Добавление администраторов и изменение паролей

Добавление администраторов, управление их ролями, а также изменение паролей осуществляется посредством раздела Администраторы консоли управления.

По умолчанию в Blitz Identity Provider доступны следующие роли:

  • суперпользователь – может выполнять все действия в консоли управления;

  • администратор ИБ – может управлять администраторами и просматривать события безопасности (раздел События);

  • системный администратор – может выполнять все действия в консоли управления, кроме управления администраторами;

  • администратор – может только работать с пользователями и с событиями безопасности (доступ на чтение и на запись, разделы Пользователи и События).

Пользователь, имеющий доступ к разделу Администраторы, может совершать следующие действия:

  • создавать / удалять запись администратора;

  • назначать / отзывать роль у администратора;

  • менять пароль у администратора.

Управление администраторами

Настройка доменов приватности

Blitz Identity Provider позволяет для одного или нескольких приложений настроить свой собственный домен приватности. Создание домена приватности обеспечивает уникальность идентификатора пользователя, полученного приложением по результатам аутентификации, т.е. этот идентификатор будет уникальным, но специфичным для данного приложения. Иными словами, если запрос на получение данных пользователя будет инициировать приложение из другого домена приватности, то оно будет получать другое значение идентификатора пользователя.

Для добавления домена приватности следует отредактировать конфигурационный файл blitz.conf, добавив в него блок realms следующего содержания (название домена приватности – test_realm):

"realms" : {
    "list" : [
        {
            "name" : "test_realm"
        }
    ]
}

Назначить домен приватности приложению также можно через конфигурационный файл blitz.conf. Для этого в блоке, описывающем приложение, необходимо добавить атрибут realm, равный идентификатору сконфигурированного приложения. (см. пример ниже)

Пример указания к какому realm относится приложение

"test_app" : {
        "domain" : "example.com",
        "name" : "Тестовое приложение",
        "realm" : "test_realm"
    }

Мультиязычнось и кастомизация текстовых сообщений

Мультиязычность

Веб-интерфейс Blitz Identity Provider поддерживает мультиязычность. По умолчанию предусмотрено два языка – русский и английский. Пользователю отображается интерфейс на том языке, который соответствует его системному языку в ОС и предпочтительному языку в браузере.

Переключение языка осуществляется посредством изменения основного языка ввода (языка отображения веб-страниц) в используемом браузере. Например, для изменения языка в браузере Chrome нужно выполнить шаги:

  • перейти к настройкам браузера (chrome://settings/);

  • выбрать пункт «Показать дополнительные настройки»;

  • нажать на кнопку «Изменить языковые настройки»;

  • переместить нужный язык на первое место в списке.

Настройка языка для браузера Chrome

Для изменения языка в браузере Firefox нужно выполнить шаги:

  • перейти к настройкам браузера (about:preferences);

  • выбрать раздел «Содержимое» настроек;

  • в подразделе «Языки» нажать на кнопку «Выбрать»;

  • переместить нужный язык на первое место в списке:

Настройка языка для браузера Firefox

Если применение английского языка интерфейса не требуется, то его можно отключить. Для этого необходимо отредактировать конфигурационный файл blitz.conf на сервере с установленным приложением консоли управления. В блоке play необходимо убрать английский язык в двух настройках: application и i18n. Должно получиться, как в примере ниже:

"play" : {
    "application" : {"langs" : ["ru"]},
    …
    "i18n" : {"langs" : ["ru"]},
    …
}

Модификация текстовых сообщений веб-интерфейса

Blitz Identity Provider позволяет менять текстовые строки, используемые в интерфейсе системы. Для этого необходимо отредактировать файл messages, размещенный в директории conf\custom_messages, добавив строку вида «параметр=значение», где параметр – идентификатор текстовой строки, а значение – необходимый текст. Например, следующая строка отвечает за текст на форме регистрации, где размещена ссылка на условия использования:

reg.page.reg.action.agreement=Нажимая на&nbsp;кнопку &laquo;Зарегистрироваться&raquo; вы&nbsp;соглашаетесь с&nbsp;<a href="{0}" target="_blank">условиями использования</a>

Для корректного отображения файл должен быть сохранен в кодировке UTF-8.

При необходимости изменить английский язык следует добавить в указанную директорию файл messages.en и изменить в нем необходимые файлы.

При необходимости использовать в текстах символ @ его следует ввести дважды.

Далее в таблице представлен перечень некоторых строк, используемых на страницах входа, Личного кабинета, регистрации и восстановления доступа.

Идентификатор строки Текст строки
Страница входа
auth.page.login.title Вход в
login.methods.password.head.title Войти
auth.methods.link Другие способы входа
auth.registration.link Нет аккаунта? <a href="{0}" style="color:#337ab7">Зарегистрироваться</a>
login.methods.password.recovery.link <a href="{0}" style="color:#337ab7">Забыли пароль?</a>
Регистрация
reg.page.title Регистрация в
reg.page.password.blockquote Пароль должен состоять не&nbsp;менее чем из&nbsp;8&nbsp;символов. Рекомендуется, чтобы пароль состоял из&nbsp;прописных и&nbsp;строчных букв и&nbsp;имел хотя&nbsp;бы одну цифру. Не&nbsp;применяйте пароли, используемые для других сайтов, и&nbsp;пароли, которые можно легко подобрать.
reg.page.reg.action.agreement Нажимая на&nbsp;кнопку &laquo;Зарегистрироваться&raquo; вы&nbsp;соглашаетесь с&nbsp;<a href="{0}" target="_blank">условиями использования</a>
setPswd.page.agreement Нажимая на&nbsp;кнопку &laquo;Зарегистрироваться&raquo; вы&nbsp;соглашаетесь с&nbsp;<a href="{0}" target="_blank">условиями использования</a>
reg.page.btn.reg Зарегистрироваться
Восстановление доступа
recovery.page.title Восстановление доступа в
recovery.page.btn.reg Восстановить доступ
Личный кабинет
profile.sidebar.menu.data Основные данные
page.profile.data.metaTitle Основные данные
profile.sidebar.menu.events События
profile.sidebar.menu.security Безопасность
page.profile.data.account.title Данные учетной записи
page.profile.data.events.title Последние события
page.profile.security.password.metaTitle Пароль
page.profile.security.authn.metaTitle Подтверждение входа
page.profile.security.social.metaTitle Социальные сети
page.profile.security.password.altPwd.info Периодически меняйте свой пароль. Рекомендуется использовать пароль из&nbsp;прописных, строчных букв и&nbsp;хотя&nbsp;бы с&nbsp;одной цифрой.<br />Не&nbsp;применяйте пароли, используемые для других сайтов, и&nbsp;пароли, которые можно легко подобрать.
page.profile.security.authn.toggle.info Защитите учетную запись, настроив способ подтверждения входа (второй фактор аутентификации). Тогда после ввода пароля потребуется ввести код подтверждения.
page.authn.setting.sms.row Доставка SMS-кодов подтверждения
page.authn.setting.hotp.row Коды подтверждения из специального генератора
page.authn.setting.totp.row Коды подтверждения из мобильного приложения
page.hotp.attach.prompt Введите серийный номер устройства, генерирующего разовые пароли.
page.totp.attach.prompt Используйте ваш смартфон для генерирования разовых паролей.
page.totp.attach.set.prompt Установите специальное приложение
page.profile.security.social.fedAccounts.title Привязанные учетные записи
page.profile.security.social.fedAccounts.notFound Учетные записи не привязаны

Модификация шаблонов писем и SMS-сообщений

Шаблоны писем представляют собой текстовые строки, сохраняемые аналогично обычным строкам в веб-интерфейсе. Их изменение производится аналогичным образом.

В таблице ниже представлен перечень шаблонов писем, отправляемых по электронной почте. В шаблонах можно использовать HTML-форматирование.

Идентификатор шаблона Пример шаблона
Регистрация пользователя
message.email.subject.registration Успешная регистрация
message.email.subject.registration.with.generated.pswd Успешная регистрация
message.email.subject.activation Подтвердите регистрацию
message.email.subject.activation.by.link Подтвердите регистрацию
message.email.body.registration Уважаемый пользователь,<br><br>Вы зарегистрировали учетную запись.
message.email.body.registration.with.generated.pswd Уважаемый пользователь,<br><br>Вы успешно зарегистрировали учетную запись.<br>Ваши данные:<br>Email: {0}<br>Пароль: {1}
message.email.body.activation Уважаемый пользователь,<br><br>От вашего имени подана заявка на регистрацию учетной записи.<br>Для завершения регистрации вам необходимо подтвердить адрес электронной почты.<br>Для этого введите в форме регистрации код подтверждения {1}, либо просто перейдите по <a href="{0}">ссылке</a>
message.email.body.activation.by.link Уважаемый пользователь,<br><br>От вашего имени подана заявка на регистрацию учетной записи.<br>Для завершения регистрации вам необходимо подтвердить адрес электронной почты.<br>Для этого просто перейдите по <a href="{0}">ссылке</a>
Восстановление доступа
message.email.subject.recovery.confirmation Подтвердите восстановление пароля
message.email.body.recovery.confirmation Уважаемый пользователь,<br><br>От вашего имени подана заявка на восстановление пароля.<br>Для того чтобы восстановить доступ к учетной записи вам необходимо подтвердить адрес электронной почты.<br>Для этого введите в форме восстановления код подтверждения {1}, либо просто перейдите по <a href="{0}">ссылке</a>
Изменение атрибута из Личного кабинета
message.email.subject.profile.confirmation Подтвердите изменение атрибута
message.email.body.profile.confirmation Вы запросили смену "{0}" атрибута {1}. Чтобы подтвердить операцию, <a href="{2}">перейдите по ссылке.</a><br/>Или введите код подтверждения: {3}<br/><br/>Если вы не инициировали это действие, возможно, ваша учетная запись была взломана.

В таблице ниже представлен перечень шаблонов писем, отправляемых в виде SMS-сообщений.

Идентификатор шаблона Пример шаблона
Вход в систему (второй фактор в виде SMS-кода)
messaging.template.second.factor.sms Kod podtverzhdeniya: {0}
Изменение атрибута из Личного кабинета
page.profile.mobile.cfm.code Kod podtverzhdeniya: {0}

Модификация сообщений и шаблонов в разрезе приложений

Возможно изменение всех текстовых сообщений и шаблонов таким образом, чтобы использовались специфические тексты/шаблоны для разных приложений. Таким образом можно, например, брендировать письма, отправляемые при регистрации на разных сайтах, подключенных к одной установке Blitz Identity Provider, или давать ссылку на скачивание различных правил использования ресурса.

Для привязки набора шаблонов к конкретному приложению следует выполнить шаги:

  1. Создать экземпляр файла с текстами, который будет использоваться исключительно для данного приложения. Для этого в директории conf\custom_messages создать текстовый файл messages.ru-123456 (messages.en-123456) для данного приложения, где 123456 – последовательность из 5-8 символов (допускаются как цифры, так и буквы латинского алфавита).

  2. Отредактировать файл messages.ru-123456 (messages.en-123456), добавив в него специфические строки для данного приложения. Все остальные строки будут взяты из базы строк по умолчанию.

  3. Отредактировать файл blitz.conf, размещенный в директории conf, следующим образом:

    • в разделе apps файла найти идентификатор приложения, который должен использовать созданный файл шаблона;

    • добавить параметр вида "lang-variant" : "123456", где 123456 – использованная для маркировки шаблона последовательность символов. Пример:

                  "demo-application" : {
                      "domain" : "http://testdomain.ru",
                      "lang-variant" : "123456",
                      "name" : "test",
                      "oauth" : {
                          "autoConsent" : false,
                          "clientSecret" : "1234567890",
                          "defaultScopes" : [],
                          "enabled" : true,
                          "redirectUriPrefixes" : [
                              "http://localhost"
                          ]
                      },
                      "theme" : "default"
                  },
      

После этого при входе в данное приложение будет использоваться специально созданный файл сообщений.

Изменение правил использования

По умолчанию правила использования размещены в виде pdf-файла user_agreement_ru.pdf (русская версия) и user_agreement_en.pdf (версия, доступная при скачивании при работе в английской версии). Данные файлы размещены в архиве assets.zip, расположенном в директории assets установки Blitz Identity Provider.

В свою очередь, правила использования размещены в директории documents\user_agreement данного архива.

Для изменения правил использования следует распаковать архив, заменить файлы user_agreement_ru.pdf и user_agreement_en.pdf и заархивировать архив с сохранением исходной структуры .

Также возможно изменить ссылку на правила использования. Для этого следует отредактировать строку reg.page.reg.action.agreement и setPswd.page.agreement. Такой способ рекомендуется применять, если правила использования размещены на внешнем ресурсе, например, в виде отдельной веб-страницы.

Изменение лицензии

Если нажать на ссылке «Вы используете Blitz Identity Provider …» в футере любой страницы консоли управления Blitz Identity Provider, то будет отображен экран, приведенный ниже.

Просмотр информации о лицензии

На этом экране можно ознакомиться с номером версии текущей установки Blitz Identity Provider, перейти на сайт документации ПО и форму обратной связи.

В блоке «Информация о лицензии» можно посмотреть срок окончания лицензии и предельно разрешенное лицензией количество подключаемых приложений. При нажатии кнопки «Изменить лицензию» можно ввести новый лицензионный ключ.

Изменение домена

Для изменения домена Blitz Identity Provider Standard Edition в среде Linux следует выполнить следующий скрипт:

/usr/share/blitz-idp/scripts/change_domain.sh

Для изменения домена Blitz Identity Provider Standard Edition в среде Windows следует выполнить скрипт:

blitz-idp\scripts\change_domain.cmd

Для изменения домена Blitz Identity Provider Enterprise Edition необходимо отредактировать файлы blitz.conf, relying-party.xml, idp-metadata.xml, заменив в них старое значение домена на новое.

Решение проблем

Логи работы Blitz Identity Provider записываются в директорию /var/log/identityblitz, а в среде Windows – в blitz-idp\logs. Журнал событий записывается в файл blitz-idp.log. При использовании Enterprise Edition на каждом сервере с Blitz Identity Provider в директории /var/log/identityblitz лежит журнал событий, соответствующий предназначению сервера:

  • blitz-console.log –журнал событий консоли управления;

  • blitz-registration.log – журнал событий сервиса регистрации;

  • blitz-recovery.log – журнал событий сервиса восстановления доступа;

  • blitz-idp.log – журнал событий сервиса аутентификации.

При возникновении ошибок, связанных с работой Blitz Identity Provider (записываются в лог как [ERROR]), рекомендуется обратиться в техническую поддержку Blitz Identity Provider по адресу support@reaxoft.ru.

При необходимости повысить уровень логирования необходимо в конфигурационном файле /usr/share/identityblitz/blitz-config/blitz.conf (в среде Windows – в blitz-idp\conf\blitz.conf) в блоке logger изменить уровни логирования. По умолчанию уровни логирования настроены следующим образом:

"levels" : {
    "ROOT" : "INFO",
    "application" : "INFO",
    "com.couchbase.client" : "INFO",
    "com.identityblitz" : "DEBUG",
    "com.identityblitz.idp" : "DEBUG",
    "com.identityblitz.idp.flow.dynamic" : "DEBUG",
    "com.identityblitz.idp.task.processing" : "DEBUG",
    "com.identityblitz.login-framework" : "DEBUG",
    "com.identityblitz.login-framework.ldap-timings" : "INFO",
    "com.identityblitz.login.store" : "DEBUG",
    "com.unboundid.ldap.sdk" : "INFO",
    "org.asynchttpclient.netty" : "INFO",
    "play" : "INFO",
    "plugin.memcached" : "INFO"
}

Для повышения уровня логирования необходимо параметрам ROOT и всем com.identityblitz.* присвоить значение TRACE.