Доступ
1. Сервисы
Раздел Сервисы содержит список всех доступных на портале сервисов. Сервис создается по определённым правилам для ввода в эксплуатацию.
Сервис регистрирует свои ресурсы в IAM для того, чтобы можно было разграничивать права доступа.
Каждый сервис имеет:
-
Ресурсные типы — объекты, предоставляемые и управляемые через API
-
Ресурсные правила — специальные правила, которые указывают для какого API-запроса какое действие совершается
-
Ресурсы — экземпляры объектов сервиса
1.1. Создание сервиса
Чтобы создать сервис:
-
На портале администрирования перейдите в .
-
Нажмите + Создать.
-
В появившемся окне введите необходимые параметры:
-
Кодовое название
-
Название
-
Описание
-
-
Нажмите Создать.
|
Для поиска существующих сервисов можно выполнять фильтрацию по параметрам Кодовое название и Название. |
1.2. Изменение сервиса
Чтобы изменить сервис:
-
На портале администрирования перейдите в .
-
В строке напротив нужного сервиса нажмите ✎.
-
В открывшемся окне измените необходимые параметры.
-
Нажмите Сохранить.
1.3. Удаление сервиса
Чтобы удалить сервис:
-
На портале администрирования перейдите в .
-
В строке напротив нужного сервиса нажмите 🗑.
-
Подтвердите удаление, нажав Да, удалить.
1.4. Ресурсные типы
1.4.1. Создание ресурсного типа
Чтобы создать ресурсный тип:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис.
-
Перейдите на вкладку Ресурсные типы и нажмите + Создать.
-
В окне Создание ресурсного типа заполните:
-
Код — кодовое название для ресурсного типа. Это название будет использоваться в системе и при выполнении операций, например, при создании Ресурсного правила.
В кодовом названии допустимо использовать только латинские буквы в нижнем регистре, дефис или нижнее подчеркивание
-
Название — название ресурсного типа латинскими буквами без пробелов. Можно использовать цифры и нижнее подчеркивание
-
Действия — введите через запятую действия, которые будет выполнять этот ресурсный тип
-
-
Нажмите Создать.
После создания ресурсный тип отобразится в списке на вкладке Ресурсные типы.
1.4.2. Экспорт ресурсного типа
Чтобы экспортировать список ресурсных типов в файл CSV-формата:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис.
-
На вкладке Ресурсные типы нажмите
. -
Подтвердите действие, нажав Скачать.
После этого начнется скачивание файла со списком ресурсных типов в CSV-формате.
|
Список ресурсных типов, экспортируемых в CSV-файл, совпадает с тем, что отображается на вкладке Ресурсные типы. Чтобы экспортировать конкретные ресурсные типы, введите их название или код в строку поиска.
|
1.4.3. Импорт ресурсного типа
Чтобы импортировать список ресурсных типов из файла CSV-формата:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис.
-
На вкладке Ресурсные типы нажмите
. -
Перетащите файл в CSV-формате в окно Загрузить ресурсные типы или нажмите на окно, чтобы выбрать файл на вашем компьютере.
-
Дождитесь загрузки файла и нажмите Готово.
После успешного завершения процесса, импортированные ресурсные типы отобразятся в списке.
1.4.4. Изменение ресурсного типа
Чтобы изменить ресурсный тип:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис.
-
На вкладке Ресурсные типы в строке нужного ресурсного типа нажмите ⋮ и выберите Изменить.
-
Внесите необходимые изменения.
Изменение поля Код недоступно.
-
Нажмите Сохранить.
1.4.5. Удаление ресурсного типа
Чтобы удалить ресурсный тип:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис.
-
На вкладке Ресурсные типы в строке нужного ресурсного типа нажмите ⋮ и выберите Удалить.
-
В открывшемся окне подтвердите удаление, нажав Да, удалить.
|
При удалении ресурсного типа также удаляется связанное с ним ресурсное правило. |
1.5. Ресурсные правила
|
Ресурсное правило добавляется после создания ресурсного типа. |
1.5.1. Создание ресурсного правила
Чтобы создать ресурсное правило:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис.
-
На вкладке Ресурсные правила нажмите + Создать.
-
В окне Создание ресурсного правила заполните параметры:
-
http-метод — выберите метод HTTP-запроса из выпадающего списка
-
url-паттерн — шаблон относительного пути, по которому будет выполняться запрос
-
Действие — действие в формате сервис:ресурсный тип:действие, где:
-
сервис — название сервиса, в котором создается это ресурсное правило
-
ресурсный тип — код предварительно созданного ресурсного типа
-
действие — действие, указанное в ресурсном типе
-
-
Название операции — название выполняемой операции латинскими буквами буквами без пробелов. Можно использовать цифры и нижнее подчеркивание
-
Приоритет правила — приоритет применения правила к запрашиваемому URL, где значение 0 — самый низкий приоритет и 10 — самый высокий
-
Тип доступа:
-
admin — доступ для системных администраторов портала
-
public — доступ для всех пользователей
-
members — доступ, который привязан к политикам и зависит от наличия разрешений у пользователя
-
any_organization_subject — доступ для пользователей организации, имеющих одно или более разрешений в организации. Ответ на запрос с таким типом доступа содержит данные только той организации, в которой пользователь состоит
-
-
1.5.2. Экспорт ресурсного правила
Чтобы экспортировать список ресурсных правил в файл CSV-формата:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис.
-
На вкладке Ресурсные правила нажмите
. -
Подтвердите действие, нажав Скачать.
После этого начнется скачивание файла со списком ресурсных правил в CSV-формате.
1.5.3. Изменение ресурсного правила
Чтобы изменить ресурсное правило:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис и перейдите на вкладку Ресурсные правила.
-
Напротив нужного ресурсного правила нажмите ⋮ и выберите Изменить.
-
В открывшемся окне измените название ресурсного правила, приоритет или тип доступа. Другие поля недоступны для изменения.
-
Нажмите Сохранить.
1.5.4. Удаление ресурсного правила
Чтобы удалить ресурсное правило:
-
На портале администрирования перейдите в .
-
Выберите нужный сервис и перейдите на вкладку Ресурсные правила.
-
Напротив нужного ресурсного правила нажмите ⋮ и выберите Удалить.
-
В открывшемся окне подтвердите удаление, нажав Да, удалить.
2. Учетные записи
Раздел Учетные записи содержит список всех созданных пользователей.
Для поиска пользователей можно использовать фильтрацию: необходимо выбрать нужные параметры и нажать Применить. Также доступен экспорт данных в CSV-формат.
В качестве единой точки аутентификации и авторизации используется Keycloak.
2.1. Создание учетной записи
Чтобы создать учетную запись:
-
Подключитесь к сервису Keycloak по адресу https://auth.<FQDN_dcmanager>/auth/
-
Выберите пространство (Realm).
-
Перейдите во вкладку Users и нажмите Add user.
-
Укажите следующие параметры для нового пользователя:
-
Username
-
Email
-
First name
-
Last name
-
-
Для сохранения параметров нажмите Create. При успешном создании пользователя будут отображены его свойства.
-
Перейдите во вкладку Credentials, нажмите Set Password и задайте пароль.
Отключите опцию Temporary, если не требуется смена пароля при следующем входе.
После завершения процедуры создания пользователь отобразится в списке пользователей на портале администрирования. Далее пользователя можно будет отнести к организации и назначить ему роли. Подробнее рассмотрено в разделах Учетные записи и Добавление пользователя к организации.
2.2. Cовместимость с LDAP
Для использования внешнего источника учетных записей необходимо подключить в Keycloak новый LDAP-провайдер.
Чтобы подключить новый LDAP-провайдер:
-
Разверните Active directory и создайте пользователя, который будет иметь роль администратора AD. В данном случае имя пользователя — DCManager Service.
Все пользователи обязательно должны иметь почту.
-
Подключитесь к сервису Keycloak по адресу https://auth.<FQDN_dcmanager>/auth/
-
Выберите пространство Portal.
-
Перейдите во вкладку User Federation и нажмите Add new provider, выберите LDAP.
-
В открывшемся окне задайте следующие параметры:
-
Console display name — отображаемое имя провайдера при ссылке в консоли администратора
-
Vendor — поставщик (провайдер) LDAP, в данном случае выбираем Active Directory
-
Connection URL — URL-адрес подключения к вашему серверу LDAP, указывается в формате
ldap://IP-адрес сервера.252:389 -
Use Truststore SPI — указывает, будет ли LDAP-соединение использовать Truststore SPI с truststore, настроенным в standalone.xml/domain.sml.
Всегдаозначает, что оно всегда будет его использовать.Никогдаозначает, что оно не будет его использовать.Only for ldapsозначает, что он будет использовать его, если URL вашего соединения использует ldaps -
Connection timeout — таймаут соединения LDAP в миллисекундах
-
Bind type — тип метода аутентификации, используемого во время операции связывания LDAP. Он используется в большинстве запросов, отправляемых на LDAP-сервер. В настоящее время доступны только механизмы
none(анонимная аутентификация LDAP) илиsimple(аутентификация по привязке учетных данных и привязка пароля) -
Bind DN — DN администратора LDAP, который будет использоваться Keycloak для доступа к серверу LDAP
-
Bind credentials — пароль администратора LDAP
-
-
После основных параметров задайте параметры поиска и обновления по LDAP:
-
Edit mode — задает параметры редактирования. Значение READ_ONLY означает что, LDAP-хранилище только для чтения. Значение WRITABLE означает, что данные будут синхронизироваться с LDAP по требованию. Значение UNSYNCED означает, что пользовательские данные будут импортированы, но не будут синхронизированы с LDAP
-
Users DN — указывается полный DN дерева LDAP, в котором находятся ваши пользователи. Этот DN является родительским для пользователей LDAP. Это может быть, например,
ou=users,dc=example,dc=com, предполагая, что ваш пользователь будет иметь DN типаuid='john',ou=users,dc=example,dc=com -
Username LDAP attribute — имя атрибута LDAP, который сопоставляется с именем пользователя Keycloak. Для многих поставщиков LDAP-серверов это может быть
uid. Для Active directory это может бытьsAMAccountNameилиcn. Атрибут должен быть заполнен для всех записей пользователей LDAP, которые вы хотите импортировать из LDAP в Keycloak -
RDN LDAP attribute — имя LDAP-атрибута, который используется в качестве RDN (верхнего атрибута) типичного DN пользователя. Обычно это то же самое, что и LDAP-атрибут Username, однако это не обязательно
-
UUID LDAP attribute — имя атрибута LDAP, который используется в качестве уникального идентификатора объекта (UUID) для объектов в LDAP. Для Active directory должно быть задано objectGUID
-
User object classes — все значения атрибута LDAP
objectClassдля пользователей в LDAP, разделенные запятыми. Например:inetOrgPerson, organizationalPerson. Вновь созданные пользователи Keycloak будут записаны в LDAP со всеми этими объектными классами, а существующие записи пользователей LDAP будут найдены только в том случае, если они содержат все эти объектные классы
-
-
Для проверки подключения провайдера перейдите во вкладку Users, в строке поиска введите символ
*: будут отображены как локальные пользователи, так и пользователи из каталога Users в Active Directory. -
Для назначения пользователю роли перейдите на портал администрирования на вкладку . Нажмите на нужную роль, во вкладке Участники нажмите Добавить и выберите пользователя.
-
Для проверки входа пользователя перезайдите на портал администрирования с учетными данными пользователя. В качестве учетных данных используйте параметр сn и пароль, указанный в Active Directory.
3. Сервисные аккаунты
Сервисный аккаунт — аккаунт, от имени которого можно управлять ресурсами в zVirt DC Manager.
Раздел Сервисные аккаунты содержит список всех созданных сервисных аккаунтов.
Для поиска сервисных аккаунтов можно использовать фильтрацию: выберите нужные параметры и нажмите Применить.
Чтобы просмотреть назначенные сервисному аккаунту роли, нажмите на нужный сервисный аккаунт.
4. Роли
Пользователи портала получают роль в рамках контекста — на уровне организации, папки или проекта.
При получении роли на проект действия, доступные данной роли, пользователь может выполнять только в этом проекте. Если часть действий, доступных роли, можно совершать только на уровне организации — пользователь не сможет их совершить.
Если роль получена на папку или организацию, то доступные действия пользователь может совершать в выбранной папке, а также во всех дочерних папках и проектах вниз по дереву. Причем не только в тех, которые существовали при назначении прав пользователю, но и во всех вновь созданных.
Экран Роли содержит список всех известных ролей.
Роли могут быть следующих типов:
-
Глобальные
-
Базовые
-
Сервисные
-
Пользовательские
Для удобства поиска на экране доступны поля для фильтрации вывода.
Для обновления соответствующего типа ролей нажмите
и выберите Обновить сервисные роли или Обновить базовые роли.
4.1. Глобальные роли
Глобальные роли предоставляют права доступа вне контекста. Пользователи, обладающие глобальной ролью, не видны на пользовательском портале в списке пользователей организации, но их действия отображаются в аудите на портале.
Действия, разрешенные пользователю с глобальной ролью, доступны ему во всех организациях.
Существуют предустановленные глобальные роли:
- Суперадминистратор
-
Доступные функции:
-
Управление всеми организациями
-
Просмотр и управление продуктовым каталогом
-
Аудит действий участников команды
-
Просмотр данных и управление сервисом новостей и рассылок
-
Назначение глобальных ролей участникам команды сопровождения
-
Просмотр списка ролей и глобальных ролей любого пользователя
-
- Супер редактор
-
Роль дает возможность управления всеми действиями, за исключением назначения глобальных ролей:
-
Управление всеми организациями
-
Просмотр и управление продуктовым каталогом
-
Аудит действий участников команды
-
Просмотр данных и управление сервисом новостей и рассылок
-
Просмотр списка ролей и глобальных ролей любого пользователя облака
-
- Presale-менеджер, менеджер по настройке организаций
-
Доступные функции:
-
Просмотр, создание и управление организациями, папками и проектами
-
Просмотр списка пользователей организации и их ролей, назначение ролей пользователям
-
Приглашение новых пользователей в организацию
-
- Service-менеджер, менеджер по управлению организацией
-
Доступные функции:
-
Просмотр заказанных услуг всех организаций
-
Аудит действий пользователей всех организаций
-
Аудит действий участников команды
-
- Analytics Viewer, аналитик организаций
-
Доступные функции:
-
Просмотр заказанных услуг всех организаций
-
Аудит действий пользователей всех организаций
-
Аудит действий участников команды
-
- Администратор продуктового каталога
-
Доступные функции:
-
Просмотр и управление Продуктовым конструктором на портале администрирования
-
Просмотр логов Продуктового конструктора
-
- Наблюдатель продуктового каталога
-
Доступные функции:
-
Просмотр всех разделов Продуктового конструктора на портале администрирования
-
Просмотр логов Продуктового конструктора
-
- Администратор сервиса справочников
-
Роль дает доступ к управлению сервисом справочников.
- Администратор управления доступом к организации
-
Доступные функции:
-
Просмотр, создание и управление организациями
-
Просмотр списка пользователей организации и их ролей, назначение ролей пользователям
-
- Администратор управления доступом к папке
-
Доступные функции:
-
Просмотр, создание и управление папок в организациях
-
Просмотр списка пользователей на уровне папки и их ролей, назначение ролей пользователям
-
- Наблюдатель виртуальных дата-центров
-
Роль дает доступ к просмотру дата-центров, созданных пользователями на портале vDC-организаций.
- Наблюдатель отчетов
-
Доступные функции:
-
Просмотр созданных пользователями на портале заказов (заказанных ресурсов)
-
Просмотр созданных пользователями на портале vDC-организаций
-
4.2. Базовые роли
К базовым ролям относятся:
- Администратор
-
Роль дает все разрешения для управления порталом внутри организации:
-
Заказ и управление услугами портала
-
Управление доступом пользователей к услугами портала
-
Просмотр, создание и удаление папок и проектов внутри организации
-
Просмотр списка пользователей организации и их ролей, назначение ролей пользователям
-
Приглашение новых пользователей в организацию
-
Аудит действий пользователей на портале, подраздел Аудит раздела Аналитика
-
Просмотр существующих ролей в организации
-
Создание кастомных ролей для своей организации
-
Управление сервисными аккаунтами и ключами сервисных аккаунтов
-
Управление SSH-ключами для доступа к виртуальным машинам
-
- Редактор
-
Роль дает разрешения для управления порталом, за исключением управления доступом к порталу:
-
Заказ и управление услугами портала
-
Просмотр, создание и удаление папок и проектов внутри организации
-
Просмотр списка пользователей организации и их ролей
-
Аудит действий пользователей на портале, подраздел Аудит раздела Аналитика
-
Просмотр существующих ролей в организации
-
Создание кастомных ролей для своей организации
-
Управление сервисными аккаунтами и ключами сервисных аккаунтов
-
Управление SSH-ключами для доступа к виртуальным машинам
-
- Наблюдатель
-
Роль дает разрешения на просмотр функционала портала:
-
Просмотр заказанных виртуальных машин
-
Просмотр созданных заказов услуг
-
Просмотр папок и проектов внутри организации
-
Просмотр списка пользователей организации и их ролей
-
Аудит действий пользователей на портале, подраздел Аудит раздела Аналитика
-
Просмотр существующих ролей в организации
-
Просмотр сервисных аккаунтов
-
4.3. Сервисные роли
К сервисным ролям относятся:
- Администратор организации
-
Роль дает разрешения для управления доступом к проектам, папкам и организации: просмотр списка пользователей организации и их ролей, назначение ролей пользователям.
- Администратор IAM проекта
-
Роль дает разрешения для управления доступом к проекту, на который она назначена, либо ко всем проектам, находящимся внутри папки/организации, если роль назначена на уровне папки/организации:
-
Просмотр раздела Организации
-
Назначение ролей существующим пользователям организации на проект
-
- Администратор сервисных аккаунтов
-
Роль дает разрешения для управления сервисными аккаунтами:
-
Создание, редактирование и удаление сервисных аккаунтов в проектах
-
Управление ключами сервисных аккаунтов
-
- Наблюдатель сервисных аккаунтов
-
Роль дает разрешения для просмотра сервисных аккаунтов:
-
Просмотр сервисных аккаунтов (доступны на уровне проекта)
-
Просмотр ключей сервисных аккаунтов
-
- Администратор ролей
-
Роль дает разрешения для управления доступом к проектам, папкам и организации:
-
Создание, редактирование и удаление кастомных ролей в организации
-
- Наблюдатель аудита
-
Роль дает разрешения на просмотр действий пользователей на портале и просмотр подраздела Аудит и раздела Аналитика.
- Администратор тегов
-
Роль дает разрешения для управления тегами организационной структуры:
-
Создание, редактирование и удаление тегов организационной структуры в формате ключ/значение
-
Привязка тегов к элементам организационной структуры
-
- Наблюдатель тегов
-
Роль дает разрешения для просмотра тегов организационной структуры:
-
Просмотр тегов организационной структуры в формате ключ/значение
-
Просмотр тегов, привязанных к элементам организационной структуры
-
4.4. Назначение роли
Назначить роль можно сервисному аккаунту или отдельному пользователю.
Чтобы назначить роль:
-
На портале администрирования перейдите на вкладку .
-
Выберите из списка нужную роль и перейдите на вкладку Участники.
-
Нажмите Добавить и выберите Сервисный аккаунт или Пользователь.
-
В открывшемся окне выберите из выпадающего списка пользователей или сервисный аккаунт.
-
Нажмите Добавить.
5. Организации
Организация — объект, который описывает самый верхний уровень иерархии организационной структуры портала и ассоциируется с реальной организацией или инфраструктурой.
В разделе Организации отображается список организаций, а также доступны инструменты управления ими. Каждая организация представлена как иерархический список каталогов: папок и проектов.
Для поиска организации на экране доступны поля фильтрации вывода.
5.1. Создание организации
Пользователь с правами администратора может создавать отдельные организации.
Чтобы создать организацию:
-
На портале администрирования перейдите в .
-
Нажмите +Создать.
-
В разделе введите параметры:
-
Название — укажите название новой организации
-
Email владельца — укажите электронную почту владельца организации
-
(Опционально)Описание — при необходимости добавьте описание организации
-
dns-серверы — перечислите DNS-сервера организации
-
Размещение любых виртуальных машин на GPU-хостах — чтобы разрешить размещение любых виртуальных машин на GPU-хостах, активируйте опцию
-
-
Нажмите Далее.
-
В разделе введите параметры:
-
Из выпадающего списка выберите подключаемую платформу zVirt.
Чтобы добавить несколько подключений, нажмите + после добавления первого подключения.
-
Для каждого подключения активируйте ресурсы и укажите размер ресурсных квот:
Назначить ресурсные квоты можно позднее, после создания организации. Чтобы пропустить назначение квот, нажмите Далее без квот.
-
CPU — количество центральных процессоров, доступное для заказов на организацию
-
RAM — количество оперативной памяти в ГБ, доступное для заказов на организацию
-
Диски — размер всех дисков для заказов на организацию
-
-
-
Нажмите Далее.
-
В разделе проверьте параметры новой организации и нажмите Создать новую организацию, если параметры верны.
Созданная организация появится в списке.
|
Добавление пользователей к организации выполняется администратором на пользовательском портале. Подробнее — в разделе Взаимодействие с пользовательским интерфейсом. |
5.2. Изменение организации
Чтобы изменить организацию:
-
На портале администрирования перейдите в .
-
Нажмите в строке с нужной организацией ⋮ и выберите Изменить.
-
В появившемся окне измените необходимые параметры.
-
Нажмите Сохранить.
5.3. Удаление организации
Чтобы удалить организацию:
-
На портале администрирования перейдите в .
-
Нажмите в строке с нужной организацией ⋮ и выберите Удалить.
-
Подтвердите удаление, нажав Удалить.
5.4. Управление ресурсными квотами организации
Ресурсную квоту организации можно назначить отдельному проекту или папке в организации.
5.4.1. Создание ресурсных квот
Создать ресурсные квоты организации можно в процессе создания организации или после создания организации.
Чтобы создать ресурсные квоты после создания организации:
-
На портале администрирования перейдите в раздел .
-
Напротив организации нажмите ⋮ и выберите пункт Создать ресурсную квоту.
-
В окне Создание ресурсной квоты:
-
Выберите из выпадающего списка подключение платформы zVirt.
Ресурсные квоты применяются отдельно к каждому подключению.
-
Активируйте нужные ресурсы и укажите значения ресурсных квот.
-
-
Нажмите Создать.
5.4.2. Просмотр, редактирование и удаление ресурсных квот
Чтобы просмотреть, изменить или удалить установленные ресурсные квоты:
-
На портале администрирования перейдите в раздел .
-
Выберите нужную организацию из списка.
-
В открывшемся разделе на вкладке Ресурсные квоты будут отображаться установленные ресурсные квоты:
-
Чтобы изменить ресурсные квоты, напротив имени подключения нажмите ✎ и внесите необходимые изменения.
-
Чтобы удалить ресурсные квоты, напротив имени подключения нажмите 🗑.
При удалении ресурсной квоты будут удалены все ресурсные квоты для папок и проектов внутри организации в данном подключении.
-