Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Управление доступом

1. Сервисы

Раздел Сервисы содержит список всех доступных на портале сервисов. Сервис создается по определённым правилам для ввода в эксплуатацию.

Сервис регистрирует свои ресурсы в IAM для того, чтобы можно было разграничивать права доступа.

Каждый сервис имеет:

  • Ресурсные типы — объекты, предоставляемые и управляемые через API

  • Ресурсные правила — специальные правила, которые указывают для какого API-запроса какое действие совершается

  • Ресурсы — экземпляры объектов сервиса

1.1. Создание сервиса

Чтобы создать сервис:

  1. Перейдите в Управление доступом  Сервисы.

  2. Нажмите Создать.

  3. В появившемся окне введите необходимые параметры:

    1. Кодовое название

    2. Название

    3. Описание

      create service
  4. Нажмите Создать.

Для поиска существующих сервисов можно выполнять фильтрацию по параметрам Кодовое название и Название.

1.2. Изменение сервиса

Чтобы изменить сервис:

  1. Перейдите в Управление доступом  Сервисы.

  2. В строке напротив нужного сервиса нажмите .

  3. В открывшемся окне измените необходимые параметры.

  4. Нажмите Сохранить.

1.3. Удаление сервиса

Чтобы удалить сервис:

  1. Перейдите в Управление доступом  Сервисы.

  2. В строке напротив нужного сервиса нажмите 🗑.

  3. Подтвердите удаление, нажав Да, удалить.

1.4. Ресурсные типы

1.4.1. Создание ресурсного типа

Чтобы создать ресурсный тип:

  1. Перейдите в Управление доступом  Сервисы.

  2. Выберите нужный сервис.

  3. Перейдите на вкладку Ресурсные типы и нажмите Создать.

  4. В окне Создание ресурсного типа заполните:

    • Код — кодовое название для ресурсного типа. Это название будет использоваться в системе и при выполнении операций, например, при создании Ресурсного правила

      В кодовом названии допустимо использовать только латинские буквы в нижнем регистре, дефис или нижнее подчеркивание

    • Название — название ресурсного типа латинскими буквами без пробелов. Можно использовать цифры и нижнее подчеркивание

    • Действия — введите через запятую действия, которые будет выполнять этот ресурсный тип

      create resource type
  5. Нажмите Создать.

После создания ресурсный тип отобразится в списке на вкладке Ресурсные типы.

1.4.2. Экспорт ресурсного типа

Чтобы экспортировать список ресурсных типов в файл CSV-формата:

  1. Перейдите в Управление доступом  Сервисы.

  2. Выберите нужный сервис.

  3. На вкладке Ресурсные типы нажмите b csv.

  4. Подтвердите действие, нажав Скачать.

    После этого начнется скачивание файла со списком ресурсных типов в CSV-формате.

1.4.3. Импорт ресурсного типа

Чтобы импортировать список ресурсных типов из файла CSV-формата:

  1. Перейдите в Управление доступом  Сервисы.

  2. Выберите нужный сервис.

  3. На вкладке Ресурсные типы нажмите b service import.

  4. Перетащите файл в CSV-формате в окно Загрузить ресурсные типы или нажмите на окно, чтобы выбрать файл на вашем компьютере.

  5. Дождитесь загрузки файла и нажмите Готово.

    После успешного завершения процесса, импортированные ресурсные типы отобразятся в списке.

1.4.4. Изменение ресурсного типа

Чтобы изменить ресурсный тип:

  1. Перейдите в Управление доступом  Сервисы.

  2. Выберите нужный сервис.

  3. На вкладке Ресурсные типы в строке нужного ресурсного типа нажмите и выберите Изменить.

  4. Внесите необходимые изменения.

    Изменение поля Код недоступно.

  5. Нажмите Сохранить.

1.4.5. Удаление ресурсного типа

Чтобы удалить ресурсный тип:

  1. Перейдите в Управление доступом  Сервисы.

  2. Выберите нужный сервис.

  3. На вкладке Ресурсные типы в строке нужного ресурсного типа нажмите и выберите Удалить.

  4. В открывшемся окне подтвердите удаление, нажав Да, удалить.

При удалении ресурсного типа также удаляется связанное с ним ресурсное правило.

1.5. Ресурсные правила

Ресурсное правило добавляется после создания ресурсного типа.

1.5.1. Создание ресурсного правила

Чтобы создать ресурсное правило:

  1. Перейдите в Управление доступом  Сервисы.

  2. Выберите нужный сервис.

  3. На вкладке Ресурсные правила нажмите Создать.

  4. В окне Создание ресурсного правила заполните параметры:

    • http-метод — метод HTTP-запроса, из выпадающего списка выберите одно из значений

    • url-паттерн — шаблон относительного пути, по которому будет выполняться запрос

    • Действие — укажите действие в формате сервис:ресурсный тип:действие, где:

      • сервис — название сервиса, в котором создается это ресурсное правило

      • ресурсный тип — код предварительно созданного ресурсного типа

      • действие — действие, указанное в ресурсном типе

    • Название операции — название выполняемой операции латинскими буквами буквами без пробелов. Можно использовать цифры и нижнее подчеркивание

    • Приоритет правила — приоритет применения правила к запрашиваемому URL, где значение 0 — самый низкий приоритет и 10 — самый высокий

    • Тип доступа:

      • admin — доступ для системных администраторов портала

      • public — доступ для всех пользователей

      • members — доступ, который привязан к политикам и зависит от наличия разрешений у пользователя

      • any_organization_subject — доступ для пользователей организации, имеющих одно или более разрешений в организации. Ответ на запрос с таким типом доступа содержит данные только той организации, в которой пользователь состоит

        create resource rule

1.5.2. Изменение ресурсного правила

Чтобы изменить ресурсное правило:

  1. Перейдите в Управление доступом  Сервисы.

  2. Выберите нужный сервис и перейдите на вкладку Ресурсные правила.

  3. Напротив нужного ресурсного правила нажмите и выберите Изменить.

  4. В открывшемся окне измените название ресурсного правила, приоритет или тип доступа. Другие поля недоступны для изменения.

  5. Нажмите Сохранить.

1.5.3. Удаление ресурсного правила

Чтобы удалить ресурсное правило:

  1. Перейдите в Управление доступом  Сервисы.

  2. Выберите нужный сервис и перейдите на вкладку Ресурсные правила.

  3. Напротив нужного ресурсного правила нажмите и выберите Удалить.

  4. В открывшемся окне подтвердите удаление, нажав Да, удалить.

2. Учетные записи

Раздел Учетные записи содержит список всех созданных пользователей.

Для поиска пользователей можно использовать фильтрацию: необходимо выбрать нужные параметры и нажать Применить. Также доступен экспорт данных в CSV-формат.

users

В качестве единой точки аутентификации и авторизации используется Keycloak.

2.1. Создание учетной записи

Чтобы создать учетную запись:

  1. Подключитесь к сервису Keycloak по адресу https://auth.<FQDN_dcmanager>/auth/

  2. Выберите пространство (Realm).

    keycloak1
  3. Перейдите во вкладку Users и нажмите Add user.

    keycloak2
  4. Укажите следующие параметры для нового пользователя:

    • Username

    • Email

    • First name

    • Last name

      keycloak3
  5. Для сохранения параметров нажмите Create. При успешном создании пользователя будут отображены его свойства.

    keycloak4
  6. Перейдите во вкладку Credentials, нажмите Set Password и задайте пароль.

    keycloak5
    Отключите опцию Temporary, если не требуется смена пароля при следующем входе.

После завершения процедуры создания пользователь отобразится в списке пользователей на портале администрирования. Далее пользователя можно будет отнести к организации и назначить ему роли. Подробнее рассмотрено в разделах Учетные записи и Добавление пользователя к организации.

view user

2.2. Cовместимость с LDAP

Для использования внешнего источника учетных записей необходимо подключить в Keycloak новый LDAP-провайдер.

Чтобы подключить новый LDAP-провайдер:

  1. Разверните Active directory и создайте пользователя, который будет иметь роль администратора AD. В данном случае имя пользователя — DCManager Service.

    Все пользователи обязательно должны иметь почту.

  2. Подключитесь к сервису Keycloak по адресу https://auth.<FQDN_dcmanager>/auth/

  3. Выберите пространство Portal.

  4. Перейдите во вкладку User Federation и нажите Add new provider, выберите LDAP.

  5. В открывшемся окне задайте следующие параметры:

    • Console display name — отображаемое имя провайдера при ссылке в консоли администратора

    • Vendor — поставщик (провайдер) LDAP, в данном случае выбираем Active Directory

    • Connection URL — URL-адрес подключения к вашему серверу LDAP, указывается в формате ldap://IP-адрес сервера.252:389

    • Use Truststore SPI — указывает, будет ли LDAP-соединение использовать Truststore SPI с truststore, настроенным в standalone.xml/domain.sml. Всегда означает, что оно всегда будет его использовать. Никогда означает, что оно не будет его использовать. Only for ldaps означает, что он будет использовать его, если URL вашего соединения использует ldaps

    • Connection timeout — таймаут соединения LDAP в миллисекундах

    • Bind type — тип метода аутентификации, используемого во время операции связывания LDAP. Он используется в большинстве запросов, отправляемых на LDAP-сервер. В настоящее время доступны только механизмы none (анонимная аутентификация LDAP) или simple (аутентификация по привязке учетных данных и привязка пароля)

    • Bind DN — DN администратора LDAP, который будет использоваться Keycloak для доступа к серверу LDAP

    • Bind credentials — пароль администратора LDAP

  6. После основных параметров задайте параметры поиска и обновления по LDAP:

    • Edit mode — задает параметры редактирования. Значение READ_ONLY означает что, LDAP-хранилище только для чтения. Значение WRITABLE означает, что данные будут синхронизироваться с LDAP по требованию. Значение UNSYNCED означает, что пользовательские данные будут импортированы, но не будут синхронизированы с LDAP

    • Users DN — указывается полный DN дерева LDAP, в котором находятся ваши пользователи. Этот DN является родительским для пользователей LDAP. Это может быть, например, ou=users,dc=example,dc=com, предполагая, что ваш пользователь будет иметь DN типа uid='john',ou=users,dc=example,dc=com

    • Username LDAP attribute — имя атрибута LDAP, который сопоставляется с именем пользователя Keycloak. Для многих поставщиков LDAP-серверов это может быть uid. Для Active directory это может быть sAMAccountName или cn. Атрибут должен быть заполнен для всех записей пользователей LDAP, которые вы хотите импортировать из LDAP в Keycloak

    • RDN LDAP attribute — имя LDAP-атрибута, который используется в качестве RDN (верхнего атрибута) типичного DN пользователя. Обычно это то же самое, что и LDAP-атрибут Username, однако это не обязательно

    • UUID LDAP attribute — имя атрибута LDAP, который используется в качестве уникального идентификатора объекта (UUID) для объектов в LDAP. Для Active directory должно быть задано objectGUID

    • User object classes — все значения атрибута LDAP objectClass для пользователей в LDAP, разделенные запятыми. Например: inetOrgPerson, organizationalPerson. Вновь созданные пользователи Keycloak будут записаны в LDAP со всеми этими объектными классами, а существующие записи пользователей LDAP будут найдены только в том случае, если они содержат все эти объектные классы

  7. Для проверки подключения провайдера перейдите во вкладку Users, в строке поиска введите символ *: будут отображены как локальные пользователи, так и пользователи из каталога Users в Active Directory.

  8. Для назначения пользователю роли перейдите в административную панель во вкладку Управление доступом  Глобальные роли. Щелкните по необходимой роли, во вкладке Участники нажмите Добавить участника и выберите пользователя.

  9. Для проверки входа пользователя перезайдите в административную панель с учетными данными пользователя. В качестве учетных данных используйте параметр сn и пароль, указанный в Active Directory.

3. Сервисные аккаунты

Сервисный аккаунт — аккаунт, от имени которого можно управлять ресурсами в zVirt DC Manager.

Раздел Сервисные аккаунты содержит список всех созданных сервисных аккаунтов.

Для поиска сервисных аккаунтов можно использовать фильтрацию: выберите нужные параметры и нажмите Применить.

service accounts

4. Роли

Пользователи портала получают роль в рамках контекста — на уровне организации, папки или проекта.

При получении роли на проект действия, доступные данной роли, пользователь может выполнять только в этом проекте. Если часть действий, доступных роли, можно совершать только на уровне организации — пользователь не сможет их совершить.

Если роль получена на папку или организацию, то доступные действия пользователь может совершать в выбранной папке, а также во всех дочерних папках и проектах вниз по дереву. Причем не только в тех, которые существовали при назначении прав пользователю, но и во всех вновь созданных.

Экран Роли содержит список всех известных ролей.

Роли могут быть следующих типов:

  • Глобальные

  • Базовые

  • Сервисные

  • Пользовательские

Для удобства поиска на экране доступны поля для фильтрации вывода.

Для обновления соответствующего типа ролей используйте кнопки Обновить сервисные роли и Обновить базовые роли.

4.1. Глобальные роли

Глобальные роли предоставляют права доступа вне контекста. Пользователи, обладающие глобальной ролью, не видны на портале в списке пользователей организации, но их действия отображаются в аудите на портале.

Действия, разрешенные пользователю с глобальной ролью, доступны ему во всех организациях.

Существуют предустановленные глобальные роли:

Суперадминистратор

Доступные функции:

  • Управление всеми организациями

  • Просмотр и управление продуктовым каталогом

  • Аудит действий участников команды

  • Просмотр данных и управление сервисом новостей и рассылок

  • Назначение глобальных ролей участникам команды сопровождения

  • Просмотр списка ролей и глобальных ролей любого пользователя

Супер редактор

Роль дает возможность управления всеми действиями, за исключением назначения глобальных ролей:

  • Управление всеми организациями

  • Просмотр и управление продуктовым каталогом

  • Аудит действий участников команды

  • Просмотр данных и управление сервисом новостей и рассылок

  • Просмотр списка ролей и глобальных ролей любого пользователя облака

Presale-менеджер, менеджер по настройке организаций

Доступные функции:

  • Просмотр, создание и управление организациями, папками и проектами

  • Просмотр списка пользователей организации и их ролей, назначение ролей пользователям

  • Приглашение новых пользователей в организацию

Service-менеджер, менеджер по управлению организацией

Доступные функции:

  • Просмотр заказанных услуг всех организаций

  • Аудит действий пользователей всех организаций

  • Аудит действий участников команды

Analytics Viewer, аналитик организаций

Доступные функции:

  • Просмотр заказанных услуг всех организаций

  • Аудит действий пользователей всех организаций

  • Аудит действий участников команды

Администратор продуктового каталога

Доступные функции:

  • Просмотр и управление Продуктовым конструктором на портале администрирования

  • Просмотр логов Продуктового конструктора

Наблюдатель продуктового каталога

Доступные функции:

  • Просмотр всех разделов Продуктового конструктора на портале администрирования

  • Просмотр логов Продуктового конструктора

Администратор сервиса новостей

Роль дает доступ к управлению сервисом новостей.

Администратор сервиса справочников

Роль дает доступ к управлению сервисом справочников.

Администратор управления доступом к организации

Доступные функции:

  • Просмотр, создание и управление организациями

  • Просмотр списка пользователей организации и их ролей, назначение ролей пользователям

Администратор управления доступом к папке

Доступные функции:

  • Просмотр, создание и управление папок в организациях

  • Просмотр списка пользователей на уровне папки и их ролей, назначение ролей пользователям

Наблюдатель виртуальных дата-центров

Роль дает доступ к просмотру дата-центров, созданных пользователями на портале vDC-организаций.

Наблюдатель отчетов

Доступные функции:

  • Просмотр созданных пользователями на портале заказов (заказанных ресурсов)

  • Просмотр созданных пользователями на портале vDC-организаций

4.1.1. Создание глобальной роли

Чтобы создать глобальную роль:

  1. Перейдите в Управление доступом  Роли.

  2. Нажмите + Глобальная роль.

  3. В окне Создание глобальной роли введите параметры:

    1. Название

    2. Код роли

    3. Описание

    4. Выберите из выпадающего списка права для применения к создаваемой роли.

      add global role
  4. Нажмите Создать.

4.2. Базовые роли

К базовым ролям относятся:

Администратор

Роль дает все разрешения для управления порталом внутри организации:

  • Заказ и управление услугами портала

  • Управление доступом пользователей к услугами портала

  • Просмотр, создание и удаление папок и проектов внутри организации

  • Просмотр списка пользователей организации и их ролей, назначение ролей пользователям

  • Приглашение новых пользователей в организацию

  • Аудит действий пользователей на портале, подраздел Аудит раздела Аналитика

  • Просмотр существующих ролей в организации

  • Создание кастомных ролей для своей организации

  • Управление сервисными аккаунтами и ключами сервисных аккаунтов

  • Управление SSH-ключами для доступа к виртуальным машинам

Редактор

Роль дает разрешения для управления порталом, за исключением управления доступом к порталу:

  • Заказ и управление услугами портала

  • Просмотр, создание и удаление папок и проектов внутри организации

  • Просмотр списка пользователей организации и их ролей

  • Аудит действий пользователей на портале, подраздел Аудит раздела Аналитика

  • Просмотр существующих ролей в организации

  • Создание кастомных ролей для своей организации

  • Управление сервисными аккаунтами и ключами сервисных аккаунтов

  • Управление SSH-ключами для доступа к виртуальным машинам

Наблюдатель

Роль дает разрешения на просмотр функционала портала:

  • Просмотр заказанных виртуальных машин

  • Просмотр созданных заказов услуг

  • Просмотр папок и проектов внутри организации

  • Просмотр списка пользователей организации и их ролей

  • Аудит действий пользователей на портале, подраздел Аудит раздела Аналитика

  • Просмотр существующих ролей в организации

  • Просмотр сервисных аккаунтов

4.3. Сервисные роли

К сервисным ролям относятся:

Администратор организации

Роль дает разрешения для управления доступом к проектам, папкам и организации: просмотр списка пользователей организации и их ролей, назначение ролей пользователям.

Администратор IAM проекта

Роль дает разрешения для управления доступом к проекту, на который она назначена, либо ко всем проектам, находящимся внутри папки/организации, если роль назначена на уровне папки/организации:

  • Просмотр раздела Организации

  • Назначение ролей существующим пользователям организации на проект

Администратор сервисных аккаунтов

Роль дает разрешения для управления сервисными аккаунтами:

  • Создание, редактирование и удаление сервисных аккаунтов в проектах

  • Управление ключами сервисных аккаунтов

Наблюдатель сервисных аккаунтов

Роль дает разрешения для просмотра сервисных аккаунтов:

  • Просмотр сервисных аккаунтов (доступны на уровне проекта)

  • Просмотр ключей сервисных аккаунтов

Администратор ролей

Роль дает разрешения для управления доступом к проектам, папкам и организации:

  • Создание, редактирование и удаление кастомных ролей в организации

Наблюдатель аудита

Роль дает разрешения на просмотр действий пользователей на портале и просмотр подраздела Аудит и раздела Аналитика.

Администратор тегов

Роль дает разрешения для управления тегами организационной структуры:

  • Создание, редактирование и удаление тегов организационной структуры в формате ключ/значение

  • Привязка тегов к элементам организационной структуры

Наблюдатель тегов

Роль дает разрешения для просмотра тегов организационной структуры:

  • Просмотр тегов организационной структуры в формате ключ/значение

  • Просмотр тегов, привязанных к элементам организационной структуры

4.4. Назначение роли

Назначить роль можно сервисному аккаунту или отдельному пользователю.

Чтобы назначить роль:

  1. Перейдите во вкладку Управление доступом  Роли.

  2. Выберите из списка необходимую роль и перейдите во вкладку Участники.

  3. Нажмите Добавить и выберите Сервисный аккаунт или Пользователь.

  4. В открывшемся окне выберите из выпадающего списка пользователей или сервисный аккаунт.

    add role
  5. Нажмите Добавить.

5. Организации

Организация — объект, который описывает самый верхний уровень иерархии организационной структуры портала и ассоциируется с реальной организацией или инфраструктурой.

В разделе Организации отображается список организаций, а также доступны инструменты управления ими. Каждая организация представлена как иерархический список каталогов: папок и проектов.

Для поиска организации на экране доступны поля фильтрации вывода.

5.1. Создание организации

Пользователь с правами администратора может создавать отдельные организации.

Чтобы создать организацию:

  1. Перейдите в Управление доступом  Организации.

  2. Нажмите +Создать.

  3. В разделе Создание организации  Общая информация введите параметры:

    • Название — укажите название новой организации

    • Email владельца — укажите электронную почту владельца организации

    • (Опционально)Описание — при необходимости добавьте описание организации

    • dns-серверы — перечислите DNS-сервера организации

    • Размещение любых виртуальных машин на GPU-хостах — чтобы разрешить размещение любых виртуальных машин на GPU-хостах, активируйте опцию

      new org general
  4. Нажмите Далее.

  5. В разделе Создание организации  Ресурсные квоты введите параметры:

    • Из выпадающего списка выберите подключаемую платформу zVirt.

      Чтобы добавить несколько подключений, нажмите + после добавления первого подключения.

    • Для каждого подключения активируйте ресурсы и укажите размер ресурсных квот:

      Назначить ресурсные квоты можно позднее, после создания организации. Чтобы пропустить назначение квот, нажмите Далее без квот.

      • CPU — количество центральных процессоров, доступное для заказов на организацию

      • RAM — количество оперативной памяти в ГБ, доступное для заказов на организацию

      • Диски — размер всех дисков для заказов на организацию

      • RAM (GPU) — количество видеопамяти в ГБ для графических процессоров, доступное для заказов на организацию

        new org quotas
  6. Нажмите Далее.

  7. В разделе Создание организации  Итог проверьте параметры новой организации и нажмите Создать новую организацию, если параметры верны.

Созданная организация появится в списке.

Добавление пользователей к организации выполняется администратором на пользовательском портале. Подробнее — в разделе Взаимодействие с пользовательским интерфейсом.

5.2. Изменение организации

Чтобы изменить организацию:

  1. Перейдите в Управление доступом  Организации.

  2. Нажмите в строке с нужной организацией и выберите Изменить.

  3. В появившемся окне измените необходимые параметры.

  4. Нажмите Сохранить.

5.3. Удаление организации

Чтобы удалить организацию:

  1. Перейдите в Управление доступом  Организации.

  2. Нажмите в строке с нужной организацией и выберите Удалить.

  3. Подтвердите удаление, нажав Удалить.

5.4. Управление ресурсными квотами организации

Ресурсную квоту организации можно назначить отдельному проекту или папке в организации.

5.4.1. Создание ресурсных квот

Создать ресурсные квоты организации можно в процессе создания организации или после создания организации.

Чтобы создать ресурсные квоты после создания организации:

  1. Перейдите в раздел Управление доступом  Организации.

  2. Напротив организации нажмите и выберите пункт Создать ресурсную квоту.

  3. В окне Создание ресурсной квоты:

    1. Выберите из выпадающего списка подключение платформы zVirt.

      Ресурсные квоты применяются отдельно к каждому подключению.

    2. Активируйте нужные ресурсы и укажите значения ресурсных квот.

  4. Нажмите Создать.

    add resource quotas

5.4.2. Просмотр, редактирование и удаление ресурсных квот

Чтобы просмотреть, изменить или удалить установленные ресурсные квоты:

  1. Перейдите в раздел Управление доступом  Организации.

  2. Выберите нужную организацию из списка.

  3. В открывшемся разделе на вкладке Ресурсные квоты будут отображаться установленные ресурсные квоты:

    • Чтобы изменить ресурсные квоты, напротив имени подключения нажмите и внесите необходимые изменения.

    • Чтобы удалить ресурсные, напротив имени подключения нажмите 🗑.

      При удалении ресурсной квоты будут удалены все ресурсные квоты для папок и проектов внутри организации в данном подключении.

6. Настройки IAM

В разделе Настройки IAM можно управлять настройками IAM. Для этого нужно внести необходимые изменения и нажать Сохранить.

iam

7. Настройки Unit Manager

В разделе Unit Manager можно управлять настройками менеджера объектов организации. Для этого нужно внести необходимые изменения и нажать Сохранить.

unit manager