Ролевая модель в on-prem Консоли
Часто в Консоли управления работают несколько сотрудников (системные администраторы, технические специалисты, менеджеры). Они могут управлять Браузерами и лицензиями, настраивать и изменять групповые политики, обновлять списки установленных расширений. Это создает риски безопасности — несанкционированного доступа, заражения вредоносным ПО и утечки данных.
Чтобы снизить риски, в on-prem версии Консоли управления реализована ролевая модель. Роли нужны, чтобы администраторы имели разный доступ к разным разделам Консоли: например, для специалистов по информационной безопасности — только чтение, для технической поддержки — изменение.
Администратор с нужными правами доступа создает и назначает роли в Консоли. Другие администраторы проходят аутентификацию через SAML SSO и работают в рамках ограниченного функционала, который задан их ролью.
Настроить SAML SSO и добавить администраторов
Чтобы добавить новых администраторов и использовать ролевую модель on-prem версии Консоли управления, подключитесь к IDM через SAML SSO. Этапы подключения подробно описаны в технической документации, которая передается в комплекте с образами on-prem версии Консоли.
После настройки SSO в Консоли добавьте новых администраторов. Для этого:
-
Перейдите в раздел Настройки → Администраторы и нажмите кнопку Добавить.
-
Укажите адрес электронной почты сотрудника, которому будет разрешен доступ в Консоль управления.
При аутентификации через SAML SSO адрес электронной почты сотрудника проверяется по списку раздела Администраторы. Если адреса нет в списке администраторов, пользователь получит ошибку аутентификации.
Создать роль
- Войдите в on-prem версию Консоли как суперпользователь или администратор с доступами к ролям.
- В разделе Настройки → Роли в правом верхнем углу нажмите Создать.
- Введите название роли и описание.
- Во вкладках Управление браузерами, Администрирование, Лицензирование задайте права доступа на чтение, редактирование, удаление.
- В правом верхнем углу нажмите Создать.
Назначить роль
- Перейдите в Настройки → Администраторы и выберите имя администратора.
- Справа нажмите → Изменить роли.
- В окне Роли выберите нужные роли и нажмите кнопку Сохранить.
Изменить роль
Чтобы изменить роль, используйте один из способов:
-
В разделе Роли
- Перейдите в Настройки → Роли и выберите роль.
- Справа нажмите → Изменить роль.
- Во вкладках Управление браузерами, Администрирование, Лицензирование измените права доступа на чтение, редактирование, удаление.
- В правом верхнем углу нажмите Сохранить.
-
В разделе Администратор
- Перейдите в Настройки → Администраторы и выберите имя администратора.
- Нажмите на кнопку с названием роли.
- Во вкладках Управление браузерами, Администрирование, Лицензирование измените права доступа на чтение, редактирование, удаление.
- В правом верхнем углу нажмите Сохранить.
Удалить роль
- Перейдите в Настройки → Роли и выберите роль, которую нужно удалить.
- Справа нажмите → Удалить
Права доступа и действия в Консоли
В таблицах ниже представлены действия администраторов и необходимые права для их выполнения. Действия сгруппированы по разделам Консоли.
Администраторы
|
Действие |
Назначить права |
|
Добавление администратора |
Администрирование → Пользователи → Редактирование |
|
Просмотр администраторов |
Администрирование → Пользователи → Чтение |
|
Редактирование пользователя |
Администрирование → Пользователи → Редактирование |
|
Управление ролями пользователя |
Администрирование → Пользователи → Редактирование |
|
Администрирование → Роли → Редактирование |
|
|
Просмотр пользователей |
Администрирование → Пользователи → Чтение |
|
Удаление пользователя |
Администрирование → Пользователи → Удаление |
Роли
|
Действие |
Назначить права |
|
Создание роли |
Администрирование → Роли → Редактирование |
|
Редактирование роли |
Администрирование → Роли → Редактирование |
|
Просмотр ролей |
Администрирование → Роли → Чтение |
|
Удаление роли |
Администрирование → Роли → Удаление |
Каталог
|
Действие |
Назначить права |
|
Создание контейнера |
Управление браузерами → Контейнеры → Редактирование |
|
Перемещение контейнера |
Управление браузерами → Контейнеры → Редактирование |
|
Удаление контейнера |
Управление браузерами → Контейнеры → Удаление |
|
Просмотр настроек контейнера |
Управление браузерами → Контейнеры → Чтение |
|
Администрирование → Роли → Чтение |
|
|
Просмотр контейнера |
Управление браузерами → Контейнеры → Чтение |
|
Перемещение устройства в контейнер |
Управление браузерами → Контейнеры → Редактирование |
|
Перемещение сотрудника |
Управление браузерами → Контейнеры → Редактирование |
|
Просмотр дочерних элементов контейнера |
Управление браузерами → Контейнеры → Чтение |
|
Сопоставление устройств |
Управление браузерами → Контейнеры → Редактирование |
Браузеры в Каталоге
|
Действие |
Назначить права |
|
Просмотр устройства |
Управление браузерами → Контейнеры → Чтение |
|
Редактирование устройства |
Управление браузерами → Контейнеры → Редактирование |
|
Удаление устройства |
Управление браузерами → Контейнеры → Удаление |
|
Просмотр устройств в контейнере |
Управление браузерами → Контейнеры → Чтение |
Лицензии
|
Действие |
Назначить права |
|
Управление лицензиями устройства |
Лицензирование → Лицензии → Редактирование |
|
Создание лицензии |
Лицензирование → Лицензии → Редактирование |
|
Просмотр лицензий |
Лицензирование → Лицензии → Чтение |
|
Скачивание лицензии |
Лицензирование → Лицензии → Скачивание |
|
Просмотр статистики лицензий |
Лицензирование → Лицензии → Чтение |
|
Выгрузка лицензий |
Лицензирование → Лицензии → Редактирование |
|
Назначение лицензии контейнеру |
Лицензирование → Лицензии → Редактирование |
|
Удаление лицензии с контейнера |
Лицензирование → Лицензии → Редактирование |
Управление API-токеном
|
Действие |
Назначить права |
|
Создание API-токена |
Управление браузерами → API-токены → Редактирование |
|
Изменение API-токена |
Управление браузерами → API-токены → Редактирование |
|
Просмотр API-токенов |
Управление браузерами → API-токены → Чтение |
|
Удаление API-токена |
Управление браузерами → API-токены → Редактирование |
Управление LDAPS
|
Действие |
Назначить права |
|
Активация или деактивация LDAP-соединения |
Управление браузерами → LDAP подключения → Редактирование |
|
Синхронизация LDAP-соединения |
Управление браузерами → LDAP подключения → Редактирование |
|
Переименование LDAP-соединения |
Управление браузерами → LDAP подключения → Редактирование |
|
Удаление LDAP-соединения |
Управление браузерами → LDAP подключения → Удаление |
|
Просмотр настроек мэтчинга |
Управление браузерами → LDAP подключения → Чтение |
|
Редактирование настроек мэтчинга |
Управление браузерами → LDAP подключения → Редактирование |
|
Просмотр LDAP-соединений |
Управление браузерами → LDAP подключения → Чтение |
|
Создание LDAP-соединения |
Управление браузерами → LDAP подключения → Редактирование |
|
Редактирование настроек партнера |
Управление браузерами → LDAP подключения → Редактирование |
Управление SSO
|
Действие |
Назначить права |
|
Создание SSO-подключения |
Администрирование → SSO конфигурация → Редактирование |
|
Просмотр настроек SSO |
Администрирование → SSO конфигурация → Чтение |
|
Редактирование настроек SSO |
Администрирование → SSO конфигурация → Редактирование |
Управление On-Premise
|
Действие |
Назначить права |
|
Загрузка ключей политик |
Администрирование → Настройки on-prem → Редактирование |
|
Просмотр настроек On-Premise |
Администрирование → Настройки on-prem → Чтение |
Также вы можете перейти на сервис
Полезные ссылки