий список системных и пользовательских групп пользователей. Выбранные группы будут присваиваться пользователям автоматически при создании и при авторизации пользователя через провайдеры (кроме внутреннего);

  • img Разрешить создание новых пользователей через внешнее управление - переключатель, при включении которого в Системе будет доступно создание новых пользователей из внешних провайдеров. Если переключатель отключен, то новый пользователь не будет создан и получит уведомление Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.

Для Систем с активированной лицензией с типом доступа Облачный опция Разрешить создание новых пользователей через внешнее управление заблокирована. Включение опции может привести к неконтролируемому созданию новых учетных записей пользователей и списанию средств.

  • Тип пользователя - выпадающий список типов пользователей. Выбранный тип будет назначаться новым пользователям, учитывая квоты на тип пользователя в лицензии. Если при создании пользователя через провайдер не окажется свободных пользовательских лицензионных квот, то учетная запись будет создана с неактивным статусом.

Тип пользователя доступна только при активной настройке Разрешить создание новых пользователей через внешнее управление.

img

  • img Без соответствия - при включении опции, используется для отображения тех атрибутов доступа схемы, которым не задано соответствие с атрибутами доступа провайдера или атрибутами модели user_permissions;

  • столбец атрибутов доступа схемы, объявленные в разделе Системы Схемы доступов;

Для атрибута доступа  user_roles (Роль) доступна возможность детализации ролей по системам в формате [код системы].[roles].[код роли]:

  • [код системы] - берется из названий вложенных контейнеров систем в контейнере resource_access;
  • [код роли] - берется из вложенного контейнера [roles] в контейнере указанной системы.

Пример: covid19_test.roles.covid19_fdkc

  • столбец для указания соответствующего атрибута доступа от провайдера или указанные в модели user_permissions при использовании внутреннего провайдера;

Выполняется "мягкий" маппинг данных внешних провайдеров. Если у пользователя есть атрибут, не указанный в схеме, значение сохраняется в списке дополнительных атрибутов. И наоборот, если при формировании критериев доступа на модель у пользователя нет используемого атрибута, его значение ищется в списке дополнительных атрибутов.

  • кнопка svg - настройка правил маппинга атрибутов для выбранного атрибута доступа. Правила сопоставления атрибутов пользователей применяются при входе пользователя в Систему через провайдер. Кнопка доступна после нажатия кнопки img Сохранить. Окно Маппинг атрибутов содержит возможность задания дополнительных сопоставлений и группировок:

    img

    • кнопка img Добавить правило - позволяет добавить строку сопоставлений;
    • Провайдер - атрибут пользователей, передаваемый провайдером;
    • Схема - значение, которое будет использоваться при настройке правил доступа в моделях;
    • кнопка svg - удаление лишнего сопоставления.

    Атрибуты доступа, которые содержат маппинг атрибутов пользователей, будут помечены слева точкой. 

    img

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

OpenID

Open ID Connect (OIDC) - это протокол проверки подлинности удостоверений и предназначен для стандартизации процесса проверки подлинности и авторизации пользователей при входе в систему для доступа к цифровым службам. OIDC также используется для обеспечения единого входа.

Интерфейс подключения провайдера типа OpenID содержит:

img

  • img Активный - переключатель для включения/отключения провайдера. При создании нового провайдера переключатель выключен;

  • Наименование  - введите понятное имя провайдера в Системе, поле обязательно для заполнения;

  • Тип - выпадающий список провайдеров в зависимости от протокола взаимодействия, необходимо выбрать OpenID;

  • Надпись кнопки сторонней аутентификации - наименование кнопки, которая будет отображаться на странице авторизации Системы и выполнять переход на страницу авторизации провайдера;

Надпись кнопки сторонней аутентификации применяется только для провайдеров с типом OpenID.

  • Базовые группы - выпадающий список системных и пользовательских групп пользователей. Выбранные группы будут присваиваться пользователям автоматически при создании и при авторизации пользователя через провайдеры (кроме внутреннего);

  • img Разрешить создание новых пользователей через внешнее управление - переключатель, при включении которого в Системе будет доступно создание новых пользователей из внешних провайдеров. Если переключатель отключен, то новый пользователь не будет создан и получит уведомление Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.

Для Систем с активированной лицензией с типом доступа Облачный опция Разрешить создание новых пользователей через внешнее управление заблокирована. Включение опции может привести к неконтролируемому созданию новых учетных записей пользователей и списанию средств.

  • Тип пользователя - выпадающий список типов пользователей. Выбранный тип будет назначаться новым пользователям, учитывая квоты на тип пользователя в лицензии. Если при создании пользователя через провайдер не окажется свободных пользовательских лицензионных квот, то учетная запись будет создана с неактивным статусом.

Тип пользователя доступна только при активной настройке Разрешить создание новых пользователей через внешнее управление.

img

  • Идентификатор ИА - уникальный идентификатор информационной системы (ИА), с которой производится интеграция. Используется для однозначного определения провайдера или внешней информационной системы. Поле обязательно для заполнения;

  • Секретный ключ доступа - уникальный строковый параметр, который используется для защиты взаимодействия между Системой и внешними сервисами. Выступает как пароль для аутентификации между системами. Поле обязательно для заполнения;

  • Внешний URL - адрес внешней системы или сервиса, с которым производится интеграция. Адрес необходим для правильной маршрутизации взаимодействия. Поле обязательно для заполнения.

img

  • img Без соответствия - при включении опции, используется для отображения тех атрибутов доступа схемы, которым не задано соответствие с атрибутами доступа провайдера или атрибутами модели user_permissions;

  • столбец атрибутов доступа схемы, объявленные в разделе Системы Схемы доступов;

Для атрибута доступа  user_roles (Роль) доступна возможность детализации ролей по системам в формате [код системы].[roles].[код роли]:

  • [код системы] - берется из названий вложенных контейнеров систем в контейнере resource_access;
  • [код роли] - берется из вложенного контейнера [roles] в контейнере указанной системы.

Пример: covid19_test.roles.covid19_fdkc

  • столбец для указания соответствующего атрибута доступа от провайдера или указанные в модели user_permissions при использовании внутреннего провайдера;

Выполняется "мягкий" маппинг данных внешних провайдеров. Если у пользователя есть атрибут, не указанный в схеме, значение сохраняется в списке дополнительных атрибутов. И наоборот, если при формировании критериев доступа на модель у пользователя нет используемого атрибута, его значение ищется в списке дополнительных атрибутов.

  • кнопка svg - настройка правил маппинга атрибутов для выбранного атрибута доступа. Правила сопоставления атрибутов пользователей применяются при входе пользователя в Систему через провайдер. Кнопка доступна после нажатия кнопки img Сохранить. Окно Маппинг атрибутов содержит возможность задания дополнительных сопоставлений и группировок:

    img

    • кнопка img Добавить правило - позволяет добавить строку сопоставлений;
    • Провайдер - атрибут пользователей, передаваемый провайдером;
    • Схема - значение, которое будет использоваться при настройке правил доступа в моделях;
    • кнопка svg - удаление лишнего сопоставления.

    Атрибуты доступа, которые содержат маппинг атрибутов пользователей, будут помечены слева точкой. 

    img

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

OpenID Token

Построен на базе провайдера с типом OpenID. Применяется для бесшовного перехода в Систему внутри стороннего приложения через единую точку входа и в случае работы с API Системы. Не отображается на форме авторизации Системы.

Интерфейс подключения провайдера типа OpenID Token содержит:

img

  • img Активный - переключатель для включения/отключения провайдера. При создании нового провайдера переключатель выключен;

  • Наименование  - введите понятное имя провайдера в Системе, поле обязательно для заполнения;

  • Тип - выпадающий список провайдеров в зависимости от протокола взаимодействия, необходимо выбрать OpenID Token;

Все остальные опции не применяются для данного провайдера.

  • Надпись кнопки сторонней аутентификации - наименование кнопки, которая будет отображаться на странице авторизации Системы и выполнять переход на страницу авторизации провайдера;

Надпись кнопки сторонней аутентификации применяется только для провайдеров с типом OpenID.

  • Базовые группы - выпадающий список системных и пользовательских групп пользователей. Выбранные группы будут присваиваться пользователям автоматически при создании и при авторизации пользователя через провайдеры (кроме внутреннего);

  • img Разрешить создание новых пользователей через внешнее управление - переключатель, при включении которого в Системе будет доступно создание новых пользователей из внешних провайдеров. Если переключатель отключен, то новый пользователь не будет создан и получит уведомление Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.

Для Систем с активированной лицензией с типом доступа Облачный опция Разрешить создание новых пользователей через внешнее управление заблокирована. Включение опции может привести к неконтролируемому созданию новых учетных записей пользователей и списанию средств.

  • Тип пользователя - выпадающий список типов пользователей. Выбранный тип будет назначаться новым пользователям, учитывая квоты на тип пользователя в лицензии. Если при создании пользователя через провайдер не окажется свободных пользовательских лицензионных квот, то учетная запись будет создана с неактивным статусом.

Тип пользователя доступна только при активной настройке Разрешить создание новых пользователей через внешнее управление.

img

  • Идентификатор ИА - уникальный идентификатор информационной системы (ИА), с которой производится интеграция. Используется для однозначного определения провайдера или внешней информационной системы. Поле обязательно для заполнения;

  • Секретный ключ доступа - уникальный строковый параметр, который используется для защиты взаимодействия между Системой и внешними сервисами. Выступает как пароль для аутентификации между системами. Поле обязательно для заполнения;

  • Внешний URL - адрес внешней системы или сервиса, с которым производится интеграция. Адрес необходим для правильной маршрутизации взаимодействия. Поле обязательно для заполнения.

img

  • img Без соответствия - при включении опции, используется для отображения тех атрибутов доступа схемы, которым не задано соответствие с атрибутами доступа провайдера или атрибутами модели user_permissions;

  • столбец атрибутов доступа схемы, объявленные в разделе Системы Схемы доступов;

Для атрибута доступа  user_roles (Роль) доступна возможность детализации ролей по системам в формате [код системы].[roles].[код роли]:

  • [код системы] - берется из названий вложенных контейнеров систем в контейнере resource_access;
  • [код роли] - берется из вложенного контейнера [roles] в контейнере указанной системы.

Пример: covid19_test.roles.covid19_fdkc

  • столбец для указания соответствующего атрибута доступа от провайдера или указанные в модели user_permissions при использовании внутреннего провайдера;

Выполняется "мягкий" маппинг данных внешних провайдеров. Если у пользователя есть атрибут, не указанный в схеме, значение сохраняется в списке дополнительных атрибутов. И наоборот, если при формировании критериев доступа на модель у пользователя нет используемого атрибута, его значение ищется в списке дополнительных атрибутов.

  • кнопка svg - настройка правил маппинга атрибутов для выбранного атрибута доступа. Правила сопоставления атрибутов пользователей применяются при входе пользователя в Систему через провайдер. Кнопка доступна после нажатия кнопки img Сохранить. Окно Маппинг атрибутов содержит возможность задания дополнительных сопоставлений и группировок:

    img

    • кнопка img Добавить правило - позволяет добавить строку сопоставлений;
    • Провайдер - атрибут пользователей, передаваемый провайдером;
    • Схема - значение, которое будет использоваться при настройке правил доступа в моделях;
    • кнопка svg - удаление лишнего сопоставления.

    Атрибуты доступа, которые содержат маппинг атрибутов пользователей, будут помечены слева точкой. 

    img

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

Построен на базе провайдера с типом OpenID с режимом работы - Authorization Code Flow (код, данные пользователя). Применяется для бесшовного перехода в Систему внутри стороннего приложения через единую точку входа путем сопоставления сессионных данных (cookie). Не отображается на форме авторизации Системы. Будет работать в частных случаях с определенными ограничениями.

В Системе активным может быть только один провайдер с данным типом.

Интерфейс подключения провайдера типа OpenID Cookie содержит:

img

  • img Активный - переключатель для включения/отключения провайдера. При создании нового провайдера переключатель выключен;

  • Наименование  - введите понятное имя провайдера в Системе, поле обязательно для заполнения;

  • Тип - выпадающий список провайдеров в зависимости от протокола взаимодействия, необходимо выбрать OpenID Cookie;

Все остальные опции не применяются для данного провайдера.

  • Надпись кнопки сторонней аутентификации - наименование кнопки, которая будет отображаться на странице авторизации Системы и выполнять переход на страницу авторизации провайдера;

Надпись кнопки сторонней аутентификации применяется только для провайдеров с типом OpenID.

  • Базовые группы - выпадающий список системных и пользовательских групп пользователей. Выбранные группы будут присваиваться пользователям автоматически при создании и при авторизации пользователя через провайдеры (кроме внутреннего);

  • img Разрешить создание новых пользователей через внешнее управление - переключатель, при включении которого в Системе будет доступно создание новых пользователей из внешних провайдеров. Если переключатель отключен, то новый пользователь не будет создан и получит уведомление Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.

Для Систем с активированной лицензией с типом доступа Облачный опция Разрешить создание новых пользователей через внешнее управление заблокирована. Включение опции может привести к неконтролируемому созданию новых учетных записей пользователей и списанию средств.

  • Тип пользователя - выпадающий список типов пользователей. Выбранный тип будет назначаться новым пользователям, учитывая квоты на тип пользователя в лицензии. Если при создании пользователя через провайдер не окажется свободных пользовательских лицензионных квот, то учетная запись будет создана с неактивным статусом.

Тип пользователя доступна только при активной настройке Разрешить создание новых пользователей через внешнее управление.

img

  • Идентификатор ИА - уникальный идентификатор информационной системы (ИА), с которой производится интеграция. Используется для однозначного определения провайдера или внешней информационной системы. Поле обязательно для заполнения;

  • Секретный ключ доступа - уникальный строковый параметр, который используется для защиты взаимодействия между Системой и внешними сервисами. Выступает как пароль для аутентификации между системами. Поле обязательно для заполнения;

  • Внешний URL - адрес внешней системы или сервиса, с которым производится интеграция. Адрес необходим для правильной маршрутизации взаимодействия. Поле обязательно для заполнения.

img

  • img Без соответствия - при включении опции, используется для отображения тех атрибутов доступа схемы, которым не задано соответствие с атрибутами доступа провайдера или атрибутами модели user_permissions;

  • столбец атрибутов доступа схемы, объявленные в разделе Системы Схемы доступов;

Для атрибута доступа  user_roles (Роль) доступна возможность детализации ролей по системам в формате [код системы].[roles].[код роли]:

  • [код системы] - берется из названий вложенных контейнеров систем в контейнере resource_access;
  • [код роли] - берется из вложенного контейнера [roles] в контейнере указанной системы.

Пример: covid19_test.roles.covid19_fdkc

  • столбец для указания соответствующего атрибута доступа от провайдера или указанные в модели user_permissions при использовании внутреннего провайдера;

Выполняется "мягкий" маппинг данных внешних провайдеров. Если у пользователя есть атрибут, не указанный в схеме, значение сохраняется в списке дополнительных атрибутов. И наоборот, если при формировании критериев доступа на модель у пользователя нет используемого атрибута, его значение ищется в списке дополнительных атрибутов.

  • кнопка svg - настройка правил маппинга атрибутов для выбранного атрибута доступа. Правила сопоставления атрибутов пользователей применяются при входе пользователя в Систему через провайдер. Кнопка доступна после нажатия кнопки img Сохранить. Окно Маппинг атрибутов содержит возможность задания дополнительных сопоставлений и группировок:

    img

    • кнопка img Добавить правило - позволяет добавить строку сопоставлений;
    • Провайдер - атрибут пользователей, передаваемый провайдером;
    • Схема - значение, которое будет использоваться при настройке правил доступа в моделях;
    • кнопка svg - удаление лишнего сопоставления.

    Атрибуты доступа, которые содержат маппинг атрибутов пользователей, будут помечены слева точкой. 

    img

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

LDAP

Для аутентификации через LDAP сервер используется введенное на стартовой странице Системы имя и пароль пользователя. Вводится логин и пароль, используемые пользователем для авторизации в корпоративной сети. Не отображается на форме авторизации Системы. 

В Системе активным может быть только один провайдер с данным типом.

Интерфейс подключения провайдера типа LDAP содержит:

img

  • img Активный - переключатель для включения/отключения провайдера. При создании нового провайдера переключатель выключен;

  • Наименование  - введите понятное имя провайдера в Системе, поле обязательно для заполнения;

  • Тип - выпадающий список провайдеров в зависимости от протокола взаимодействия, необходимо выбрать LDAP;

  • Надпись кнопки сторонней аутентификации - наименование кнопки, которая будет отображаться на странице авторизации Системы и выполнять переход на страницу авторизации провайдера;

Надпись кнопки сторонней аутентификации применяется только для провайдеров с типом OpenID.

  • Базовые группы - выпадающий список системных и пользовательских групп пользователей. Выбранные группы будут присваиваться пользователям автоматически при создании и при авторизации пользователя через провайдеры (кроме внутреннего);

  • img Разрешить создание новых пользователей через внешнее управление - переключатель, при включении которого в Системе будет доступно создание новых пользователей из внешних провайдеров. Если переключатель отключен, то новый пользователь не будет создан и получит уведомление Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.

Для Систем с активированной лицензией с типом доступа Облачный опция Разрешить создание новых пользователей через внешнее управление заблокирована. Включение опции может привести к неконтролируемому созданию новых учетных записей пользователей и списанию средств.

  • Тип пользователя - выпадающий список типов пользователей. Выбранный тип будет назначаться новым пользователям, учитывая квоты на тип пользователя в лицензии. Если при создании пользователя через провайдер не окажется свободных пользовательских лицензионных квот, то учетная запись будет создана с неактивным статусом.

Тип пользователя доступна только при активной настройке Разрешить создание новых пользователей через внешнее управление.

img

  • Имя хоста - доменное имя хоста либо IP-адрес LDAP сервера. Поле обязательно для заполнения;

  • Номер порта - номер порта для подключения к серверу LDAP. Для обычного соединения - 389, для SSL соединения - 636;

  • Логин - уникальное имя Distinguished Name пользователя с правами на чтение LDAP. Можно использовать формат domain\\user или user@[domain.com, если LDAP сервер позволяет это делать. По умолчанию используется пустое имя и пустой пароль, что означает анонимный доступ к LDAP. Если анонимный доступ со стороны провайдера запрещен, необходимо заполнить поле для подключения, иначе авторизация и создание учетной записи будет недоступно;

  • Пароль - пароль к служебной учетной записи на чтение из LDAP. По умолчанию используется пустое имя и пустой пароль, что означает анонимный доступ к LDAP. Если анонимный доступ со стороны провайдера запрещен, необходимо заполнить поле для подключения, иначе авторизация и создание учетной записи будет недоступно;

  • Тип соединения  - позволяет задать защищенное (SSL/TLS) соединение к LDAP по специальному порту или получение защищенного соединения (STARTTLS) на обычном порту через STARTTLS. По умолчанию используется обычное (незащищенное) соединение;

  • Тип LDAP провайдера - в качестве LDAP сервера может использоваться как Active Directory («Активный каталог», AD), так и OpenLDAP;

  • Базовый домен - доменное имя каталога ou=users,dc=domain,dc=com, в котором производится поиск пользователей. Поле обязательно для заполнения;

  • Фильтр LDAP - можно указать фильтр по пользователю в круглых скобках, например, (uidNumber=1101). Можно применять сложные фильтры, например, (&(objectClass=organizationalPerson)(memberOf=CN=awgroup01,CN=Users,DC=proj,DC=corp,DC=local))

  • Атрибут с именем пользователя - имя атрибута в записи пользователя, который содержит имя пользователя, используемое при подключении и автоматическом добавлении пользователя при успешной LDAP аутентификации. Для Active Directory стандартно - sAMAccountName, для OpenLDAP - uid. Поле обязательно для заполнения.

img

  • img Без соответствия - при включении опции, используется для отображения тех атрибутов доступа схемы, которым не задано соответствие с атрибутами доступа провайдера или атрибутами модели user_permissions;

  • столбец атрибутов доступа схемы, объявленные в разделе Системы Схемы доступов;

Для атрибута доступа  user_roles (Роль) доступна возможность детализации ролей по системам в формате [код системы].[roles].[код роли]:

  • [код системы] - берется из названий вложенных контейнеров систем в контейнере resource_access;
  • [код роли] - берется из вложенного контейнера [roles] в контейнере указанной системы.

Пример: covid19_test.roles.covid19_fdkc

  • столбец для указания соответствующего атрибута доступа от провайдера или указанные в модели user_permissions при использовании внутреннего провайдера;

Выполняется "мягкий" маппинг данных внешних провайдеров. Если у пользователя есть атрибут, не указанный в схеме, значение сохраняется в списке дополнительных атрибутов. И наоборот, если при формировании критериев доступа на модель у пользователя нет используемого атрибута, его значение ищется в списке дополнительных атрибутов.

  • кнопка svg - настройка правил маппинга атрибутов для выбранного атрибута доступа. Правила сопоставления атрибутов пользователей применяются при входе пользователя в Систему через провайдер. Кнопка доступна после нажатия кнопки img Сохранить. Окно Маппинг атрибутов содержит возможность задания дополнительных сопоставлений и группировок:

    img

    • кнопка img Добавить правило - позволяет добавить строку сопоставлений;
    • Провайдер - атрибут пользователей, передаваемый провайдером;
    • Схема - значение, которое будет использоваться при настройке правил доступа в моделях;
    • кнопка svg - удаление лишнего сопоставления.

    Атрибуты доступа, которые содержат маппинг атрибутов пользователей, будут помечены слева точкой. 

    img

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

LDAP kerberos

Построен на базе провайдера с типом OpenID Cookie. Применяется для бесшовного перехода в Систему внутри стороннего приложения, открытого на клиентской машине, где заведена учетная запись, присоединенная к домену AD. А также в web-браузере, в котором указан ключ реестра, путем сопоставления заголовков, полученных через nginx. Nginx должен быть настроен специальным образом. Не отображается на форме авторизации Системы. Требуется настройка соответствующей инфраструктуры.

В Системе активным может быть только один провайдер с данным типом.

Интерфейс подключения провайдера типа LDAP kerberos содержит:

img

  • img Активный - переключатель для включения/отключения провайдера. При создании нового провайдера переключатель выключен;

  • Наименование  - введите понятное имя провайдера в Системе, поле обязательно для заполнения;

  • Тип - выпадающий список провайдеров в зависимости от протокола взаимодействия, необходимо выбрать LDAP kerberos;

Все остальные опции не применяются для данного провайдера.

  • Надпись кнопки сторонней аутентификации - наименование кнопки, которая будет отображаться на странице авторизации Системы и выполнять переход на страницу авторизации провайдера;

Надпись кнопки сторонней аутентификации применяется только для провайдеров с типом OpenID.

  • Базовые группы - выпадающий список системных и пользовательских групп пользователей. Выбранные группы будут присваиваться пользователям автоматически при создании и при авторизации пользователя через провайдеры (кроме внутреннего);

  • img Разрешить создание новых пользователей через внешнее управление - переключатель, при включении которого в Системе будет доступно создание новых пользователей из внешних провайдеров. Если переключатель отключен, то новый пользователь не будет создан и получит уведомление Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.

Для Систем с активированной лицензией с типом доступа Облачный опция Разрешить создание новых пользователей через внешнее управление заблокирована. Включение опции может привести к неконтролируемому созданию новых учетных записей пользователей и списанию средств.

  • Тип пользователя - выпадающий список типов пользователей. Выбранный тип будет назначаться новым пользователям, учитывая квоты на тип пользователя в лицензии. Если при создании пользователя через провайдер не окажется свободных пользовательских лицензионных квот, то учетная запись будет создана с неактивным статусом.

Тип пользователя доступна только при активной настройке Разрешить создание новых пользователей через внешнее управление.

Вкладка по умолчанию пуста.

img

  • img Без соответствия - при включении опции, используется для отображения тех атрибутов доступа схемы, которым не задано соответствие с атрибутами доступа провайдера или атрибутами модели user_permissions;

  • столбец атрибутов доступа схемы, объявленные в разделе Системы Схемы доступов;

Для атрибута доступа  user_roles (Роль) доступна возможность детализации ролей по системам в формате [код системы].[roles].[код роли]:

  • [код системы] - берется из названий вложенных контейнеров систем в контейнере resource_access;
  • [код роли] - берется из вложенного контейнера [roles] в контейнере указанной системы.

Пример: covid19_test.roles.covid19_fdkc

  • столбец для указания соответствующего атрибута доступа от провайдера или указанные в модели user_permissions при использовании внутреннего провайдера;

Выполняется "мягкий" маппинг данных внешних провайдеров. Если у пользователя есть атрибут, не указанный в схеме, значение сохраняется в списке дополнительных атрибутов. И наоборот, если при формировании критериев доступа на модель у пользователя нет используемого атрибута, его значение ищется в списке дополнительных атрибутов.

  • кнопка svg - настройка правил маппинга атрибутов для выбранного атрибута доступа. Правила сопоставления атрибутов пользователей применяются при входе пользователя в Систему через провайдер. Кнопка доступна после нажатия кнопки img Сохранить. Окно Маппинг атрибутов содержит возможность задания дополнительных сопоставлений и группировок:

    img

    • кнопка img Добавить правило - позволяет добавить строку сопоставлений;
    • Провайдер - атрибут пользователей, передаваемый провайдером;
    • Схема - значение, которое будет использоваться при настройке правил доступа в моделях;
    • кнопка svg - удаление лишнего сопоставления.

    Атрибуты доступа, которые содержат маппинг атрибутов пользователей, будут помечены слева точкой. 

    img

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

Внешний REST

Применяется для бесшовного перехода в Систему внутри стороннего приложения через единую точку входа и в случае работы с API Системы при обеспечении должного уровня безопасности. При использовании провайдера увеличиваются требования к уровню безопасности сервера, на котором развернута Система. Не отображается на форме авторизации Системы.

Интерфейс подключения провайдера типа Внешний REST содержит:

img

  • img Активный - переключатель для включения/отключения провайдера. При создании нового провайдера переключатель выключен;

  • Наименование  - введите понятное имя провайдера в Системе, поле обязательно для заполнения;

  • Тип - выпадающий список провайдеров в зависимости от протокола взаимодействия, необходимо выбрать Внешний REST;

Все остальные опции не применяются для данного провайдера.

  • Надпись кнопки сторонней аутентификации - наименование кнопки, которая будет отображаться на странице авторизации Системы и выполнять переход на страницу авторизации провайдера;

Надпись кнопки сторонней аутентификации применяется только для провайдеров с типом OpenID.

  • Базовые группы - выпадающий список системных и пользовательских групп пользователей. Выбранные группы будут присваиваться пользователям автоматически при создании и при авторизации пользователя через провайдеры (кроме внутреннего);

  • img Разрешить создание новых пользователей через внешнее управление - переключатель, при включении которого в Системе будет доступно создание новых пользователей из внешних провайдеров. Если переключатель отключен, то новый пользователь не будет создан и получит уведомление Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.

Для Систем с активированной лицензией с типом доступа Облачный опция Разрешить создание новых пользователей через внешнее управление заблокирована. Включение опции может привести к неконтролируемому созданию новых учетных записей пользователей и списанию средств.

  • Тип пользователя - выпадающий список типов пользователей. Выбранный тип будет назначаться новым пользователям, учитывая квоты на тип пользователя в лицензии. Если при создании пользователя через провайдер не окажется свободных пользовательских лицензионных квот, то учетная запись будет создана с неактивным статусом.

Тип пользователя доступна только при активной настройке Разрешить создание новых пользователей через внешнее управление.

img

  • Внешний URL - адрес внешней системы или сервиса, с которым производится интеграция. Адрес необходим для правильной маршрутизации взаимодействия. Поле обязательно для заполнения.

img

  • img Без соответствия - при включении опции, используется для отображения тех атрибутов доступа схемы, которым не задано соответствие с атрибутами доступа провайдера или атрибутами модели user_permissions;

  • столбец атрибутов доступа схемы, объявленные в разделе Системы Схемы доступов;

Для атрибута доступа  user_roles (Роль) доступна возможность детализации ролей по системам в формате [код системы].[roles].[код роли]:

  • [код системы] - берется из названий вложенных контейнеров систем в контейнере resource_access;
  • [код роли] - берется из вложенного контейнера [roles] в контейнере указанной системы.

Пример: covid19_test.roles.covid19_fdkc

  • столбец для указания соответствующего атрибута доступа от провайдера или указанные в модели user_permissions при использовании внутреннего провайдера;

Выполняется "мягкий" маппинг данных внешних провайдеров. Если у пользователя есть атрибут, не указанный в схеме, значение сохраняется в списке дополнительных атрибутов. И наоборот, если при формировании критериев доступа на модель у пользователя нет используемого атрибута, его значение ищется в списке дополнительных атрибутов.

  • кнопка svg - настройка правил маппинга атрибутов для выбранного атрибута доступа. Правила сопоставления атрибутов пользователей применяются при входе пользователя в Систему через провайдер. Кнопка доступна после нажатия кнопки img Сохранить. Окно Маппинг атрибутов содержит возможность задания дополнительных сопоставлений и группировок:

    img

    • кнопка img Добавить правило - позволяет добавить строку сопоставлений;
    • Провайдер - атрибут пользователей, передаваемый провайдером;
    • Схема - значение, которое будет использоваться при настройке правил доступа в моделях;
    • кнопка svg - удаление лишнего сопоставления.

    Атрибуты доступа, которые содержат маппинг атрибутов пользователей, будут помечены слева точкой. 

    img

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

Редактирование провайдера

Форма редактирования открывается сразу после сохранения вновь добавленного провайдера. Открыть форму редактирования также можно следующими способами:

  • дважды нажмите левой кнопкой мыши по провайдеру в списке;
  • в строке выбранного провайдера нажмите кнопку svg и затем Редактировать;
  • установите img флажок напротив необходимой строки и нажмите на кнопку img Редактировать.

На форме редактирования доступно изменение всех полей. Интерфейс редактирования внешнего провайдера аналогичен интерфейсу при создании провайдера. Для сохранения внесенных изменений убедитесь, что заполнены обязательные поля на вкладках.  

Нажмите на кнопку img Сохранить. Откроется интерфейс редактирования провайдера. Нажмите на кнопку img Отменить для закрытия окна без сохранения.

В случае успешного сохранения отобразится уведомление о внесенных изменениях.

img

Если внутренний провайдер AW будет деактивирован, то вход через страницу авторизации Системы или аутентификация через LDAP сервер будут доступны только:

  • под учетной записью tech_admin (технический администратор Системы);
  • под учетными записями, у которых установлен флаг Предварительная проверка через LDAP сервер.

Все остальные пользователи должны проходить авторизацию через внешний сервис аутентификации, с помощью ссылки для сторонней аутентификации на форме авторизации Системы.

Удаление провайдера

Система не позволяет удалить активные провайдеры, а так же внутренний провайдер AW с типом user_permissions, который используется по умолчанию, его можно только деактивировать.

Для удаления провайдера:

  • в строке выбранного провайдера нажмите кнопку svg и затем Удалить;
  • установите img флажок напротив необходимой строки и нажмите на кнопку img Удалить;
  • в интерфейсе редактирования выбранного провайдера нажмите кнопку img Удалить на вкладке Основное.

После нажатия на кнопку Удалить появится окно удаления для подтверждения действия. Чтобы подтвердить действие, нажмите на кнопку img Удалить, для отмены - нажмите на кнопку img Отмена.

img

Особенности создания новых пользователей и доступов

Для внутреннего провайдера с типом Локальный (user_permissions):

  • при создании нового пользователя в карточку его учетной записи по умолчанию добавляются базовые группы. Базовые группы указываются в настройке провайдера Базовые группы;

  • все дополнительные доступы добавляются администратором Системы в разделе Пользователи в карточке пользователя на вкладке Группы.

Для внешних провайдеров с типами OpenID, OpenID Token, OpenID Cookie, Внешний REST и LDAP kerberos:

1)В Систему через кросс-авторизацию переходит пользователь без учетной записи:

  • если отключена опция Разрешить создание новых пользователей через внешнее управление, то выходит сообщение об ошибке Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.;

  • если включена опция Разрешить создание новых пользователей через внешнее управление, то в Системе создается новая учетная запись пользователя. Для учетной записи вносятся данные:

    • Логин;
    • Эл. почта;
    • Тип пользователя из настройки провайдера Тип пользователя;

    • Группы - Система проверяет, какие коды ролей (групп) передал провайдер для Системы (блок endpoint с идентификатором Системы в ИА):

      • если в блоке ролей имеются коды, которые соответствуют кодам групп пользователей Системы (системным или пользовательским), то в карточку пользователя записываются эти группы;
      • если в настройках провайдера указаны базовые группы пользователя, то в учетную запись пользователя добавляются базовые группы из настройки.

2)В Систему через кросс-авторизацию переходит пользователь с учетной записью в Системе:

  • в учетной записи пользователя удаляются все настройки по доступным группам, даже те, которые были добавлены администратором Системы вручную;

  • далее группы записываются снова, по тому же принципу, что и при создании учетной записи. Система проверяет, какие коды ролей (групп) передал провайдер для Системы (блок endpoint с идентификатором Системы в ИА):

    • если в блоке ролей имеются коды, которые соответствуют кодам групп пользователей Системы (системным или пользовательским), то в карточку пользователя записываются эти группы;
    • если в настройках провайдера указаны базовые группы пользователя, то в учетную запись пользователя добавляются базовые группы из настройки.

Для внешних провайдеров с типом LDAP:

1)Учетная запись пользователя не найдена в Системе, проводится попытка аутентификации через LDAP сервер. В случае успешной аутентификации пользователя через LDAP:

  • если отключена опция Разрешить создание новых пользователей через внешнее управление, то выходит сообщение об ошибке Для указанного в запросе пользователя не создана учетная запись. Необходимо обратиться к Администратору Системы.;

  • если включена опция Разрешить создание новых пользователей через внешнее управление, то в Системе создается новая учетная запись пользователя с флагом Предварительная проверка через LDAP сервер. Для учетной записи вносятся данные:

    • Логин;
    • Эл. почта;
    • Группы - если в настройках провайдера указаны базовые группы пользователя, то в учетную запись пользователя добавляются базовые группы из настройки.

2)Учетная запись пользователя найдена в списке пользователей Системы и у нее установлен флаг Предварительная проверка через LDAP сервер. В случае успешной аутентификации пользователя через LDAP:

  • система проверяет, были ли выполнены какие-либо изменения в профиле пользователя на корпоративном сервере. Если да, то соответствующие изменения выполняются и с учетной записью пользователя в Системе;

  • проверяется настройка базовых групп: если в настройках провайдера указаны базовые группы пользователя, то в учетную запись пользователя дополнительно добавляются базовые группы из настройки.