Администрирование пользователей#

Управление учетными записями пользователей#

В разделе «Пользователи» консоли управления администратор Blitz Identity Provider может осуществлять следующие операции:

  • поиск учетных записей пользователей;

  • добавление учетной записи пользователя;

  • просмотр и редактирование атрибутов учетной записи пользователя;

  • сброс сессий пользователя;

  • изменение пароля учетной записи пользователя;

  • просмотр и отвязка учетных записей внешних поставщиков идентификации;

  • привязка устройств для проведения двухфакторной аутентификации;

  • просмотр групп, в которые включен пользователь, управление членством пользователя в группах;

  • ­просмотр и удаление устройств пользователя;

  • просмотр, привязка, удаление ключей безопасности пользователя;

  • просмотр прав учетной записи пользователя, назначение и отзыв прав;

  • просмотр разрешений, выданных пользователем приложениям;

  • удаление учетной записи пользователя.

Общий вид страницы управления данными пользователей представлен на рисунке.

:size=80%

Поиск учетных записей пользователей#

Для поиска пользователей необходимо ввести идентификатор пользователя и нажать на кнопку «Найти». В качестве отображаемого идентификатора используется атрибут, определенный в разделе «Источники данных» в качестве базового идентификатора, а также атрибуты, отмеченные как поисковые.

Перечень найденных пользователей содержит:

  • значение идентификатора найденного пользователя;

  • хранилище, в котором найден пользователь;

  • имя пользователя, сконфигурированное в разделе «Источники данных».

Нажатие на любую из найденных учетных записей открывает детальную информацию о пользователе.

Также доступны:

  • кнопка копирования ссылки на найденного пользователя – при ее нажатии ссылка на пользователя копируется в буфер обмена;

  • ссылка «События безопасности» для быстрого перехода к просмотру событий безопасности за текущий день, в которых найденный пользователь фигурирует в качестве объекта доступа.

Добавление учетной записи пользователя#

Для добавления новой учетной записи требуется нажать на ссылку «Создать учетную запись пользователя…». В открывшемся окне:

  • указать хранилище, в которым следует сохранить данные пользователя;

  • задать все необходимые атрибуты;

  • нажать на кнопку «Создать».

Важно

При создании учетной записи следует учитывать те ограничения, которые настроены для хранилища данных, в которое осуществляется запись. Например, если сохранение производится в LDAP-каталог, то должны быть заполнены все обязательные атрибуты, не нарушены ограничения на уникальность атрибутов и пр. При этом с точки зрения Blitz Identity Provider обязательным является только идентификатор и обязательные атрибуты (соответствующие атрибуты отмечены знаком «звездочка» (*)).

:size=80%

Просмотр и изменение атрибутов пользователя#

При нажатии на идентификатор любого найденного пользователя отображается информация о нем – карточка пользователя. Она содержит значения атрибутов, которые были определены в разделе «Источники данных», а также привязанные учетные записи внешних поставщиков идентификации, устройства пользователя, ключи безопасности и др.

:size=80%

На карточке пользователя можно совершать следующие операции:

  • редактировать атрибуты пользователя;

  • сбросить сессии пользователя;

  • изменять пароль;

  • просматривать перечень привязанных учетных записей внешних поставщиков аутентификации, отвязывать внешние учетные записи;

  • изменять требуемый уровень аутентификации для пользователя;

  • привязывать или удалять устройства для проведения аутентификации: генераторы разовых паролей и мобильные приложения для получения push-уведомлений;

  • просматривать группы, в которые включен пользователь;

  • просматривать права пользователя и права, которые имеются в отношении данного пользователя;

  • просматривать и удалять запомненные устройства и браузеры пользователя;

  • просматривать, добавлять и удалять ключи безопасности пользователя;

  • просматривать и удалять выданные приложениям разрешения.

Редактирование атрибутов пользователя#

При просмотре карточки выбранной учетной записи пользователя администратор может изменить любой атрибут пользователя. При редактировании учетной записи следует учитывать те ограничения, которые настроены для хранилища данных, в которое осуществляется запись.

Следует учитывать, что при изменении данных через интерфейс редактирования атрибутов не учитываются правила, используемые в процессе самостоятельной регистрации пользователя. Например, изменение адреса электронной почты или номера мобильного телефона не требует подтверждения.

Сброс сессий пользователя#

Для сброса сессий пользователя используется кнопка Сбросить сессии в блоке Сброс сессий пользователя.

:size=80%

При сбросе сессий пользователя выполняются следующие действия:

  • выданные на пользователя приложениям маркеры безопасности (маркеры доступа, маркеры обновления, маркеры идентификации) становятся недействительными – при вызове в Blitz Identity Provider сервиса интроспекции с такими маркерами сервис вернет, что маркер недействителен;

  • в запомненных для пользователя устройствах убираются флаги доверенных устройств и запоминания на них длительных сессий;

  • привязанные к учетной записи пользователя выпущенные для мобильных приложений пары динамических client_id/client_secret аннулируются;

  • запомненные в браузере пользователя SSO-сессии становятся недействительными, так что при очередном запросе со стороны приложений идентификации в Blitz Identity Provider будет запрошена новая идентификация и аутентификация.

Смена пароля пользователя#

Для смены пароля используется блок Смена пароля. Новый пароль можно ввести вручную, либо сгенерировать – для этого необходимо оставить чекбокс Сгенерировать пароль. Новый пароль будет отображен в информационном блоке успешного выполнения операции. При смене пароля можно также установить чекбокс Сбросить сессии, тогда одновременно со сменой пароля будут сброшены сессии пользователя.

При задании нового пароля вручную следует учитывать ограничения парольной политики для того хранилища, куда сохраняется пароль.

:size=60%

Просмотр и отвязка учетных записей внешних поставщиков идентификации#

В блоке «Привязанные учетные записи внешних систем» можно посмотреть перечень аккаунтов внешних поставщиков идентификации (социальных сетей, банков, ЕСИА, Mos ID и др.), привязанных к учетной записи найденного пользователя. Каждая привязка характеризуется уникальным идентификатором, где последняя часть – это внутренний идентификатор аккаунта в соответствующем поставщике идентификации. Например, в записи esia:esia_1:1000347601 последняя часть (1000347601) – это идентификатор аккаунта в ЕСИА. При необходимости можно удалить связь с внешней учетной записью.

:size=80%

Привязка устройств для проведения двухфакторной аутентификации по разовому паролю#

Администратор может привязать к учетной записи выбранного пользователя средство для проведения двухфакторной аутентификации. Например, можно привязать аппаратный HOTP/TOTP генератор по серийному номеру, либо привязать к учетной записи по QR-коду мобильное приложение, осуществляющее выработку TOTP-кодов.

:size=80%

Привязка HOTP-устройства по серийному номеру администратором

:size=80%

Привязка TOTP-приложения по QR-коду администратором

Привязка мобильного приложения Duo Mobile#

Для проведения аутентификации средствами Duo Mobile необходимо провести привязку мобильного приложения к учетной записи пользователя. Рекомендуемый сценарий – пользователь самостоятельно привязывает свое мобильное приложение в веб-приложении «Личный кабинет».

Альтернативный способ привязки – через консоль управления. Для этого необходимо в разделе «Пользователи» найти необходимую учетную запись и блок настроек «Приложение Duo Mobile (QR-код)». В этом блоке следует нажать на кнопку «Привязать Duo Mobile», далее сосканировать отображенный QR-код мобильным приложением Duo Mobile.

:size=40%

Просмотр групп, в которые включен пользователь, управление членством пользователя в группах#

Если пользователь включен в группы, то эта информация будет отображена в блоке «Членство в группах». По каждой группе будет отображены следующие данные:

  • идентификатор группы;

  • значения атрибутов группы.

:size=80%

Можно исключить пользователя из группы с помощью кнопки удаления или добавить пользователя в другую группу с помощью ссылки «Добавить в группу». Для добавления пользователя в группу нужно будет ввести значение атрибута, идентифицирующего группу, нажать кнопку «Найти», выбрать подходящую группу из списка найденных, и нажать кнопку «Добавить».

:size=60%

Просмотр прав, назначение и отзыв прав#

Если в отношении пользователя есть права со стороны приложений или других учетных записей, то это будет отображено в блоке «Права в отношении пользователя». Если пользователь имеет права в отношении объектов, например, других учетных записей, то это будет отображено в блоке «Права пользователя в отношении объектов».

Каждое право характеризуется следующими параметрами:

  • идентификатор объекта;

  • имя;

  • право.

:size=60%

Просмотр прав других субъектов в отношении пользователя

:size=60%

Просмотр прав пользователя в отношении объектов

Отозвать право доступа можно с помощью кнопки удаления рядом с правом доступа. Назначить право доступа можно с помощью ссылки «Назначить права». При этом надо будет выбрать назначаемое право доступа из списка, тип субъекта (пользователь или приложение) или объекта (пользователь, группа или приложение), найти и выбрать субъекта/объекта.

:size=60%

Назначение другим субъектам прав к учетной записи пользователя

:size=80%

Назначение пользователю прав к объектам

Просмотр и удаление запомненных устройств и браузеров#

Администратор имеет возможность просмотреть устройства и браузеры, с которых пользователь осуществлял вход с использованием своей учетной записи. Описание устройств включает:

  • признак того, запомнена ли на устройстве сессия входа и является ли устройство доверенным. Признак кодируется с помощью цвета:

    • серый – на устройстве не запомнена сессия входа и устройство не является доверенным;

    • желтый – на устройстве на запомнена сессия входа, но устройство является доверенным;

    • синий – на устройстве запомнена сессия входа, но устройство не является доверенным;

    • зеленый – на устройстве запомнена сессия входа и устройств является доверенным.

  • имя и версия операционной системы устройства, определенные на основе UserAgent;

  • имя и версия браузера, определенные на основе UserAgent;

  • дата и время последнего входа с данного устройства и браузера;

  • IP-адрес пользователя, который был определен при последнем входе с данного устройства и браузера.

:size=80%

Управление ключами безопасности#

Администратор имеет возможность просмотреть перечень ключей безопасности (Passkey, WebAuthn, FIDO2, U2F), зарегистрированных для учетной записи пользователя. Для каждого ключа безопасности указаны:

  • имя ключа;

  • дата и время регистрации ключа;

  • область применения (для Passkey и FIDO2 – для входа и для подтверждения входа; для U2F – только для подтверждения входа);

  • дата и время последнего использования ключа.

:size=80%

Администратор может зарегистрировать новый ключ безопасности с помощью ссылки «Добавить ключ». В обычном сценарии использования ключи безопасности себе добавляет сам пользователь в момент входа (онбординг) или через личный кабинет.

:size=80%

Возможность добавления ключа администратором может быть полезна в следующих сценариях:

  • Администратор лично выдает пользователям аппаратный FIDO2/U2F ключ и привязывает его к учетной записи. Для доступа к приложениям компании используется двухфакторная аутентификация.

  • Администратору в целях технической поддержки нужна возможность войти под учетной записью пользователя. Сброс от учетной записи пароля доставит пользователю неудобства – вместо этого можно зарегистрировать ключ безопасности и использовать его для входа. Все действия по регистрации и удалению ключей безопасности регистрируются как события безопасности.

Просмотр и удаление выданных приложениям разрешений#

Администратор имеет возможность просмотреть перечень разрешений, выданных пользователем приложениям.

Каждое разрешение описывается:

  • идентификатор приложения;

  • перечень разрешений (scope);

  • дата выдачи разрешений.

:size=80%

Управление группами пользователей#

Если в Blitz Identity Provider настроена возможность работы с группами пользователей (см. Группы пользователей), то в консоли управления появится раздел «Группы». В данном разделе можно осуществлять поиск групп по одному из сконфигурированных атрибутов, редактировать группы, создавать и удалять группы, управлять членством пользователей в группах.

По каждой найденной группе отображаются ее атрибуты. Кроме того, в блоке «Члены группы» отображаются все пользователи, включенные в данную группу. По каждому пользователю отображается:

  • идентификатор;

  • имя пользователя – согласно шаблону, определенному в разделе «Источники данных» («Имя пользователя в консоли»).

:size=80%

Доступны возможности по редактированию атрибутов группы, удалению группы, включению пользователей в группу с помощью ссылки «Добавить пользователя…», исключению пользователя из группы, созданию новых групп пользователей с помощью ссылки «Создать группу…».

:size=60%

Включение пользователя в группу

:size=80%

Создание новой группы пользователей

Управление правами доступа#

Для ведения справочника прав доступа в Blitz Identity Provider используется раздел «Права доступа» консоли управления. Права доступа могут использоваться для контроля доступа пользователей в приложения, для контроля вызова приложениями защищаемых REST-сервисов, а также могут быть запрошены и использованы приложениями для осуществления контроля доступа пользователя к функциям приложений.

:size=80%