Войти как партнер
Войти как партнер
Перейти к содержанию

Как настроить КриптоАРМ IDM: безопасность, интерфейс и доступ#

В этом руководстве вы узнаете, как настроить интерфейс и локализацию КриптоАРМ IDM, создать типы приложений, управлять доступом пользователей, включить двухфакторную аутентификацию, а также настроить интеграции для логирования и мониторинга событий через Sentry и Winston.

Раздел предназначен для администраторов и специалистов по безопасности, которые хотят эффективно управлять настройками КриптоАРМ IDM.

Содержание:

💡 Настройки системы размещены в панели ID. Для доступа к панели необходима роль Администратор сервиса.
Как открыть панель ID →

Интерфейс и локализация#

Название и логотип отображаются в интерфейсе системы КриптоАРМ IDM, а также в мини-виджете и виджете входа.

Чтобы настроить название и логотип:

  1. Перейдите в панель ID → вкладка Настройки.

  2. Раскройте блок Основная информация.

    Настройка названия и логотипа КриптоАРМ IDM

  3. Укажите новое название в поле Название приложения.

  4. В блоке Логотип приложения нажмите Загрузить и выберите файл с логотипом.

    Интерфейс загрузки логотипа в КриптоАРМ IDM

    ⚡ Допустимые форматы: JPG, GIF, PNG, WEBP; максимальный размер 1 МБ.

  5. Настройте отображение и нажмите Применить.

    Настройка отображения логотипа в КриптоАРМ IDM

  6. Нажмите Сохранить.

💡 Совет: Используйте SVG-формат для векторного логотипа, чтобы обеспечить четкое отображение на всех устройствах и разрешениях экрана.

Локализация#

КриптоАРМ IDM поддерживает интерфейс на шести языках:

  • Русский (ru)
  • English (en)
  • Français (fr)
  • Español (es)
  • Deutsch (de)
  • Italiano (it)

Выбранный язык влияет на отображение текста во всех интерфейсах КриптоАРМ IDM, включая виджет входа и мини-виджет.

Если вы используете дополнительные поля профиля пользователя и шаблоны писем — убедитесь, что они отображаются правильно.

Как изменить язык интерфейса#

  1. Перейдите в панель ID → вкладка Настройки.

  2. Раскройте блок Локализация и выберите необходимый язык из списка.

    Настройка внешнего вида виджета КриптоАРМ IDM

  3. Нажмите Сохранить.

Изменение языка произойдет автоматически, без перезапуска сервиса или обновления страницы.

🚨 Предупреждение: После смены языка все тексты в интерфейсе, включая системные сообщения и уведомления, будут отображаться на выбранном языке. Убедитесь, что ваши пользователи понимают выбранный язык.

Стилизация#

Раздел Стилизация позволяет настроить внешний вид системы: цвета, скругления, тени и поведение интерфейсных элементов (кнопок, карточек, вкладок и ссылок).

Настройки применяются ко всему интерфейсу и поддерживают отдельную конфигурацию для светлой и тёмной темы.

Настройка стилей#

  1. Перейдите в панель ID → вкладка Настройки.
  2. Найдите блок Стилизация и нажмите Настроить.

  3. Настройте системные параметры:

    • Радиус скругления компонентов — Определяет радиус углов карточек, полей и меню. Чем больше значение — тем более “мягкие” углы.
    • Радиус скругления кнопок — Настраивает радиус углов всех кнопок. Можно связать с блоками, чтобы они выглядели одинаково.
    • Толщина обводки SurfaceBlock — Регулирует толщину границы вокруг компонентов. Работает только если включена внутренняя обводка SurfaceBlock.
    • Скрыть обводку SurfaceBlock — Показывает или скрывает границу блоков.
    • Тень SurfaceBlock — Добавляет тень под блоки и карточки для эффекта глубины (пример записи: 0 4px 12px rgba(0, 0, 0, 0.1)).
    • Позиция контента - Позволяет выбрать, где на странице будет отображаться основной контент: слева, по центру или справа.

  4. Укажите цвета для светлой и темной темы в HEX-формате.

    Настройка системных стилей в КриптоАРМ IDM

  5. Проверьте результат в области предпросмотра справа. Вы можете переключаться между светлой и тёмной темой, чтобы оценить изменения.

  6. Нажмите Сохранить.

Копирайт и ссылка на справку#

В блоке Дополнительные параметры можно настроить:

  • копирайт, отображаемый в нижней панели виджета и интерфейса системы;
  • ссылку на руководство пользователя, доступную по ссылке Справка в нижней панели интерфейса системы.

⚠️ Если ссылка на руководство не указана, при переходе по ссылке Справка открывается встроенная документация системы.

Как настроить копирайт и ссылку на справку#

  1. Перейдите в панель ID → вкладка Настройки.

  2. Раскройте блок Дополнительные параметры.

    Настройка копирайта и ссылки на руководство пользователя в КриптоАРМ IDM

  3. Укажите значение в поле Copyright.

    Для настройки значений на других языках не требуется менять язык системы. Нажмите на кнопку Другие языки Кнопка Другие языки и в открывшемся окне задайте значения для нужных локализаций.

    💡 Счётчик на кнопке Другие языки показывает количество добавленных переводов.

    Настройка копирайта в КриптоАРМ IDM

  4. Укажите URL страницы с пользовательской документацией в поле Ссылка на руководство пользователя.

  5. Нажмите Сохранить.

Безопасность и доступ#

Настройки доступа#

Двухфакторная аутентификация#

Двухфакторная аутентификация (2FA) добавляет дополнительный уровень защиты при входе в систему. После ввода первого фактора (логин/пароль или другой способ аутентификации) пользователь должен подтвердить свою личность вторым фактором (телефон, электронная почта, WebAuthn).

Чтобы настроить двухфакторную аутентификацию:

  1. Перейдите в панель ID → вкладка Настройки.

  2. Раскройте блок Настройки доступа и нажмите Настроить.

    Интерфейс настройки 2FA в КриптоАРМ IDM

  3. Укажите провайдеры первого и второго факторов:

    • Провайдер первого фактора — основной способ аутентификации (логин/пароль или другой способ аутентификации).
    • Провайдер второго фактора — способ подтверждения личности (телефон, e-mail, WebAuthn).

    Настройка комбинаций факторов 2FA в КриптоАРМ IDM

  4. Нажмите Сохранить.

Игнорирование обязательных полей профиля при входе в приложение#

Некоторые поля профиля пользователя (например, телефон, почта и прочие) могут быть отмечены как обязательные для заполнения в профиле.

По умолчанию при авторизации в приложения КриптоАРМ IDM проверяет наличие всех обязательных полей и может приостанавливать вход, пока пользователь не заполнит недостающие данные. Настройка Игнорировать обязательные поля профиля личного кабинета для приложений позволяет отключить эту проверку.

Это может быть полезно, если организация использует внешние источники данных о пользователях и не требует заполнения профиля вручную.

Что будет при включении настройки:

  • Пользователи смогут авторизоваться в приложениях, даже если их профиль в системе заполнен не полностью.
  • Проверка обязательных полей выполняться не будет.
  • В интерфейсе системы уведомления о незаполненных полях сохраняются.
Как включить настройку#
  1. Перейдите в панель ID → вкладка Настройки.
  2. Раскройте блок Настройки доступа.
  3. Включите переключатель Игнорировать обязательные поля профиля личного кабинета для приложений.
  4. Нажмите Сохранить.

После применения настройки пользователи смогут проходить авторизацию без проверки обязательных полей профиля.

💡 Рекомендация: Включайте опцию только в том случае, если контроль полноты профиля осуществляется другими средствами.

Запрет привязки идентификаторов#

Эта настройка запрещает пользователям самостоятельно привязывать новые внешние идентификаторы к своему профилю через виджет входа.

Чтобы запретить привязку:

  1. Перейдите в панель ID → вкладка Настройки.
  2. Раскройте блок Настройки доступа.
  3. Активируйте переключатель Запретить привязку идентификаторов на форме виджета.
  4. Нажмите Сохранить.

Ограничения доступа#

Эта настройка позволяет ограничить вход в приложение для всех пользователей, кроме Администратор сервиса. Все остальные пользователи не смогут авторизоваться.

🚨 Важно: при включении ограничения доступа все пользователи, кроме администраторов сервиса, потеряют возможность входа. Используйте настройку для технических работ или аварийных ситуаций.

Чтобы ограничить доступ:

  1. Перейдите в панель ID → вкладка Настройки.
  2. Раскройте блок Настройки доступа.
  3. Активируйте переключатель Ограниченный доступ для всех приложений.
  4. Нажмите Сохранить.

Запрет регистрации#

Эта настройка позволяет запретить создание новых аккаунтов в виджете входа.

Чтобы настроить запрет регистрации:

  1. Перейдите в панель ID → вкладка Настройки.
  2. Раскройте блок Настройки доступа.

  3. Выберите необходимую настройку:

    • Регистрация запрещена — полностью блокирует создание новых аккаунтов.
    • Регистрация разрешена (по умолчанию) — стандартный режим работы, пользователи могут создавать аккаунты самостоятельно.

  4. Нажмите Сохранить.

Управление удаленными пользователями#

Эта группа настроек определяет поведение системы с пользователями, которые были переведены в статус Удален. Вы можете разрешить или запретить самовосстановление таких учётных записей, а также задать срок, после которого пользователь будет окончательно удалён из базы данных.

💡 Статус Удален — это промежуточное состояние, в которое пользователь переводится при удалении. В этом статусе пользователь не может войти в систему, но его данные сохраняются.

Чтобы настроить удаление пользователей:

  1. Перейдите в панель ID → вкладка Настройки.
  2. Раскройте блок Дополнительные параметры.

  3. Найдите переключатель Запретить восстановление УЗ из статуса УДАЛЕН и установите нужное положение.

    • Если выключено, пользователь, после удаления своей учетной записи, сможет восстановить ее в личном кабинете.
    • Если включено, в личном кабинете пользователя пропадает кнопка восстановления.

  4. В поле Срок окончательного удаления пользователя введите нужное значение (0, 1 или другое целое число).

    • 0 – пользователь удаляется немедленно после нажатия кнопки Удалить.
    • 1 – пользователь никогда не удаляется окончательно.
    • Любое другое положительное число (например, 30) – пользователь будет автоматически окончательно удален через указанное количество дней после перевода в статус Удален.

  5. Нажмите Сохранить.

Технические параметры#

Технические настройки, такие как идентификаторы клиента, параметры безопасности, URL-адреса авторизации, способы аутентификации клиента и параметры токенов и другие, находятся в разделе Параметры приложения.

📌 Ниже перечислены настройки, доступные для редактирования в панели администратора. Остальные параметры изменяются через конфигурационный файл.

Чтобы изменить параметры в панели администратора:

  1. Перейдите в панель ID → вкладка Настройки.
  2. Раскройте блок Параметры приложения.

  3. Настройте параметры:

  4. Нажмите Сохранить.

Описание параметров#

Основные идентификаторы#

Название Параметр Описание
Идентификатор (client_id) client_id Уникальный идентификатор приложения
Секретный ключ (client_secret) client_secret Конфиденциальный ключ приложения
Адрес приложения - Базовый URL сервиса КриптоАРМ IDM в формате протокол://доменное имя:порт

Ограничение доступа#

Ограничивает вход в систему только пользователям с административными ролями.

Название Описание
Ограниченный доступ Если включено, доступ в систему будет разрешён только пользователям с правами Администратор сервиса

Возвратный URL#

Название Параметр Описание
Возвратный URL # Redirect_uri URL, на который пользователь будет перенаправлен после успешной аутентификации

URL выхода из системы#

Название Параметр Описание
URL выхода из системы # post_logout_redirect_uri URL, на который сервис будет перенаправлять пользователя после выхода. Если значение не указано, то используется Redirect_uri.

URL запроса аутентификации#

Название Параметр Описание
URL запроса аутентификации или восстановления после аутентификации # request_uris Список URL для размещения JWT-запросов авторизации Request Object. Сервер извлекает JWT с указанного URL при авторизации.

Типы ответов#

Название Параметр Описание
Тип ответов (response_types) response_types

Определяет какие токены и коды возвращаются авторизационным сервером:

- code — только код авторизации
- id_token — только ID токен
- code id_token — код + ID токен
- code token — код + токен доступа
- code id_token token — код + ID токен + токен доступа
- none — только подтверждение аутентификации

Типы предоставления доступа#

Название Параметр Описание
Типы предоставления доступа (grant_types) grant_types

Способы получения авторизации:

- authorization code — безопасный код через сервер клиента (рекомендуется);
- implicit — прямое получение токена (для публичных клиентов)
- refresh_token — обновление токена без повторного входа

Метод аутентификации клиента#

💡 Выбор метода зависит от требований безопасности и возможностей клиента. JWT-методы обеспечивают повышенную безопасность, так как не передают секрет напрямую.

Название Параметр Описание
Аутентификация клиента token_endpoint_auth_method, introspection_endpoint_auth_method, revocation_endpoint_auth_method

Определяет метод аутентификации клиента при обращении к различным конечным точкам (token, introspection, revocation).

Доступные методы:
- none — без учетных данных;
- client_secret_post — учетные данные в теле запроса;
- client_secret_basic — HTTP Basic Authentication;
- client_secret_jwt — JWT, подписанный секретом клиента;
- private_key_jwt — JWT, подписанный приватным ключом клиента.

Алгоритм подписи ID токена#

Название Параметр Описание
Алгоритм подписи, используемый при создании подписанного ID-токена (id_token_signed_response_alg) id_token_signed_response_alg

Указывает алгоритм, который используется для подписи ID токена.

ID токен — это JSON Web Token (JWT), который содержит утверждения (claims) о аутентификации пользователя

Время аутентификации#

Название Параметр Описание
Проверка наличия времени Аутентификации (require_auth_time) require_auth_time Если включено, в ID токене добавляется auth_time — время последней аутентификации пользователя

Дополнительные параметры безопасности#

Название Параметр Описание
Параметр для обеспечения безопасности передачи данных между клиентом и сервером авторизации require_signed_request_object

Указывает, требуется ли подписанный Request Object при отправке запроса на авторизацию.

Request Object — это способ безопасной передачи параметров авторизации от клиента к серверу авторизации, обычно в форме JWT (JSON Web Token).

Когда require_signed_request_object включен, клиент должен подписать Request Object с использованием заранее согласованного алгоритма подписи, который указан в конфигурации клиента.

Тип передачи идентификатора пользователя#

Название Параметр Описание
Способ передачи ID пользователя в идентификационном токене (subject_type) subject_type Определяет, как формируется sub claim в ID токене:

- public — один и тот же идентификатор для всех клиентов
- pairwise — уникальный идентификатор для каждого клиента, повышает конфиденциальность

Токен доступа#

Название Параметр Описание
Токен доступа (access_token_ttl) access_token_ttl Время жизни access_token в секундах

Токен обновления#

Название Параметр Описание
Токен обновления (refresh_token_ttl) refresh_token_ttl Время жизни refresh_token в секундах

Журнал событий#

В Журнале можно увидеть, откуда и с каких устройств пользователи заходили в систему или приложения.

Для каждого события доступен просмотр подробных сведений.

Параметр Что содержит
Заголовок события Категория действия
Дата и время Точные временные метки
Приложение Идентификатор (client_id) приложения
Пользователь Идентификатор (id) пользователя
Устройство Тип устройства и браузер
Местоположение IP-адрес

Как перейти в журнал#

  1. Перейдите в панель ID.
  2. Откройте вкладку Журнал.

Логирование#

Sentry#

Sentry — это платформа для мониторинга ошибок и производительности приложений.

📚 Официальный ресурс Sentry

Подключение Sentry позволяет:

  • отслеживать ошибки и исключения в реальном времени;
  • получать трассировки событий по пользователям;
  • анализировать производительность системы.

Шаг 1. Создание проекта в Sentry#

  1. Перейдите на сайт Sentry.io.
  2. Зарегистрируйтесь или войдите в свою учетную запись.
  3. Создайте новый проект.

После создания проекта Sentry предоставит DSN (Data Source Name) — уникальный идентификатор для подключения КриптоАРМ IDM к Sentry.

💡 Совет: Скопируйте DSN (Data Source Name), чтобы не потерять его при переходе к следующему шагу.

Шаг 2. Подключение Sentry#

Чтобы подключить Sentry:

  1. Перейдите в панель ID → вкладка Настройки.
  2. Раскройте блок Логирование и нажмите Настроить на панели Sentry.

  3. В открывшейся форме подключения укажите:

    • DSN — уникальный идентификатор, созданный на шаге 1.
    • Активность — включите, чтобы начать отправку ошибок и трассировок в Sentry.
    • ID пользователя (при необходимости) — укажите, если нужно отслеживать ошибки и события по конкретным пользователям.

    Настройка подключения Sentry в КриптоАРМ IDM

  4. Нажмите Сохранить.

Winston#

В КриптоАРМ IDM предусмотрена возможность экспорта логов во внешние системы через модуль логирования. Для этого используется конфигурируемый экспорт на базе логгера Winston.

📚 Официальный ресурс Winston

Экспорт логов позволяет:

  • отправлять системные и прикладные логи во внешние системы;
  • централизованно собирать логи из разных компонентов;
  • интегрироваться с системами мониторинга (например, Loki, Graylog, HTTP-агрегаторы);
  • настраивать уровень детализации логирования.

Как настроить экспорт логов#

Чтобы подключить Winston:

  1. Перейдите в панель ID → вкладка Настройки.
  2. Раскройте блок Логирование и нажмите Настроить на панели Winston.

  3. В открывшейся форме подключения укажите:

    • Включить экспорт логов во внешний сервис — активирует отправку логов.
    • Провайдер экспорта — внешний сервис для логирования (Loki, HTTP, Graylog, Stdout).
    • URL для экспорта — URL конечной точки для приема логов.
    • API ключ (опционально) — ключ аутентификации для внешнего сервиса.
    • Экспортировать события аудита — включает отправку audit-событий.
    • Уровень логирования — минимальный уровень логов (debug, info (по умолчанию), warn, error).
    • Маскируемые заголовки — список HTTP-заголовков, которые будут скрыты в логах (по умолчанию: authorization, cookie, set-cookie)

  4. Нажмите Сохранить.

    Настройка подключения Winston в КриптоАРМ IDM

Типы приложений#

Типы приложений — это категории для систематизации приложений в каталоге. Они помогают организовать структуру и упростить навигацию пользователей.

Зачем нужны типы:

  • Помогают группировать приложения по категориям
  • Упрощают поиск нужных приложений
  • Помогают организовывать структуру каталога

Создание типа приложения#

  1. Перейдите в панель ID → вкладка Настройки.
  2. Найдите блок Типы приложений и нажмите Настроить.
  3. В появившемся окне нажмите на кнопку Создать Кнопка Создать.

  4. Откроется форма создания.

    Интерфейс создания типа приложения в КриптоАРМ IDM

  5. Укажите название типа.

    💡 Название типа должно быть уникальным в рамках системы.

  6. Нажмите Сохранить.

    Созданный тип отобразится в списке.

💡 Назначение типа осуществляется при создании приложения.

Редактирование типа приложения#

  1. Перейдите в панель ID → вкладка Настройки.
  2. Найдите блок Типы приложений и нажмите Настроить.

  3. Откроется окно со списком типов.

    Диалог создания типа приложения в КриптоАРМ IDM

  4. Нажмите на кнопку Настроить на панели с типом, который необходимо отредактировать.

  5. Откроется форма редактирования.
  6. Внесите необходимые изменения.
  7. Нажмите Сохранить.

💡 После редактирования типа все связанные приложения автоматически получают обновленное название категории.

Удаление типа приложения#

  1. Перейдите в панель ID → вкладка Настройки.
  2. Найдите блок Типы приложений и нажмите Настроить.
  3. Откроется окно со списком типов.
  4. Нажмите на кнопку Удалить Кнопка Удалить на панели с типом, который необходимо удалить.

Удаление происходит без дополнительного подтверждения.

💡 После удаления тип будет удалён из каталога, а приложения, у которых он был назначен, автоматически получат тип Прочее.

Экспериментальные функции#

Экспериментальные функции — это новые возможности сервиса КриптоАРМ IDM, находящиеся на стадии тестирования и доработки.

Основные характеристики:

  • Регулируются администратором сервиса
  • Функционал может изменяться без предварительного уведомления
  • Содержат недокументированные особенности работы
  • Производительность и стабильность могут отличаться от основных функций

Раздел с экспериментальными функциями доступен по адресу: https://ID_HOST/experimental.

🚧 Статус: Экспериментальные функции могут быть удалены, изменены или переведены в основной функционал без предварительного уведомления.

Какие функции доступны#

  1. Визитка пользователя

    • Цифровой аналог визитной карточки с контактными данными
    • Поддержка формата vCard для экспорта
    • Возможность делиться по ссылке или через QR-код

    Подробнее о визитке →

  2. Каталог приложений

    • Централизованная площадка для приложений системы КриптоАРМ IDM
    • Содержит удобную систему категорий
    • Возможность добавлять приложения в избранные

    Подробнее о каталоге →

    Интерфейс каталога в КриптоАРМ IDM

Смотрите также#

Для повышения удобства работы и хранения данных веб-сайт TRUSTED.RU использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.