Данный пункт меню содержит список приложений и ресурсов, к которым у пользователя есть доступ, в которые он может запросить доступ, или в которых пользователь является администратором и может управлять ими.

Пункт меню Приложения предназначен для:

• Управления приложениями,
• Управления ресурсами приложения,
• Управления ролями ресурса,
• Управления пользователями и администраторами приложений, ресурсов и ролей.

Приложение – это сущность, содержащая описание и настройки внешней информационной системы, в которой будет осуществляться управление доступом через IDM.
Ресурс - это часть приложения (внешней ИС), через роли которой происходит управление доступом.
Роль – это часть ресурса, ассоциирующаяся с ролью во внешней информационной системе. К роли подключается группа безопасности AD, участники которой имеют определенные права в подключенной внешней ИС. Назначение ролей пользователям осуществляется через добавление/исключение пользователей в роль.

Приложения и роли делаться на два типа:
– С доступом к управлению – в таких приложениях пользователь состоит в группе администраторов;
– Без доступа к управлению – в таких приложениях пользователь может посмотреть наличие своих доступов и запросить недостающие доступы.

Для приложений и ресурсов с доступом к управлению, администратор приложения может:

• Открыть форму просмотра приложения или роли;
• Перейти на сайт приложения, кликнув на ссылку в столбце Адрес приложения;
• Добавить администратора приложения или ресурса;
• Редактировать настройки приложения, ресурса и ролей в них;
• Управлять доступом пользователей к ролям.

Для приложения, которое пользователь может администрировать, доступно контекстное меню управления.

Для приложений и ресурсов без доступа к управлению, администратор приложения может:

• Открыть форму просмотра приложения или ресурса;
• Перейти на сайт приложения, кликнув на ссылку в столбце Адрес приложения.

Если у пользователя есть доступ к роли приложения, то в списке приложение и ресурс отображаются с иконкой «открытый замок».

Если у пользователя нет доступа к ролям приложения или доступ запрошен, но еще не одобрен, то в списке приложение и ресурс отображаются с иконкой «закрытый замок» и статусом Запросить доступ или Доступ запрошен.

Управление приложениями

Просмотр приложения

Форма просмотра приложения делится на вкладки:

• Профиль приложения – служит для просмотра и редактирования основной информации о приложении;
• Ресурсы – для просмотра и управления ресурсами данного приложения;
• Администраторы – для управления списком администраторов приложения;
• Пользователи – для просмотра списка пользователей, имеющих доступ к приложению.
  

На вкладке Профиль приложения администратор может:

• перейти в настройки приложения;
• назначить администратора приложения.

Вкладка Ресурсы содержит ресурсы данного приложения.

На вкладке Администраторы производится управление администраторами приложения.

Вкладка Пользователи содержит список пользователей приложения.

Редактирование приложения

Открыть форму редактирования приложения можно разными способами:

• выбрать в контекстном меню Редактировать настройки в списке приложений или на форме просмотра приложения;
• нажать кнопку Настройки на форме просмотра;
• выбрать в контекстном меню в профиле приложения Редактировать настройки.

Для редактирования приложения нужно:
1) Открыть форму редактирования приложения.

2) Изменить необходимые поля:

• Название приложения;
• Описание приложения;
• Обложку приложения;
• Адрес приложения.

3) Нажать кнопку Сохранить, которая будет доступной после заполнения всех обязательных полей.
Открывается форма просмотра приложения.

Пользователи приложения

На вкладке Пользователи в форме просмотра приложения отображаются пользователи всех ролей в ресурсах приложения.

Для списка доступен поиск по полям: Имя, Электронная почта, Логин.
Список можно фильтровать по Статусу, Сроку действия записи, Принадлежности к ППС, Типу пользователя и наличию Роли.

По списку пользователей формируются Отчеты:

• Права доступа – по текущим ролям пользователя;
• Изменения прав – по истории изменения прав пользователей внутри приложения.

Управление пользователями приложения осуществляется через роли.

Управление ресурсами

Просмотр ресурса

Форма просмотра ресурса делится на вкладки:

• Профиль ресурса – служит для просмотра и редактирования основной информации о ресурсе;
• Ресурсы – для просмотра и управления вложенными ресурсами;
• Роли - для просмотра и управления ролями данного ресурса;
• Администраторы – для управления списком администраторов ресурса;
• Пользователи – для просмотра списка пользователей, имеющих доступ к ресурсу.
  

На вкладке Профиль ресурса администратор может:

• перейти в настройки ресурса;
• добавить роль;
• назначить администратора ресурса.

Вкладка Ресурсы содержит вложенные ресурсы.

Вкладка Роли содержит роли данного ресурса.

На вкладке Администраторы производится управление администраторами ресурса.

Вкладка Пользователи содержит список пользователей ресурса.

Редактирование ресурса

Открыть форму редактирования ресурса можно разными способами:
– выбрать в контекстном меню Редактировать настройки в списке ресурсов или на форме просмотра ресурса;
– нажать кнопку Настройки на форме просмотра;
– выбрать в контекстном меню в профиле ресурса Редактировать настройки.

Для редактирования ресурса нужно:
1) Открыть форму редактирования ресурса.

2) Изменить необходимые поля:

• Название ресурса;
• Описание ресурса;
• Адрес ресурса.

3) Нажать кнопку Сохранить, которая будет доступной после заполнения всех обязательных полей.
Открывается форма просмотра ресурса.

Вложенные ресурсы

Ресурс может включать вложенные ресурсы.

Допускается многоуровневая вложенность.

При добавлении или удалении доступа к ролям вложенных ресурсов, пользователи получают или теряют доступ к роли родительского ресурса (если настроена соответствующая вложенность подключаемых к ролям групп безопасности в Active Directory). При этом возникает информационное сообщение.

Пользователи ресурса

На вкладке Пользователи на форме просмотра ресурса отображаются пользователи всех ролей ресурса.

Для списка доступен поиск по полям: Имя, Электронная почта, Логин.

Список можно фильтровать по Статусу, Сроку действия записи, Принадлежности к ППС, Типу пользователя и наличию Роли.

По списку пользователей формируются Отчеты:

• Права доступа – по текущим ролям пользователя;
• Изменения прав – по истории изменения прав пользователей внутри ресурса.

Управление пользователями приложения осуществляется через роли.

Управление ролями

Создание роли

Роль можно создать несколькими способами:
Через контекстное меню ресурса в списке приложений или ресурсов или на форме просмотра ресурса, выбрав пункт Добавить роль;

• Через контекстное меню на форме просмотра роли, выбрав пункт Добавить роль;
• Нажав Добавить роль на вкладке Роли формы просмотра ресурса.

Для создания роли нужно:
1) Нажать кнопку добавления роли;
2) На форме добавления роли заполнить поля:

• Название роли;
• Описание роли;
• Категория - необходимо создать или выбрать из списка ранее созданных категорию, по которой буду группироваться роли. Категории создаются для каждого ресурса свои.
  Например, во внешней информационной системе есть роль Редактор, которая объединяет несколько групп Active Directory, пользователи которых имеют доступ на редактирование к этому ресурсу. В IDM необходимо создать несколько ролей для ресурса и выбрать для них общую категорию;
• Выбрать при групповом предоставлении доступа -при включенном флаге при групповом одобрении запросов пользователи получать доступ к ресурсу с данной ролью;
• Подключение группы пользователей – необходимо выбрать группу Active Directory, участники которой будут иметь доступ во внешней смежной системе с создаваемой ролью.

3) Нажать кнопку Сохранить, которая становится доступной после заполнения всех обязательных полей.

Открывается форма просмотра роли.

Просмотр роли

Форма просмотра роли делится на вкладки:

• Профиль роли – служит для просмотра и редактирования основной информации о роли;
• Пользователи – для просмотра списка пользователей роли.

На вкладке Профиль роли можно:

• перейти в настройки роли;
• добавить пользователя в роль;
• удалить роль.

Вкладка Пользователи содержит список пользователей роли.

Если у ресурса, в котором создана роли установлен флаг Требует согласования для доступа и сформирован список пользователей, которым необходимо согласовать доступ, то в профиле роли появляется дополнительная вкладка Ожидают согласования. Вкладка содержит список пользователей, для которых запрошен доступ к ресурсу с данной ролью.

Одобрить запрос могут на вкладке Запросы Администратор IDM и пользователи из листа согласования. Для получения доступа пользователя к ресурсу необходимо одобрение запроса всеми пользователями из листа согласования.
Если запрос одобряет Администратор IDM, то пользователь получает доступ стразу.

Редактирование роли

Открыть форму редактирования роли можно разными способами:

• выбрать в контекстном меню Редактировать настройки в списке ролей на соответствующей вкладке в профиле ресурса;
• выбрать в контекстном меню в профиле роли Редактировать настройки;
• нажать кнопку Настройки на форме просмотра роли.

Для редактирования роли нужно:
1) Открыть форму редактирования роли.

2) Изменить необходимые поля:

• Название роли;
• Описание роли;
• Категория;
• Выбрать при групповом предоставлении доступа;
• Подключение группы пользователей.

3) Нажать кнопку Сохранить, которая будет доступной после заполнения всех обязательных полей.

Открывается форма просмотра роли.

Список ролей ресурса

Вкладка Роли на форме просмотра Ресурса содержит список ролей данного ресурса. Роли объединены в категории.

Категория - это метка, созданная для объединения ролей с одинаковыми полномочиями. На функционал ролей и доступов категории не влияют, и предназначены для удобства отображения ролей в списке.
Категории создаются для каждого ресурса свои.

Пример использования категорий: во внешней информационной системе есть роль Читатель, которая объединяет несколько групп Active Directory, пользователи которых имеют доступ на просмотр. В IDM необходимо создать роли для каждой группы AD и выбрать для них общую категорию.

Роли могут быть двух типов:

• созданные для данного ресурса;
• унаследованные от родительского ресурса.

Типы ролей в списке различаются иконками:

- иконка роли, созданной для данного ресурса.

- иконка роли, унаследованная от родительского ресурса

Для того, чтобы роли стали унаследованными, в настройках ресурса надо установить флаг Наследуемые роли. При предоставлении доступа к таким ролям пользователь получает доступ во все ресурсы, в которых данные роли содержатся.

Управление администраторами приложений и ресурсов

Просмотр и управление администраторами осуществляется на вкладке Администраторы формы просмотра приложения или ресурса.

Администратор приложения может просматривать и добавлять других администраторов приложения или ресурса в своем приложении. Отзывать доступ у администраторов не может.

Функционал управления администраторами приложений и ресурсов совпадает.
Далее рассматриваются действия на примере администраторов приложения.

Добавление администратора

Добавить администратора можно разными способами:
– Через контекстное меню в списке приложений или на форме просмотра приложения, выбрав пункт Добавить администратора;

– Через кнопку Добавить администратора в списке администраторов приложения на соответствующей вкладке

При нажатии на кнопку Добавить администратора открывается окно выбора пользователей.

Допускается выбор нескольких пользователей одновременно. По необходимости, воспользоваться поиском.
Добавить администратора приложения можно на время. Для этого надо:
– выбрать опцию Ограничить срок действия полномочий. Становится доступным поле ввода даты, до которой будут действовать полномочия;
– ввести дату или выбрать из календаря.

После наступления указанной даты пользователь теряет доступ к администрированию приложения.
В строке с комментарием можно указать причину назначения администратора или оставить поле пустым.

После нажатия на кнопку Выбрать пользователь добавляется в список администраторов приложения и получает доступ к редактированию настроек приложения, его ресурсов и управлению пользователями в ролях.

Если при предоставлении доступа к администрированию приложения пользователь получит дополнительный доступ к другим ролям, или к администрированию приложений или ресурсов, то возникает информационное сообщение.

При нажатии на кнопку Подтвердить пользователь получает дополнительный доступ.

Управление пользователями роли

Управление доступом пользователей к информационной системе осуществляется через роли ресурсов.
В профиле роли на вкладке Пользователи отображаются все участники этой роли.

Администратор может:

• Перейти на форму просмотра профиля пользователя;
• Добавить пользователя к роли – предоставить доступ;
• Отозвать доступ к роли;
• Фильтровать список пользователей;
• Производить поиск.

Список пользователей можно фильтровать по Статусу, Принадлежности к ППС, Типу пользователя и Сроку действия записи.

При нажатии пользователя в списке открывается форма просмотра профиля пользователя.

По списку формируются Отчеты:
– Права доступа – по текущим ролям пользователя;
– Изменения прав – по истории изменения прав пользователей внутри приложения и ресурса.

Для списка доступен поиск по полям: Имя, Электронная почта, Логин.

При добавлении пользователя к роли, он получает доступ во внешней информационной системе, связанный с этой ролью.

При отзыве у пользователя доступа к роли, он теряет доступ во внешней информационной системе, связанный с этой ролью.

При добавлении пользователя к роли или удалении доступа к роли идет проверка на получение дополнительных доступов:
– в других ролях;
– в качестве группы администраторов приложений и ресурсов;
– на вложенность ролей.

В таких ситуациях возникают информационные сообщения о предоставлении или потере дополнительных доступов.

Добавление пользователя к роли ресурса без согласования доступа

Для добавления пользователя нужно:
1) В списке пользователей нажать кнопку Добавить пользователя;

2) В открывшемся окне выбрать пользователей. Допускается выбор нескольких пользователей одновременно. По необходимости, воспользоваться поиском.

Добавить пользователя можно на время. Для этого надо:
– выбрать опцию Ограничить срок действия полномочий. Становится доступным поле ввода даты, до которой будут действовать полномочия;
– ввести дату или выбрать из календаря.

После наступления указанной даты пользователь теряет доступ к роли. В строке с комментарием можно указать причину назначения роли или оставить поле пустым.

После нажатия на кнопку Выбрать пользователь добавляется в список пользователей роли и получает доступ во внешней информационной системе.

Если при предоставлении доступа к роли пользователь получит дополнительный доступ к другим ролям, то возникает информационное сообщение.

При нажатии на кнопку Подтвердить пользователь получает доступ ко всем указанным ролям.

Добавление пользователя к роли ресурса с согласованием доступа

Если у ресурса, в котором создана роли установлен флаг Требует согласования для доступа, то при добавлении пользователя в роль администратором приложения создается запрос на доступ для пользователей из списка согласования. Отслеживать предоставление доступа администратор приложения может в профиле роли на вкладке Ожидают согласования.

Для добавления пользователя к роли нужно:
1) В списке пользователей нажать кнопку Добавить пользователя;

2) В открывшемся окне выбрать пользователей. Допускается выбор нескольких пользователей одновременно. По необходимости, воспользоваться поиском.

Добавить пользователя можно на время. Для этого надо:
– выбрать опцию Ограничить срок действия полномочий. Становится доступным поле ввода даты, до которой будут действовать полномочия;
– ввести дату или выбрать из календаря.

После наступления указанной даты пользователь теряет доступ к роли.
В строке с комментарием можно указать причину назначения роли или оставить поле пустым.

После нажатия на кнопку Выбрать появляется информационное сообщение о создании и отправке запроса согласующим.

Если при предоставлении доступа к роли пользователь получит дополнительный доступ к другим ролям, то возникает информационное сообщение.

При нажатии на кнопку Подтвердить появляется информационное сообщение о создании и отправке запроса согласующим.

Отзыв доступа к роли

Отозвать доступ к роли можно разными способами:

• Через контекстное меню в списке пользователей, выбрав пункт Отозвать доступ;

• Выделить в списке одного или нескольких пользователей нажать кнопку Отозвать доступ.

При нажатии на кнопку отзыва открывается окно подтверждения отзыва.

Если при отзыве доступа к роли пользователь потеряет другие доступы, то возникает информационное сообщение.

При нажатии на кнопку Отозвать открывается модальное окно ввода причины отзыва доступа. Поле с комментарием можно оставить пустым. При нажатии на кнопку Подтвердить пользователь теряет доступ к указанным ролям.

Выбор группы Active Directory для определения группы пользователей роли

Определение, кто будет пользователей роли производится через подключение группы Active Directory. Все участники подключенной группы Active Directory будут иметь соответствующий доступ к ИС.

При нажатии на кнопку Выбрать в поле подключения открывается модальное окно выбора группы Active Directory. Допускается выбор только одной группы.

После выбора группы и нажатия на Выбрать, значение заносится в поле.
Возможен поиск групп AD.

Если выбранная группа AD уже используется в других ролях системы, или подключена как группа администраторов приложений или ресурсов, то возникает информационное сообщение.

При нажатии на кнопку Выбрать, значение заносится в поле.

Отчеты по пользователям приложений и ресурсов

Отчеты по пользователям или администраторам приложений и ресурсов делятся на два типа:
– Отчет по изменению прав пользователей;
– Отчет по правам доступа.
Отчеты доступны в двух форматах: xlsx и pdf.

Отчет по изменению прав

Предназначен для вывода истории изменения прав пользователей.
Отчет формируется в контексте приложения, ресурса или администрирования приложения или ресурса, в зависимости от формы, с которой был вызов отчета.

Отчет по правам доступа

Предназначен для вывод текущего состояния прав пользователей. Отчет формируется в контексте приложения, роли или администрирования приложения или ресурса, в зависимости от формы, с которой был вызов отчета.

Данный тип отчета может быть сформирован по фильтрованному списку пользователей.

Приложения без доступа к управлению

Форма просмотра приложения

Форма просмотра приложения делится на две вкладки – Профиль приложения и Ресурсы.

На вкладке Профиль отображаются основные сведения о приложении и имеется возможность перейти по ссылке на сайт приложения.

На вкладке Ресурсы отображаются все ресурсы данного приложения.

Пользователь может раскрыть список вложенных ресурсов.

Пользователь может запросить доступ к ресурсу, нажав на кнопку Запросить доступ или перейти на форму просмотра ресурса, нажав на название ресурса.

Если у пользователя есть доступ к роли приложения, то в списке приложение и ресурс отображаются с иконкой «открытый замок».

Если у пользователя нет доступа к ролям приложения или доступ запрошен, но еще не одобрен, то в списке приложение и ресурс отображаются с иконкой «закрытый замок» и статусом Запросить доступ или Доступ запрошен.

Форма просмотра ресурса

Форма просмотра ресурса делится на две вкладки – Профиль ресурса и Ресурсы.

На вкладке Профиль отображаются основные сведения о ресурсе и имеется возможность перейти по ссылке на сайт ресурса.

Если у пользователя нет доступа к ресурсу, то он может запросить его, нажав кнопку Запросить доступ. При этом создается запрос на доступ, который должен быть согласован ответственным лицом.

Если пользователь запросил доступ, но ответственное лицо еще его не согласовало, то на форме просмотра роли отображается статус доступа – Доступ запрошен.

Если у пользователя есть доступ к ресурсу, то форме просмотра отображается статус – Доступ предоставлен, и пользователь может запросить повышение уровня доступа, нажав Запросить еще.

На вкладке Ресурсы отображаются вложенные ресурсы, если они есть. Если вложенных ресурсов нет, то вкладка – пустая.

Создание запроса на доступ

Для создания запроса на доступ нужно:
1) Нажать кнопку Запросить доступ, если доступа нет, или Запросить еще. если доступ к ресурсу уже имеется. Кнопка доступна для ресурсов в списке приложений, в списке вложенных ресурсов на формах просмотра приложения или ресурса, на форме просмотра ресурса.

2) В открывшемся окне ввести причину запроса доступа и нажать Запросить доступ.

3) Открывается форма подтверждения создания запроса.

Посмотреть созданный запрос и его статус можно в меню Запросы.
При нажатии на кнопку Отмена или при закрытии форма ввода комментария запрос не создается.