Администрирование пользователей#

Управление учетными записями пользователей#

В разделе «Пользователи» консоли управления администратор Blitz Identity Provider может осуществлять следующие операции:

  • поиск учетных записей пользователей;

  • добавление учетной записи пользователя;

  • просмотр и редактирование атрибутов учетной записи пользователя;

  • изменение пароля учетной записи пользователя;

  • просмотр и отвязка учетных записей внешних поставщиков идентификации;

  • привязка устройств для проведения двухфакторной аутентификации;

  • просмотр групп, в которые включен пользователь, управление членством пользователя в группах;

  • ­просмотр и удаление устройств пользователя;

  • просмотр, привязка, удаление ключей безопасности пользователя;

  • просмотр прав учетной записи пользователя, назначение и отзыв прав;

  • просмотр разрешений, выданных пользователем приложениям;

  • удаление учетной записи пользователя.

Общий вид страницы управления данными пользователей представлен на рисунке.

:size=80%

Вид страницы управления пользователями#

Поиск учетных записей пользователей#

Для поиска пользователей необходимо ввести идентификатор пользователя и нажать на кнопку «Найти». В качестве отображаемого идентификатора используется атрибут, определенный в разделе «Источники данных» в качестве базового идентификатора, а также атрибуты, отмеченные как поисковые.

Перечень найденных пользователей содержит:

  • значение идентификатора найденного пользователя;

  • хранилище, в котором найден пользователь;

  • имя пользователя, сконфигурированное в разделе «Источники данных».

Нажатие на любую из найденных учетных записей открывает детальную информацию о пользователе.

Также доступны:

  • кнопка копирования ссылки на найденного пользователя – при ее нажатии ссылка на пользователя копируется в буфер обмена;

  • ссылка «События безопасности» для быстрого перехода к просмотру событий безопасности за текущий день, в которых найденный пользователь фигурирует в качестве объекта доступа.

Добавление учетной записи пользователя#

Для добавления новой учетной записи требуется нажать на ссылку «Создать учетную запись пользователя…». В открывшемся окне:

  • указать хранилище, в которым следует сохранить данные пользователя;

  • задать все необходимые атрибуты;

  • нажать на кнопку «Создать».

Важно

При создании учетной записи следует учитывать те ограничения, которые настроены для хранилища данных, в которое осуществляется запись. Например, если сохранение производится в LDAP-каталог, то должны быть заполнены все обязательные атрибуты, не нарушены ограничения на уникальность атрибутов и пр. При этом с точки зрения Blitz Identity Provider обязательным является только идентификатор и обязательные атрибуты (соответствующие атрибуты отмечены знаком «звездочка» (*)).

:size=80%

Создание учетной записи пользователя#

Просмотр и изменение атрибутов пользователя#

При нажатии на идентификатор любого найденного пользователя отображается информация о нем – карточка пользователя. Она содержит значения атрибутов, которые были определены в разделе «Источники данных», а также привязанные учетные записи внешних поставщиков идентификации, устройства пользователя, ключи безопасности и др.

:size=80%

Просмотр информации о пользователе (фрагмент)#

На карточке пользователя можно совершать следующие операции:

  • редактировать атрибуты пользователя;

  • изменять пароль;

  • просматривать перечень привязанных учетных записей внешних поставщиков аутентификации, отвязывать внешние учетные записи;

  • изменять требуемый уровень аутентификации для пользователя;

  • привязывать или удалять устройства для проведения аутентификации: генераторы разовых паролей и мобильные приложения для получения push-уведомлений;

  • просматривать группы, в которые включен пользователь;

  • просматривать права пользователя и права, которые имеются в отношении данного пользователя;

  • просматривать и удалять запомненные устройства и браузеры пользователя;

  • просматривать, добавлять и удалять ключи безопасности пользователя;

  • просматривать и удалять выданные приложениям разрешения.

Редактирование атрибутов пользователя#

При просмотре карточки выбранной учетной записи пользователя администратор может изменить любой атрибут пользователя. При редактировании учетной записи следует учитывать те ограничения, которые настроены для хранилища данных, в которое осуществляется запись.

Следует учитывать, что при изменении данных через интерфейс редактирования атрибутов не учитываются правила, используемые в процессе самостоятельной регистрации пользователя. Например, изменение адреса электронной почты или номера мобильного телефона не требует подтверждения.

Смена пароля пользователя#

Для смены пароля используется блок «Смена пароля». Новый пароль можно ввести вручную, либо сгенерировать – для этого необходимо оставить чекбокс «Сгенерировать пароль». Новый пароль будет отображен в информационном блоке успешного выполнения операции.

При задании нового пароля вручную следует учитывать ограничения парольной политики для того хранилища, куда сохраняется пароль.

:size=60%

Смена пароля#

Просмотр и отвязка учетных записей внешних поставщиков идентификации#

В блоке «Привязанные учетные записи внешних систем» можно посмотреть перечень аккаунтов внешних поставщиков идентификации (социальных сетей, банков, ЕСИА, Mos ID и др.), привязанных к учетной записи найденного пользователя. Каждая привязка характеризуется уникальным идентификатором, где последняя часть – это внутренний идентификатор аккаунта в соответствующем поставщике идентификации. Например, в записи esia:esia_1:1000347601 последняя часть (1000347601) – это идентификатор аккаунта в ЕСИА. При необходимости можно удалить связь с внешней учетной записью.

:size=80%

Просмотр информации о пользователе: привязанные учетные записи внешних поставщиков#

Привязка устройств для проведения двухфакторной аутентификации по разовому паролю#

Администратор может привязать к учетной записи выбранного пользователя средство для проведения двухфакторной аутентификации. Например, можно привязать аппаратный HOTP/TOTP генератор по серийному номеру, либо привязать к учетной записи по QR-коду мобильное приложение, осуществляющее выработку TOTP-кодов.

:size=80%

Привязка HOTP-устройства по серийному номеру администратором#

:size=80%

Привязка TOTP-приложения по QR-коду администратором#

Привязка мобильного приложения Duo Mobile#

Для проведения аутентификации средствами Duo Mobile необходимо провести привязку мобильного приложения к учетной записи пользователя. Рекомендуемый сценарий – пользователь самостоятельно привязывает свое мобильное приложение в веб-приложении «Личный кабинет».

Альтернативный способ привязки – через консоль управления. Для этого необходимо в разделе «Пользователи» найти необходимую учетную запись и блок настроек «Приложение Duo Mobile (QR-код)». В этом блоке следует нажать на кнопку «Привязать Duo Mobile», далее сосканировать отображенный QR-код мобильным приложением Duo Mobile.

:size=40%

Привязка мобильного приложения Duo Mobile#

Просмотр групп, в которые включен пользователь, управление членством пользователя в группах#

Если пользователь включен в группы, то эта информация будет отображена в блоке «Членство в группах». По каждой группе будет отображены следующие данные:

  • идентификатор группы;

  • значения атрибутов группы.

:size=80%

Просмотр групп пользователя#

Можно исключить пользователя из группы с помощью кнопки удаления или добавить пользователя в другую группу с помощью ссылки «Добавить в группу». Для добавления пользователя в группу нужно будет ввести значение атрибута, идентифицирующего группу, нажать кнопку «Найти», выбрать подходящую группу из списка найденных, и нажать кнопку «Добавить».

:size=60%

Добавление пользователя в группу#

Просмотр прав, назначение и отзыв прав#

Если в отношении пользователя есть права со стороны приложений или других учетных записей, то это будет отображено в блоке «Права в отношении пользователя». Если пользователь имеет права в отношении объектов, например, других учетных записей, то это будет отображено в блоке «Права пользователя в отношении объектов».

Каждое право характеризуется следующими параметрами:

  • идентификатор объекта;

  • имя;

  • право.

:size=60%

Просмотр прав других субъектов в отношении пользователя#

:size=60%

Просмотр прав пользователя в отношении объектов#

Отозвать право доступа можно с помощью кнопки удаления рядом с правом доступа. Назначить право доступа можно с помощью ссылки «Назначить права». При этом надо будет выбрать назначаемое право доступа из списка, тип субъекта (пользователь или приложение) или объекта (пользователь, группа или приложение), найти и выбрать субъекта/объекта.

:size=60%

Назначение другим субъектам прав к учетной записи пользователя#

:size=80%

Назначение пользователю прав к объектам#

Просмотр и удаление запомненных устройств и браузеров#

Администратор имеет возможность просмотреть устройства и браузеры, с которых пользователь осуществлял вход с использованием своей учетной записи. Описание устройств включает:

  • признак того, запомнена ли на устройстве сессия входа и является ли устройство доверенным. Признак кодируется с помощью цвета:

    • серый – на устройстве не запомнена сессия входа и устройство не является доверенным;

    • желтый – на устройстве на запомнена сессия входа, но устройство является доверенным;

    • синий – на устройстве запомнена сессия входа, но устройство не является доверенным;

    • зеленый – на устройстве запомнена сессия входа и устройств является доверенным.

  • имя и версия операционной системы устройства, определенные на основе UserAgent;

  • имя и версия браузера, определенные на основе UserAgent;

  • дата и время последнего входа с данного устройства и браузера;

  • IP-адрес пользователя, который был определен при последнем входе с данного устройства и браузера.

:size=80%

Просмотр и удаление запомненных устройств и браузеров пользователя#

Управление ключами безопасности#

Администратор имеет возможность просмотреть перечень ключей безопасности (Passkey, WebAuthn, FIDO2, U2F), зарегистрированных для учетной записи пользователя. Для каждого ключа безопасности указаны:

  • имя ключа;

  • дата и время регистрации ключа;

  • область применения (для Passkey и FIDO2 – для входа и для подтверждения входа; для U2F – только для подтверждения входа);

  • дата и время последнего использования ключа.

:size=80%

Просмотр ключей безопасности пользователя#

Администратор может зарегистрировать новый ключ безопасности с помощью ссылки «Добавить ключ». В обычном сценарии использования ключи безопасности себе добавляет сам пользователь в момент входа (онбординг) или через личный кабинет.

:size=80%

Добавление ключа безопасности пользователя#

Возможность добавления ключа администратором может быть полезна в следующих сценариях:

  • Администратор лично выдает пользователям аппаратный FIDO2/U2F ключ и привязывает его к учетной записи. Для доступа к приложениям компании используется двухфакторная аутентификация.

  • Администратору в целях технической поддержки нужна возможность войти под учетной записью пользователя. Сброс от учетной записи пароля доставит пользователю неудобства – вместо этого можно зарегистрировать ключ безопасности и использовать его для входа. Все действия по регистрации и удалению ключей безопасности регистрируются как события безопасности.

Просмотр и удаление выданных приложениям разрешений#

Администратор имеет возможность просмотреть перечень разрешений, выданных пользователем приложениям.

Каждое разрешение описывается:

  • идентификатор приложения;

  • перечень разрешений (scope);

  • дата выдачи разрешений.

:size=80%

Просмотр выданных разрешений#

Управление группами пользователей#

Если в Blitz Identity Provider настроена возможность работы с группами пользователей (см. Группы пользователей), то в консоли управления появится раздел «Группы». В данном разделе можно осуществлять поиск групп по одному из сконфигурированных атрибутов, редактировать группы, создавать и удалять группы, управлять членством пользователей в группах.

По каждой найденной группе отображаются ее атрибуты. Кроме того, в блоке «Члены группы» отображаются все пользователи, включенные в данную группу. По каждому пользователю отображается:

  • идентификатор;

  • имя пользователя – согласно шаблону, определенному в разделе «Источники данных» («Имя пользователя в консоли»).

:size=80%

Просмотр групп пользователей#

Доступны возможности по редактированию атрибутов группы, удалению группы, включению пользователей в группу с помощью ссылки «Добавить пользователя…», исключению пользователя из группы, созданию новых групп пользователей с помощью ссылки «Создать группу…».

:size=60%

Включение пользователя в группу#

:size=80%

Создание новой группы пользователей#

Управление правами доступа#

Для ведения справочника прав доступа в Blitz Identity Provider используется раздел «Права доступа» консоли управления. Права доступа могут использоваться для контроля доступа пользователей в приложения, для контроля вызова приложениями защищаемых REST-сервисов, а также могут быть запрошены и использованы приложениями для осуществления контроля доступа пользователя к функциям приложений.

:size=80%

Ведение справочника прав доступа#