Управление данными пользователей

В разделе Пользователи консоли управления администратор Blitz Identity Provider может осуществлять следующие операции:

  • поиск учетных записей пользователей;

  • добавление учетных записей пользователей;

  • просмотр и редактирование идентификационных данных пользователей;

  • смена пароля учетной записи;

  • просмотр и отвязка учетных записей внешних систем;

  • задание значений дополнительных атрибутов пользователей;

  • привязку устройств для проведения двухфакторной аутентификации;

  • просмотр выданных приложениям разрешений на доступ к данным;

  • удаление учетной записи.

Общий вид страницы управления данными пользователей представлен ниже:

Вид страницы управления пользователями

Поиск учетных записей пользователей

Для поиска пользователей необходимо ввести идентификатор пользователя (или его часть со знаком *) и нажать на кнопку «Найти». В качестве отображаемого идентификатора используется атрибут, определенный в разделе Источники данных в качестве базового идентификатора, а также атрибуты, отмеченные как поисковые.

Для просмотра всех пользователей необходимо нажать «Найти» с вводом символа * в поле для поиска (полный перечень не будет отображаться при большом числе учетных записей в системе).

Перечень найденных пользователей содержит:

  • значение идентификатора найденного пользователя;

  • хранилище, в котором найден пользователь.

Нажатие на любую из найденных учетных записей открывает детальную информацию о пользователе.

Добавление учетных записей пользователей

Для добавления новой учетной записи требуется нажать на ссылку «Создать учетную запись пользователя…». В отрывшемся окне:

  • указать хранилище, в которым следует сохранить данные пользователя;

  • задать все необходимые атрибуты;

  • нажать на кнопку «Создать».

При создании учетной записи следует учитывать те ограничения, которые настроены для хранилища данных, в которое осуществляется запись.
Например, если сохранение производится в LDAP-каталог, то должны быть заполнены все обязательные атрибуты, не нарушены ограничения на уникальность атрибутов и пр.
При этом с точки зрения Blitz Identity Provider обязательным является только идентификатор и обязательные атрибуты (соответствующие атрибуты отмечены знаком «звездочка» (*)).


Создание учетной записи пользователя

Просмотр и изменение атрибутов пользователей

При нажатии на идентификатор любого найденного пользователя отображается информация о нем – карточка пользователя. Она содержит значения атрибутов, которые были определены в разделе Источники данных, а также привязанные учетные записи внешних поставщиков идентификации, привязанные средства аутентификации и др.

Просмотр информации о пользователе (фрагмент)

На карточке пользователя можно совершать следующие операции:

  • редактировать атрибуты пользователя;

  • изменять пароль;

  • просматривать перечень привязанных аккаунтов внешних поставщиков аутентификации;

  • изменять требуемый уровень аутентификации для пользователя;

  • привязывать устройства для проведения аутентификации: генераторы разовых паролей и мобильные приложения для получения push-сообщений;

  • просматривать и удалять выданные приложениям разрешения.

Редактирование атрибутов пользователей

При просмотре карточки выбранной учетной записи пользователя администратор может изменить любой атрибут пользователя. При редактировании учетной записи следует учитывать те ограничения, которые настроены для хранилища данных, в которое осуществляется запись.

Следует учитывать, что при изменении данных через интерфейс редактирования атрибутов не учитываются правила, используемые в процессе самостоятельной регистрации пользователя. Например, изменение адреса электронной почты или номера мобильного телефона не требует подтверждения.

Смена пароля пользователя

Для смены пароля используется блок «Смена пароля». Новый пароль можно ввести вручную, либо сгенерировать – для этого необходимо оставить чекбокс «Сгенерировать пароль». Новый пароль будет отображен в информационном блоке успешного выполнения операции.

При задании нового пароля вручную следует учитывать ограничения парольной политики для того хранилища, куда сохраняется пароль.

Смена пароля

Просмотр и отвязка аккаунтов социальных сетей

В блоке «Привязанные учетные записи внешних систем» можно посмотреть перечень аккаунтов внешних поставщиков идентификации (социальных сетей, ЕСИА, Сбербанк ID), привязанных к учетной записи найденного пользователя. Каждая привязка характеризуется уникальным идентификатором, где последняя часть – это внутренний идентификатор аккаунта в соответствующем поставщике идентификации. Например, в записи esia:esia_1:1000347601 последняя часть (1000347601) – это идентификатор аккаунта в ЕСИА. При необходимости можно удалить соответствующую привязку.

Просмотр информации о пользователе:привязанные аккаунты внешних поставщиков

Привязка устройств для проведения двухфакторной аутентификации по разовому паролю

Администратор может привязать к учетной записи выбранного пользователя средство для проведения двухфакторной аутентификации. Например, можно привязать аппаратный HOTP/TOTP генератор по серийному номеру, либо привязать к учетной записи по QR-коду мобильное приложение, осуществляющее выработку TOTP-кодов.

Привязка HOTP-устройства по серийному номеру администратором

Привязка TOTP-приложения по QR-коду администратором

Привязка устройства для проведения push-аутентификации

Для проведения push-аутентификации средствами Duo Mobile необходимо провести привязку мобильного приложения к учетной записи пользователя. Рекомендуемый сценарий – пользователь самостоятельно привязывает свое мобильное приложение в Личном кабинете.

Альтернативный способ привязки – через консоль управления. Для этого необходимо в разделе Пользователи найти необходимую учетную запись и блок настроек «Приложение Duo Mobile (QR-код)». В этом блоке следует нажать на кнопку «Привязать Duo Mobile», далее сосканировать отображенный QR-код мобильным приложением Duo Mobile.

Привязка мобильного приложения Duo Mobile

Просмотр и удаление выданных приложениям разрешений

Администратор имеет возможность просмотреть перечень выданных пользователем разрешений приложениям на доступ к его данным.

Каждое разрешение описывается:

  • идентификатор приложения;

  • перечень разрешений (scope);

  • дата выдачи разрешений.

Просмотр разрешений