Ролевая модель в on-prem Консоли

Часто в Консоли управления работают несколько сотрудников (системные администраторы, технические специалисты, менеджеры). Они могут управлять Браузерами и лицензиями, настраивать и изменять групповые политики, обновлять списки установленных расширений. Это создает риски безопасности — несанкционированного доступа, заражения вредоносным ПО и утечки данных.

Чтобы снизить риски, в on-prem версии Консоли управления реализована ролевая модель. Роли нужны, чтобы администраторы имели разный доступ к разным разделам Консоли: например, для специалистов по информационной безопасности — только чтение, для технической поддержки — изменение.

Администратор с нужными правами доступа создает и назначает роли в Консоли. Другие администраторы проходят аутентификацию через SAML SSO и работают в рамках ограниченного функционала, который задан их ролью.

Настроить SAML SSO и добавить администраторов

Чтобы добавить новых администраторов и использовать ролевую модель on-prem версии Консоли управления, подключитесь к IDM через SAML SSO. Этапы подключения подробно описаны в технической документации, которая передается в комплекте с образами on-prem версии Консоли.

После настройки SSO в Консоли добавьте новых администраторов. Для этого:

  1. Перейдите в раздел Настройки → Администраторы и нажмите кнопку Добавить.

  2. Укажите адрес электронной почты сотрудника, которому будет разрешен доступ в Консоль управления.

При аутентификации через SAML SSO адрес электронной почты сотрудника проверяется по списку раздела Администраторы. Если адреса нет в списке администраторов, пользователь получит ошибку аутентификации.

Создать роль

  1. Войдите в on-prem версию Консоли как суперпользователь или администратор с доступами к ролям.
  2. В разделе Настройки → Роли в правом верхнем углу нажмите Создать.
  3. Введите название роли и описание.
  4. Во вкладках Управление браузерами, Администрирование, Лицензирование задайте права доступа на чтение, редактирование, удаление.
  5. В правом верхнем углу нажмите Создать.

Назначить роль

  1. Перейдите в Настройки → Администраторы и выберите имя администратора.
  2. Справа нажмите  → Изменить роли.
  3. В окне Роли выберите нужные роли и нажмите кнопку Сохранить.

Изменить роль

Чтобы изменить роль, используйте один из способов:

  • В разделе Роли

    1. Перейдите в Настройки → Роли и выберите роль.
    2. Справа нажмите  → Изменить роль.
    3. Во вкладках Управление браузерами, Администрирование, Лицензирование измените права доступа на чтение, редактирование, удаление.
    4. В правом верхнем углу нажмите Сохранить.
  • В разделе Администратор

    1. Перейдите в Настройки → Администраторы и выберите имя администратора.
    2. Нажмите на кнопку с названием роли.
    3. Во вкладках Управление браузерами, Администрирование, Лицензирование измените права доступа на чтение, редактирование, удаление.
    4. В правом верхнем углу нажмите Сохранить.

Удалить роль

  1. Перейдите в Настройки → Роли и выберите роль, которую нужно удалить.
  2. Справа нажмите  → Удалить

Права доступа и действия в Консоли

В таблицах ниже представлены действия администраторов и необходимые права для их выполнения. Действия сгруппированы по разделам Консоли.

Администраторы

Действие

Назначить права

Добавление администратора

Администрирование → Пользователи → Редактирование

Просмотр администраторов

Администрирование → Пользователи → Чтение

Редактирование пользователя

Администрирование → Пользователи → Редактирование

Управление ролями пользователя

Администрирование → Пользователи → Редактирование

Администрирование → Роли → Редактирование

Просмотр пользователей

Администрирование → Пользователи → Чтение

Удаление пользователя

Администрирование → Пользователи → Удаление

Роли

Действие

Назначить права

Создание роли

Администрирование → Роли → Редактирование

Редактирование роли

Администрирование → Роли → Редактирование

Просмотр ролей

Администрирование → Роли → Чтение

Удаление роли

Администрирование → Роли → Удаление

Каталог

Действие

Назначить права

Создание контейнера

Управление браузерами → Контейнеры → Редактирование

Перемещение контейнера

Управление браузерами → Контейнеры → Редактирование

Удаление контейнера

Управление браузерами → Контейнеры → Удаление

Просмотр настроек контейнера

Управление браузерами → Контейнеры → Чтение

Администрирование → Роли → Чтение

Просмотр контейнера

Управление браузерами → Контейнеры → Чтение

Перемещение устройства в контейнер

Управление браузерами → Контейнеры → Редактирование

Перемещение сотрудника

Управление браузерами → Контейнеры → Редактирование

Просмотр дочерних элементов контейнера

Управление браузерами → Контейнеры → Чтение

Сопоставление устройств

Управление браузерами → Контейнеры → Редактирование

Браузеры в Каталоге

Действие

Назначить права

Просмотр устройства

Управление браузерами → Контейнеры → Чтение

Редактирование устройства

Управление браузерами → Контейнеры → Редактирование

Удаление устройства

Управление браузерами → Контейнеры → Удаление

Просмотр устройств в контейнере

Управление браузерами → Контейнеры → Чтение

Лицензии

Действие

Назначить права

Управление лицензиями устройства

Лицензирование → Лицензии → Редактирование

Создание лицензии

Лицензирование → Лицензии → Редактирование

Просмотр лицензий

Лицензирование → Лицензии → Чтение

Скачивание лицензии

Лицензирование → Лицензии → Скачивание

Просмотр статистики лицензий

Лицензирование → Лицензии → Чтение

Выгрузка лицензий

Лицензирование → Лицензии → Редактирование

Назначение лицензии контейнеру

Лицензирование → Лицензии → Редактирование

Удаление лицензии с контейнера

Лицензирование → Лицензии → Редактирование

Управление API-токеном

Действие

Назначить права

Создание API-токена

Управление браузерами → API-токены → Редактирование

Изменение API-токена

Управление браузерами → API-токены → Редактирование

Просмотр API-токенов

Управление браузерами → API-токены → Чтение

Удаление API-токена

Управление браузерами → API-токены → Редактирование

Управление LDAPS

Действие

Назначить права

Активация или деактивация LDAP-соединения

Управление браузерами → LDAP подключения → Редактирование

Синхронизация LDAP-соединения

Управление браузерами → LDAP подключения → Редактирование

Переименование LDAP-соединения

Управление браузерами → LDAP подключения → Редактирование

Удаление LDAP-соединения

Управление браузерами → LDAP подключения → Удаление

Просмотр настроек мэтчинга

Управление браузерами → LDAP подключения → Чтение

Редактирование настроек мэтчинга

Управление браузерами → LDAP подключения → Редактирование

Просмотр LDAP-соединений

Управление браузерами → LDAP подключения → Чтение

Создание LDAP-соединения

Управление браузерами → LDAP подключения → Редактирование

Редактирование настроек партнера

Управление браузерами → LDAP подключения → Редактирование

Управление SSO

Действие

Назначить права

Создание SSO-подключения

Администрирование → SSO конфигурация → Редактирование

Просмотр настроек SSO

Администрирование → SSO конфигурация → Чтение

Редактирование настроек SSO

Администрирование → SSO конфигурация → Редактирование

Управление On-Premise

Действие

Назначить права

Загрузка ключей политик

Администрирование → Настройки on-prem → Редактирование

Просмотр настроек On-Premise

Администрирование → Настройки on-prem → Чтение


Написать в службу поддержки

Также вы можете перейти на сервис

favicon Яндекс Браузера для организаций



Полезные ссылки

Промостраница Яндекс Браузера для организаций