Управление данными пользователей

В разделе Пользователи консоли управления администратор Blitz Identity Provider может осуществлять следующие операции:

  • поиск учетных записей пользователей;

  • добавление учетных записей пользователей;

  • просмотр и редактирование идентификационных данных пользователей;

  • смена пароля учетной записи;

  • привязка учетных записей внешних систем;

  • задание значений дополнительных атрибутов пользователей;

  • привязку устройств для проведения двухфакторной аутентификации;

  • удаление учетной записи.

Общий вид страницы управления данными пользователей представлен ниже:

Вид страницы управления пользователями

Поиск учетных записей пользователей

Для поиска пользователей необходимо ввести идентификатор пользователя (или его часть со знаком *) и нажать на кнопку «Найти». В качестве отображаемого идентификатора используется атрибут, определенный в разделе Источники данных в качестве базового идентификатора, а также атрибуты, отмеченные как поисковые.

Для просмотра всех пользователей необходимо нажать «Найти» с вводом символа * в поле для поиска (полный перечень не будет отображаться при большом числе учетных записей в системе).

Перечень найденных пользователей содержит:

  • значение идентификатора найденного пользователя;

  • хранилище, в котором найден пользователь.

Нажатие на любую из найденных учетных записей открывает детальную информацию о пользователе.

Добавление учетных записей пользователей

Для добавления новой учетной записи требуется нажать на ссылку «Создать учетную запись пользователя…». В отрывшемся окне:

  • указать хранилище, в которым следует сохранить данные пользователя;

  • задать все необходимые атрибуты;

  • нажать на кнопку «Создать».

При создании учетной записи следует учитывать те ограничения, которые настроены для хранилища данных, в которое осуществляется запись.
Например, если сохранение производится в LDAP-каталог, то должны быть заполнены все обязательные атрибуты, не нарушены ограничения на уникальность атрибутов и пр.
При этом с точки зрения Blitz Identity Provider обязательным является только идентификатор и обязательные атрибуты (соответствующие атрибуты отмечены знаком «звездочка» (*)).


Создание учетной записи пользователя

Добавление / назначение учетных записей пользователей для последующего входа через социальные сети

В ряде случаев возникает необходимость обеспечить доступ только определенных пользователей через учетные записи внешних поставщиков идентификации. Этот режим входа «внешних» пользователей активируется в случае, если для выбранного внешнего поставщика идентификации выбрана опция, что доступ имеют «Только пользователи, привязанные администратором» (подробнее здесь).

Если учетная запись данного внешнего пользователя отсутствует, то следует нажать ссылку «Создать учетную запись пользователя…» и выполнить следующие действия:

  1. Указать хранилище, в котором будет сохранена учетная запись «внешнего» пользователя.

  2. Ввести идентификатор этого пользователя (атрибут, отмеченный «звездочкой» (*)).

  3. Указать значение атрибута, по которому должна быть произведена привязка (например, адрес электронной почты), при необходимости – другие атрибуты.

  4. Перейти к редактированию данных этой учетной записи, в раздел «Привязанные учетные записи внешних систем» и нажать на кнопку «Добавить внешнюю учетную запись». В появившемся окне:

    • выбрать необходимого поставщика идентификации;

    • указать значение атрибута, по которому будет произведено связывание.

Если учетная запись пользователя, которому необходимо дать возможность входить через внешнего поставщика, уже существует, то ее следует найти в разделе Пользователи и выполнить шаги 3–4, описанные выше.

Просмотр и изменение атрибутов пользователей

При нажатии на идентификатор любого найденного пользователя отображается информация о нем – карточка пользователя. Она содержит значения атрибутов, которые были определены в разделе Источники данных, а также привязанные учетные записи внешних поставщиков идентификации, привязанные средства аутентификации и др.

Просмотр информации о пользователе (фрагмент)

На карточке пользователя можно совершать следующие операции:

  • редактировать атрибуты пользователя;

  • изменять пароль;

  • привязывать внешние учетные записи (подробнее здесь);

  • изменять требуемый уровень аутентификации для пользователя;

  • привязывать устройства для проведения аутентификации: генераторы разовых паролей и мобильные приложения для получения push-сообщений.

Редактирование атрибутов пользователей

При просмотре карточки выбранной учетной записи пользователя администратор может изменить любой атрибут пользователя. При редактировании учетной записи следует учитывать те ограничения, которые настроены для хранилища данных, в которое осуществляется запись.

Следует учитывать, что при изменении данных через интерфейс редактирования атрибутов не учитываются правила, используемые в процессе самостоятельной регистрации пользователя. Например, изменение адреса электронной почты или номера мобильного телефона не требует подтверждения.

Смена пароля пользователя

Для смены пароля используется блок «Смена пароля». Новый пароль можно ввести вручную, либо сгенерировать – для этого необходимо оставить чекбокс «Сгенерировать пароль». Новый пароль будет отображен в информационном блоке успешного выполнения операции.

При задании нового пароля вручную следует учитывать ограничения парольной политики для того хранилища, куда сохраняется пароль.

Смена пароля

Привязка устройств для проведения двухфакторной аутентификации по разовому паролю

Администратор может привязать к учетной записи выбранного пользователя средство для проведения двухфакторной аутентификации. Например, можно привязать аппаратный HOTP/TOTP генератор по серийному номеру, либо привязать к учетной записи по QR-коду мобильное приложение, осуществляющее выработку TOTP-кодов.

Привязка HOTP-устройства по серийному номеру администратором

Привязка TOTP-приложения по QR-коду администратором

Привязка устройства для проведения push-аутентификации

Для проведения push-аутентификации средствами Duo Mobile необходимо провести привязку мобильного приложения к учетной записи пользователя. Рекомендуемый сценарий – пользователь самостоятельно привязывает свое мобильное приложение в Личном кабинете.

Альтернативный способ привязки – через консоль управления. Для этого необходимо в разделе Пользователи найти необходимую учетную запись и блок настроек «Приложение Duo Mobile (QR-код)». В этом блоке следует нажать на кнопку «Привязать Duo Mobile», далее сосканировать отображенный QR-код мобильным приложением Duo Mobile.

Привязка мобильного приложения Duo Mobile