IDM.Trusted.Net

Приложения

Пункт меню Приложения предназначен для:

  • Управления приложениями,
  • Управления ресурсами приложения,
  • Управления ролями ресурса,
  • Управления пользователями и администраторами приложений, ресурсов и ролей.
  • app-list-adminidm.png

Приложение – это сущность, содержащая описание и настройки внешней информационной системы, в которой будет осуществляться управление доступом через IDM.
Ресурс - это часть приложения (внешней ИС), через роли которой происходит управление доступом.
Роль – это часть ресурса, ассоциирующаяся с ролью во внешней информационной системе. К роли подключается группа безопасности AD, участники которой имеют определенные права в подключенной внешней ИС. Назначение ролей пользователям осуществляется через добавление/исключение пользователей в роль.

В пункте меню Приложения администратор системы может:

  • создавать приложения, ресурсы и роли;
  • редактировать настройки приложений, ресурсов и ролей;
  • удалять приложения, ресурсы и роли;
  • управлять администраторами приложений и ресурсов;
  • управлять доступом пользователей;
  • осуществлять поиск приложений.
    adminidm-app-list.png

Управление приложениями

Добавление приложения

Для добавления приложения нужно:
1) В списке приложений нажать кнопку Добавить приложение или в меню нажать кнопку Добавить и выбрать пункт Приложение.
add-app-button.png
add-app-menu.png

2) На форме добавления приложения заполнить поля:

  • Название приложения;

  • Описание приложения;

  • Выберите обложку приложения – логотип приложения;

  • Адрес приложения – URL сайта, на который буду попадать пользователи при переходе по ссылке;

  • Подключение группы администраторов – необходимо выбрать группу Active Directory, участники которой будут управлять настройками и доступом к приложению.

    create-app.png

3) Нажать кнопку Сохранить, которая становится доступной после заполнения всех обязательных полей.
4) Происходит переход на форму просмотра приложения.

Если для обложки приложения был выбран файл недопустимого формата или размера, или в адрес приложения введен некорректный формат ссылки, то возникают соответствующие ошибки.
app-error.png

Просмотр приложения

Форма просмотра приложения делится на вкладки:
Профиль приложения – служит для просмотра и редактирования основной информации о приложении;
Ресурсы – для просмотра и управления ресурсами данного приложения;
Администраторы – для управления списком администраторов приложения;
Пользователи – для просмотра списка пользователей, имеющих доступ к приложению.
view-app.png

На вкладке Профиль приложения администратор может:

  • перейти в настройки приложения;
  • назначить администратора приложения;
  • добавить ресурс;
  • удалить приложение.
    view-app-menu.png

Вкладка Ресурсы содержит ресурсы данного приложения.
app-res.png

На вкладке Администраторы производится управление администраторами приложения.
app-admins.png

Вкладка Пользователи содержит список пользователей приложения.
app-users.png

Редактирование приложения

Открыть форму редактирования приложения можно разными способами:
– выбрать в контекстном меню Редактировать настройки в списке приложений или на форме просмотра приложения;
– нажать кнопку Настройки на форме просмотра;
– выбрать в контекстном меню в профиле приложения Редактировать настройки.

settings-button.png

settings-menu.png

Для редактирования приложения нужно:
1) Открыть форму редактирования приложения.

adminapp-edit-app.png

2) Изменить необходимые поля:

  • Название приложения;
  • Описание приложения;
  • Обложку приложения;
  • Адрес приложения;
  • Подключение группы администраторов;
    3) Нажать кнопку Сохранить, которая будет доступной после заполнения всех обязательных полей.
    Открывается форма просмотра приложения.

Удаление приложения

При удалении приложения удаляются все ресурсы и роли данного приложения.

Удалить приложение можно разными способами:

  • через контекстное меню приложения в списке приложений или на форме просмотра приложения, выбрав пункт Удалить;
  • выделить в списке одно или несколько приложений и нажать кнопку Удалить, которая появится после выделений приложений.

settings-menu.png

adminidm-delete-app.png

При нажатии на кнопку Удалить возникает окно подтверждения удаления.

adminidm-delete-app-conf.png

При нажатии на кнопку Удалить приложение, все его ресурсы и роли удаляются.

Если в ролях приложения есть пользователи, то возникает окно с соответствующим сообщением.

adminidm-delete-app-err.png

Пользователи приложения

На вкладке Пользователи в форме просмотра приложения отображаются пользователи всех ролей в ресурсах приложения.

app-users.png

Для списка доступен поиск по полям: Имя, Электронная почта, Логин. Список можно фильтровать по Статусу, Сроку действия записи, Принадлежности к ППС, Типу пользователя и наличию Роли.

app-users-filter.png

По списку пользователей формируются Отчеты:

  • Права доступа – по текущим ролям пользователя;
  • Изменения прав – по истории изменения прав пользователей внутри приложения.

Управление пользователями приложения осуществляется через роли.

Управление ресурсами

Добавление ресурса

Ресурс можно создать несколькими способами:
– Через контекстное меню приложения в списке приложений или на форме просмотра приложения, выбрав пункт Добавить ресурс;
– Через контекстное меню ресурса или на форме просмотра ресурса, выбрав пункт Добавить ресурс;
– Нажав Добавить ресурс на вкладке Ресурсы формы просмотра приложения или ресурса.
add-res-menu.png

add-res-button.png

Для добавления ресурса нужно:
1) Нажать кнопку добавления ресурса.
2) На форме добавления ресурса заполнить поля:

  • Название ресурса;
  • Описание ресурса;
  • Адрес ресурса – URL сайта, на который буду попадать пользователи при переходе по ссылке;
  • Требует согласования для доступа - при включенном флаге становится доступна форма для формирования списка пользователей, которые должны будут согласовать запрос на доступ;
  • Наследуемые роли - при включенном флаге роли данного ресурса будут унаследованы вложенными ресурсами. При предоставлении доступа к такой роли пользователь получит доступ ко всем ресурсам, в которых эта роль присутствует;
  • Подключение группы администраторов – необходимо выбрать группу Active Directory, участники которой будут управлять настройками и доступом к ресурсу.

create-res.png

3) Нажать кнопку Сохранить, которая становится доступной после заполнения всех обязательных полей.
4) Происходит переход на форму просмотра ресурса.

Формирование листа согласования

При включенном флаге Требует согласования для доступа на форме создания или редактирования ресурса становится доступным поле для формирования списка пользователей, которые должны будут согласовать запрос на доступ к ресурсу.

create-res-agreement.png

При запросе доступа к ресурсу пользователем, или при добавлении пользователя в роль ресурса администратором ресурса или приложения создается запрос на доступ, который направляется пользователям из листа согласования и Администратору IDM. В таком случае запрос на доступ Администраторам приложения и ресурса не приходит.

Порядок одобрения запроса на доступ пользователями из листа согласования не важен.
Если один из пользователей листа согласования отклонил запрос, то запрос считается обработанным со статусом Отказано. Дальнейшее согласование не требуется.

Для добавления пользователя в список нужно:
1) Нажать кнопку Добавить пользователя;
2) В окне добавления пользователя выбрать одного или нескольких пользователей. Доступен поиск пользователя;

select-user-agreement.png

3) Нажать Выбрать;
4) Выбранные пользователи добавляются в список.

Для удаления пользователя из списка необходимо нажать Удалить (Х) напротив пользователя.

Просмотр ресурса

Форма просмотра ресурса делится на вкладки:

  • Профиль ресурса – служит для просмотра и редактирования основной информации о ресурсе;
  • Ресурсы – для просмотра и управления вложенными ресурсами;
  • Роли - для просмотра и управления ролями данного ресурса;
  • Администраторы – для управления списком администраторов ресурса;
  • Пользователи – для просмотра списка пользователей, имеющих доступ к ресурсу.
    view-res.png

На вкладке Профиль ресурса администратор может:

  • перейти в настройки ресурса;
  • добавить роль;
  • назначить администратора ресурса;
  • добавить ресурс;
  • удалить ресурс.
    view-res-menu.png

Вкладка Ресурсы содержит вложенные ресурсы.
res-res.png

Вкладка Роли содержит роли данного ресурса.
res-roles.png

На вкладке Администраторы производится управление администраторами ресурса.
res-admins.png

Вкладка Пользователи содержит список пользователей ресурса.
res-users.png

Редактирование ресурса

Открыть форму редактирования ресурса можно разными способами:
– выбрать в контекстном меню Редактировать настройки в списке ресурсов или на форме просмотра ресурса;
– нажать кнопку Настройки на форме просмотра;
– выбрать в контекстном меню в профиле ресурса Редактировать настройки.

settings-button.png

settings-menu.png

Для редактирования ресурса нужно:
1) Открыть форму редактирования ресурса.

adminapp-edit-res.png

2) Изменить необходимые поля:

  • Название ресурса;
  • Описание ресурса;
  • Адрес ресурса;
  • Требует согласования для доступа;
  • Наследуемые роли;
  • Подключение группы администраторов;
    3) Нажать кнопку Сохранить, которая будет доступной после заполнения всех обязательных полей.
    Открывается форма просмотра ресурса.

Удаление ресурса

При удалении ресурса удаляются все вложенные ресурсы и роли данного ресурса.

Удалить ресурс можно разными способами:

  • через контекстное меню ресурса в списке ресурсов или на форме просмотра ресурса, выбрав пункт Удалить;
  • выделить в списке один или несколько ресурсов и нажать кнопку Удалить, которая появится после выделения ресурсов.

settings-menu.png

adminidm-delete-res.png

При нажатии на кнопку Удалить возникает окно подтверждения удаления.

adminidm-delete-res-conf.png

При нажатии на кнопку Удалить ресурс, все его вложенные ресурсы и роли удаляются.

Если в ролях ресурса есть пользователи, то возникает окно с соответствующим сообщением.

adminidm-delete-res-err.png

Вложенные ресурсы

Ресурс может включать вложенные ресурсы.

adminidm-res-list.png

Допускается многоуровневая вложенность.

Добавление вложенного ресурса возможно несколькими способами:

  • На форме просмотра ресурса в контекстном меню выбрать Добавить ресурс.

    view-res-menu.png

  • В списке выбрать в контекстном меню роли Добавить ресурс.

    adminidm-res-list-menu.png

При удалении ресурса, удаляются вложенные ресурсы, если их роли, если они не содержат пользователей.

При добавлении или удалении доступа к ролям вложенных ресурсов, пользователи получают или теряют доступ к роли родительского ресурса (если настроена соответствующая вложенность подключаемых к ролям групп безопасности в Active Directory). При этом возникает информационное сообщение.

additional-access.png

Пользователи ресурса

На вкладке Пользователи на форме просмотра ресурса отображаются пользователи всех ролей ресурса.

res-users.png

Для списка доступен поиск по полям: Имя, Электронная почта, Логин.

Список можно фильтровать по Статусу, Сроку действия записи, Принадлежности к ППС, Типу пользователя и наличию Роли.

app-users-filter.png

По списку пользователей формируются Отчеты:

  • Права доступа – по текущим ролям пользователя;
  • Изменения прав – по истории изменения прав пользователей внутри ресурса.

Управление пользователями приложения осуществляется через роли.

Управление ролями

Создание роли

Роль можно создать несколькими способами:

  • Через контекстное меню ресурса в списке приложений или ресурсов или на форме просмотра ресурса, выбрав пункт Добавить роль;
  • Через контекстное меню на форме просмотра роли, выбрав пункт Добавить роль;
  • Нажав Добавить роль на вкладке Роли формы просмотра ресурса.

add-role-menu.png

add-role-button.png

Для создания роли нужно:
1) Нажать кнопку добавления роли;
2) На форме добавления роли заполнить поля:

  • Название роли;
  • Описание роли;
  • Категория - необходимо создать или выбрать из списка ранее созданных категорию, по которой буду группироваться роли. Категории создаются для каждого ресурса свои.
    Например, во внешней информационной системе есть роль Редактор, которая объединяет несколько групп Active Directory, пользователи которых имеют доступ на редактирование к этому ресурсу. В IDM необходимо создать несколько ролей для ресурса и выбрать для них общую категорию;
  • Выбрать при групповом предоставлении доступа -при включенном флаге при групповом одобрении запросов пользователи получать доступ к ресурсу с данной ролью;
  • Подключение группы пользователей – необходимо выбрать группу Active Directory, участники которой будут иметь доступ во внешней смежной системе с создаваемой ролью. create-role.png

3) Нажать кнопку Сохранить, которая становится доступной после заполнения всех обязательных полей.

Открывается форма просмотра роли.

Просмотр роли

Форма просмотра роли делится на вкладки:

  • Профиль роли – служит для просмотра и редактирования основной информации о роли;

  • Пользователи – для просмотра списка пользователей роли.

    view-role.png

На вкладке Профиль роли можно:

  • перейти в настройки роли;

  • добавить пользователя в роль;

  • удалить роль.

    view-role-menu.png

Вкладка Пользователи содержит список пользователей роли.

view-role-users.png

Если у ресурса, в котором создана роли установлен флаг Требует согласования для доступа и сформирован список пользователей, которым необходимо согласовать доступ, то в профиле роли появляется дополнительная вкладка Ожидают согласования. Вкладка содержит список пользователей, для которых запрошен доступ к ресурсу с данной ролью.

view-role-approve-list.png

Одобрить запрос могут на вкладке Запросы Администратор IDM и пользователи из листа согласования. Для получения доступа пользователя к ресурсу необходимо одобрение запроса всеми пользователями из листа согласования.
Если запрос одобряет Администратор IDM, то пользователь получает доступ стразу.

Редактирование роли

Открыть форму редактирования роли можно разными способами:

  • выбрать в контекстном меню Редактировать настройки в списке ролей на соответствующей вкладке в профиле ресурса;
  • выбрать в контекстном меню в профиле роли Редактировать настройки;
  • нажать кнопку Настройки на форме просмотра роли.

edit-role-menu.png

settings-button.png

Для редактирования роли нужно:
1) Открыть форму редактирования роли.

adminidm-edit-role.png

2) Изменить необходимые поля:

  • Название роли;
  • Описание роли;
  • Категория;
  • Выбрать при групповом предоставлении доступа;
  • Подключение группы пользователей.
    3) Нажать кнопку Сохранить, которая будет доступной после заполнения всех обязательных полей.

Открывается форма просмотра роли.

Удаление роли

Удалить роль можно через контекстное меню роли в списке ролей или на форме просмотра роли, выбрав пункт Удалить.

edit-role-menu.png

При нажатии на кнопку Удалить возникает окно подтверждения удаления.

del-role-conf.png

При нажатии на кнопку Удалить роль удаляется.

Если в роли есть пользователи, то возникает окно с соответствующим сообщением.

del-role-err.png

Список ролей ресурса

Вкладка Роли на форме просмотра Ресурса содержит список ролей данного ресурса. Роли объединены в категории.

role-list.png

Категория - это метка, созданная для объединения ролей с одинаковыми полномочиями. На функционал ролей и доступов категории не влияют, и предназначены для удобства отображения ролей в списке.
Категории создаются для каждого ресурса свои.

Пример использования категорий: во внешней информационной системе есть роль Читатель, которая объединяет несколько групп Active Directory, пользователи которых имеют доступ на просмотр. В IDM необходимо создать роли для каждой группы AD и выбрать для них общую категорию.

Роли могут быть двух типов:

  • созданные для данного ресурса;
  • унаследованные от родительского ресурса.

Типы ролей в списке различаются иконками:

role-icon-self.png - иконка роли, созданной для данного ресурса.

role-icon-legacy.png - иконка роли, унаследованная от родительского ресурса.

Для того, чтобы роли стали унаследованными, в настройках ресурса надо установить флаг Наследуемые роли. При предоставлении доступа к таким ролям пользователь получает доступ во все ресурсы, в которых данные роли содержатся.

Управление администраторами приложений и ресурсов

Администратор приложения – это по сути администратор внешней информационной системы, в которой происходит управление доступом. Администратор приложения управляет настройками своего приложения и доступом пользователей к ролям ресурса. Принадлежность к группе определяется участием пользователя в группе администраторов приложения.
Администратор ресурса – это администратор части ИС. Управляет настройками своего ресурса и доступом пользователей к нему. Принадлежность к группе определяется участием пользователя в группе администраторов ресурса.

Просмотр и управление администраторами осуществляется на вкладке Администраторы формы просмотра приложения или ресурса.

Функционал управления администраторами приложений и ресурсов совпадает.
Далее рассматриваются действия на примере администраторов приложения.

Добавление администратора

Добавить администратора можно разными способами:
– Через контекстное меню в списке приложений или на форме просмотра приложения, выбрав пункт Добавить администратора;

add-res-menu.png

– Через кнопку Добавить администратора в списке администраторов приложения на соответствующей вкладке

add-admin-button.png

При нажатии на кнопку Добавить администратора открывается окно выбора пользователей.

add-admin.png

Допускается выбор нескольких пользователей одновременно. По необходимости, воспользоваться поиском.
Добавить администратора приложения можно на время. Для этого надо:
– выбрать опцию Ограничить срок действия полномочий. Становится доступным поле ввода даты, до которой будут действовать полномочия;
– ввести дату или выбрать из календаря.

add-admin-date.png
После наступления указанной даты пользователь теряет доступ к администрированию приложения.
В строке с комментарием можно указать причину назначения администратора или оставить поле пустым.

После нажатия на кнопку Выбрать пользователь добавляется в список администраторов приложения и получает доступ к редактированию настроек приложения, его ресурсов и управлению пользователями в ролях.

Если группа AD, выбранная как группа администраторов при создании приложения, уже используется в других ролях системы, или подключена как группа администраторов приложений или ресурсов, то возникает информационное сообщение.

additional-access-admin-app.png

При нажатии на кнопку Подтвердить пользователь получает доступ к указанным ролям.

Отзыв администратора приложения

Отозвать доступ к администрированию приложения можно разными способами:
– Через контекстное меню в списке администраторов, выбрав пункт Отозвать доступ;

del-access-menu.png

– Выделить на вкладке Администраторы в списке одного или нескольких пользователей нажать кнопку Отозвать.

del-access-button.png

При нажатии на кнопку отзыва открывается окно подтверждения отзыва.

del-access-conf.png

Если группа AD, выбранная как группа администраторов при создании приложения, уже используется в других ролях системы, или подключена как группа администраторов приложений или ресурсов, то возникает информационное сообщение.

del-access-add.png

При нажатии на кнопку Отозвать открывается модальное окно ввода причины отзыва доступа. Поле с комментарием можно оставить пустым. При нажатии на кнопку Подтвердить пользователь теряет доступ к указанным ролям.

del-access-reason.png

Управление пользователями роли

Управление доступом пользователей к информационной системе осуществляется через роли ресурсов.
В профиле роли на вкладке Пользователи отображаются все участники этой роли.

view-role-users.png
Администратор может:

  • Перейти на форму просмотра профиля пользователя;
  • Добавить пользователя к роли – предоставить доступ;
  • Отозвать доступ к роли;
  • Фильтровать список пользователей;
  • Производить поиск.
    Список пользователей можно фильтровать по Статусу, Принадлежности к ППС, Типу пользователя и Сроку действия записи.

При нажатии пользователя в списке открывается форма просмотра профиля пользователя.

role-users-filter.png

По списку формируются Отчеты:
– Права доступа – по текущим ролям пользователя;
– Изменения прав – по истории изменения прав пользователей внутри приложения и ресурса.

Для списка доступен поиск по полям: Имя, Электронная почта, Логин.

При добавлении пользователя к роли, он добавляется в подключенную к роли группу безопасности Active Directory и получает доступ во внешней информационной системе, определенный для этой группы AD.

При отзыве у пользователя доступа к роли, он удаляется из подключенной к роли группы безопасности Active Directory и теряет доступ во внешней информационной системе, определенный для этой группы AD.

При добавлении пользователя к роли или удалении доступа к роли идет проверка используемой группы безопасности AD: – на подключение в других ролях;
– на подключение в качестве группы администраторов приложений и ресурсов;
– на вложенность группы безопасности в другие группы и их подключение к ролям системы.

В таких ситуациях возникают информационные сообщения о предоставлении или потере дополнительных доступов.

Добавление пользователя к роли

Для добавления пользователя нужно:
1) В списке пользователей нажать кнопку Добавить пользователя;

add-user-button.png
2) В открывшемся окне выбрать пользователей. Допускается выбор нескольких пользователей одновременно. По необходимости, воспользоваться поиском.

add-user.png

Добавить пользователя можно на время. Для этого надо:
– выбрать опцию Ограничить срок действия полномочий. Становится доступным поле ввода даты, до которой будут действовать полномочия;
– ввести дату или выбрать из календаря.

add-user-date.png
После наступления указанной даты пользователь теряет доступ к роли. В строке с комментарием можно указать причину назначения роли или оставить поле пустым.

После нажатия на кнопку Выбрать пользователь добавляется в список пользователей роли и получает доступ во внешней информационной системе.
Если группа AD, выбранная как группа пользователей при создании роли, уже используется в других ролях системы, или подключена как группа администраторов приложений или ролей, то возникает информационное сообщение.

additional-access.png

При нажатии на кнопку Подтвердить пользователь получает доступ ко всем указанным ролям.

Отзыв доступа к роли

Отозвать доступ к роли можно разными способами:

  • Через контекстное меню в списке пользователей, выбрав пункт Отозвать доступ;

    del-access-menu.png

  • Выделить в списке одного или нескольких пользователей нажать кнопку Отозвать доступ.

    del-access-button.png

При нажатии на кнопку отзыва открывается окно подтверждения отзыва.

del-access-conf.png

Если группа AD, выбранная как группа пользователей при создании роли, уже используется в других ролях системы, или подключена как группа администраторов приложений или ресурсов, то возникает информационное сообщение.

del-access-add.png

При нажатии на кнопку Отозвать открывается модальное окно ввода причины отзыва доступа. Поле с комментарием можно оставить пустым. При нажатии на кнопку Подтвердить пользователь теряет доступ к указанным ролям.

del-access-reason.png

Выбор группы Active Directory для определения администраторов и пользователей

Определение, кто будет администратором приложения или ресурса, а также пользователей роли производится через подключение группы Active Directory. Все участники подключенной группы Active Directory будут иметь соответствующий доступ к администрированию или к ИС.

При нажатии на кнопку Выбрать в поле подключения открывается модальное окно выбора группы Active Directory. Допускается выбор только одной группы.

select-group.png

После выбора группы и нажатия на Выбрать, значение заносится в поле. Возможен поиск групп AD.

Если выбранная группа AD уже используется в других ролях системы, или подключена как группа администраторов приложений или ресурсов, то возникает информационное сообщение.

select-group-info.png

При нажатии на кнопку Выбрать, значение заносится в поле.

select-group-res.png

Отчеты по пользователям приложений и ресурсов

Отчеты по пользователям или администраторам приложений и ресурсов делятся на два типа:
– Отчет по изменению прав пользователей;
– Отчет по правам доступа.
Отчеты доступны в двух форматах: xlsx и pdf.

report-menu-app.png

Отчет по изменению прав

Предназначен для вывода истории изменения прав пользователей. Отчет формируется в контексте приложения, ресурса или администрирования приложения или ресурса, в зависимости от формы, с которой был вызов отчета.

report-change.png

Отчет по правам доступа

Предназначен для вывод текущего состояния прав пользователей. Отчет формируется в контексте приложения, роли или администрирования приложения или ресурса, в зависимости от формы, с которой был вызов отчета.

report-have.png

Данный тип отчета может быть сформирован по фильтрованному списку пользователей.

Previous
Мой профиль
Next
Запросы