Управление группами пользователей#

Включение отображения групп в blitz.conf#

Если в Blitz Identity Provider настроена возможность работы с группами пользователей, то в консоли управления появится раздел Группы.

Чтобы включить возможность просмотра групп пользователей, необходимо добавить блок настроек blitz.prod.local.idp.groups следующего вида:

  "groups": {
    "profiles": [
      {
           "attrsMap": {
               "INN": "inn",
               "NAME": "orgname",
               "OGRN": "ogrn",
               "desc": "description",
               "members": {
                   "name": "uniqueMember",
                   "type": "strings"
               }
           },
           "filter": "objectClass=organizationgroup",
           "groupStore": "389ds",
           "id": "orgs",
           "type": "mirror",
           "memberOfWithNested": true
       }
   ],
   "stores": {
       "list": [
           {
               "baseDN": "ou=external,ou=groups,dc=test",
               "desc": "Группы",
               "id": "389ds",
               "idAttrName": "cn",
               "ldapStore": "389ds",
               "memberOfAttrName": "memberOf",
               "membersAttrName": "uniqueMember",
               "newGroupAttrs": [
                   {
                       "attr": "objectclass",
                       "format": "strings",
                       "value": "top,groupOfUniqueNames,organizationgroup"
                   },
                   {
                       "attr": "dn",
                       "format": "string",
                       "value": "cn=${id},ou=external,ou=groups,dc=test"
                   }
               ],
               "searchScope": "SUB",
               "type": "ldap_based"
           }
       ]
   }
}

Особенности указания настроек:

в profiles.groupStore, stores.list.id, stores.ldapStore должен быть идентификатор LDAP-каталога, используемого для хранения пользователей;
в profiles.attrsMap и в stores.list.idAttrName должны быть указаны атрибуты группы (класс groups), например name. Имена атрибутов при желании можно назвать и по-другому, поддерживаются только LDAP-атрибуты типа String;
в stores.list.baseDN нужно проверить (и исправить если необходимо) путь для хранения организаций в LDAP. Если путь будет исправлен, то скорректировать также настройку "value": "cn=${id},ou=external,ou=groups,dc=test" соответствующим образом;
в profiles.memberOfWithNested укажите значение true или false в зависимости от того, есть ли необходимость искать все группы у пользователя;
для Microsoft AD параметр membersAttrName должен иметь значение memberOf.

Работа с группами#

В разделе Группы можно осуществлять поиск групп по одному из сконфигурированных атрибутов, редактировать группы, создавать и удалять группы, управлять членством пользователей в группах, назначать группе пользователей права.

По каждой найденной группе отображаются ее атрибуты. Кроме того, в блоке Члены группы отображаются все пользователи, включенные в данную группу, в блоке Права группы в отношении приложений отображаются все назначеные группе пользователей права.

По каждому пользователю отображается:

идентификатор;
имя пользователя – согласно шаблону, определенному в разделе Источники данных (Имя пользователя в консоли).

По каждому назначенному праву отображается:

идентификатор;
название приложения, в отношении которого назначено право;
право - название или системное имя права, указанное в разделе Права доступа.

Доступны возможности по редактированию атрибутов группы, удалению группы, включению пользователей в группу с помощью ссылки Добавить пользователя…, исключению пользователя из группы, назначение прав группе с помощью ссылки Назначить права, удалению прав, созданию новых групп пользователей с помощью ссылки Создать группу….

Включение пользователя в группу:

Назначение группе прав: