Часто в Консоли управления работают несколько сотрудников (системные администраторы, технические специалисты, менеджеры). Они могут управлять Браузерами и лицензиями, настраивать и изменять групповые политики, обновлять списки установленных расширений. Это создает риски безопасности — несанкционированного доступа, заражения вредоносным ПО и утечки данных.
Чтобы снизить риски, в on-prem версии Консоли управления реализована ролевая модель. Роли нужны, чтобы администраторы имели разный доступ к разным разделам Консоли: например, для специалистов по информационной безопасности — только чтение, для технической поддержки — изменение.
Администратор с нужными правами доступа создает и назначает роли в Консоли. Другие администраторы проходят аутентификацию через SAML SSO и работают в рамках ограниченного функционала, который задан их ролью.
Настроить SAML SSO и добавить администраторов
Чтобы добавить новых администраторов и использовать ролевую модель on-prem версии Консоли управления, подключитесь к IDM через SAML SSO. Этапы подключения подробно описаны в технической документации, которая передается в комплекте с образами on-prem версии Консоли.
После настройки SSO в Консоли добавьте новых администраторов. Для этого:
Перейдите в раздел Настройки → Администраторы и нажмите кнопку Добавить.
Укажите адрес электронной почты сотрудника, которому будет разрешен доступ в Консоль управления.
При аутентификации через SAML SSO адрес электронной почты сотрудника проверяется по списку раздела Администраторы. Если адреса нет в списке администраторов, пользователь получит ошибку аутентификации.
Создать роль
Войдите в on-prem версию Консоли как суперпользователь или администратор с доступами к ролям.
В разделе Настройки → Роли в правом верхнем углу нажмите Создать.
Введите название роли и описание.
Во вкладках Управление браузерами, Администрирование, Лицензирование задайте права доступа на чтение, редактирование, удаление.
В правом верхнем углу нажмите Создать.
Назначить роль
Перейдите в Настройки → Администраторы и выберите имя администратора.
Справа нажмите → Изменить роли.
В окне Роли выберите нужные роли и нажмите кнопку Сохранить.
Изменить роль
Чтобы изменить роль, используйте один из способов:
В разделе Роли
Перейдите в Настройки → Роли и выберите роль.
Справа нажмите → Изменить роль.
Во вкладках Управление браузерами, Администрирование, Лицензирование измените права доступа на чтение, редактирование, удаление.
В правом верхнем углу нажмите Сохранить.
В разделе Администратор
Перейдите в Настройки → Администраторы и выберите имя администратора.
Нажмите на кнопку с названием роли.
Во вкладках Управление браузерами, Администрирование, Лицензирование измените права доступа на чтение, редактирование, удаление.
В правом верхнем углу нажмите Сохранить.
Удалить роль
Перейдите в Настройки → Роли и выберите роль, которую нужно удалить.
Справа нажмите → Удалить
Права доступа и действия в Консоли
В таблицах ниже представлены действия администраторов и необходимые права для их выполнения. Действия сгруппированы по разделам Консоли.
Администраторы
Действие
Назначить права
Добавление администратора
Администрирование → Пользователи → Редактирование
Просмотр администраторов
Администрирование → Пользователи → Чтение
Редактирование пользователя
Администрирование → Пользователи → Редактирование
Управление ролями пользователя
Администрирование → Пользователи → Редактирование
Администрирование → Роли → Редактирование
Просмотр пользователей
Администрирование → Пользователи → Чтение
Удаление пользователя
Администрирование → Пользователи → Удаление
Роли
Действие
Назначить права
Создание роли
Администрирование → Роли → Редактирование
Редактирование роли
Администрирование → Роли → Редактирование
Просмотр ролей
Администрирование → Роли → Чтение
Удаление роли
Администрирование → Роли → Удаление
Каталог
Действие
Назначить права
Создание контейнера
Управление браузерами → Контейнеры → Редактирование
Перемещение контейнера
Управление браузерами → Контейнеры → Редактирование
Удаление контейнера
Управление браузерами → Контейнеры → Удаление
Просмотр настроек контейнера
Управление браузерами → Контейнеры → Чтение
Администрирование → Роли → Чтение
Просмотр контейнера
Управление браузерами → Контейнеры → Чтение
Перемещение устройства в контейнер
Управление браузерами → Контейнеры → Редактирование
Перемещение сотрудника
Управление браузерами → Контейнеры → Редактирование
Просмотр дочерних элементов контейнера
Управление браузерами → Контейнеры → Чтение
Сопоставление устройств
Управление браузерами → Контейнеры → Редактирование
Браузеры в Каталоге
Действие
Назначить права
Просмотр устройства
Управление браузерами → Контейнеры → Чтение
Редактирование устройства
Управление браузерами → Контейнеры → Редактирование
Удаление устройства
Управление браузерами → Контейнеры → Удаление
Просмотр устройств в контейнере
Управление браузерами → Контейнеры → Чтение
Лицензии
Действие
Назначить права
Управление лицензиями устройства
Лицензирование → Лицензии → Редактирование
Создание лицензии
Лицензирование → Лицензии → Редактирование
Просмотр лицензий
Лицензирование → Лицензии → Чтение
Скачивание лицензии
Лицензирование → Лицензии → Скачивание
Просмотр статистики лицензий
Лицензирование → Лицензии → Чтение
Выгрузка лицензий
Лицензирование → Лицензии → Редактирование
Назначение лицензии контейнеру
Лицензирование → Лицензии → Редактирование
Удаление лицензии с контейнера
Лицензирование → Лицензии → Редактирование
Управление API-токеном
Действие
Назначить права
Создание API-токена
Управление браузерами → API-токены → Редактирование
Изменение API-токена
Управление браузерами → API-токены → Редактирование
Просмотр API-токенов
Управление браузерами → API-токены → Чтение
Удаление API-токена
Управление браузерами → API-токены → Редактирование
Управление LDAPS
Действие
Назначить права
Активация или деактивация LDAP-соединения
Управление браузерами → LDAP подключения → Редактирование
Синхронизация LDAP-соединения
Управление браузерами → LDAP подключения → Редактирование
Переименование LDAP-соединения
Управление браузерами → LDAP подключения → Редактирование
Удаление LDAP-соединения
Управление браузерами → LDAP подключения → Удаление
Просмотр настроек мэтчинга
Управление браузерами → LDAP подключения → Чтение
Редактирование настроек мэтчинга
Управление браузерами → LDAP подключения → Редактирование
Просмотр LDAP-соединений
Управление браузерами → LDAP подключения → Чтение
Создание LDAP-соединения
Управление браузерами → LDAP подключения → Редактирование
Редактирование настроек партнера
Управление браузерами → LDAP подключения → Редактирование