RBAC в КриптоАРМ IDM#

В этом руководстве вы узнаете, что такое RBAC, как он реализован в КриптоАРМ IDM, научитесь управлять системами, ресурсами, ролями, а также назначать доступ пользователям и группам.

Содержание:

Основные понятия RBAC
Как работает RBAC в КриптоАРМ IDM
Управление системами RBAC
Управление ресурсами
Управление ролями
Назначение пользователей и групп
Наследование прав
Влияние RBAC на приложения ID
Смотрите также

Основные понятия RBAC#

RBAC (Role-Based Access Control) — это механизм ролевого управления доступом в КриптоАРМ IDM, который позволяет централизованно управлять правами пользователей и групп в корпоративных системах.

RBAC-модель определяет:

к каким ресурсам пользователь может получить доступ;
какие действия ему разрешены;
через какие роли предоставляются права;
какие пользователи и группы участвуют в системе доступа.

В КриптоАРМ IDM RBAC тесно интегрирован с системой ID и может использоваться для ограничения входа в приложения.

RBAC-модель в КриптоАРМ IDM строится из нескольких ключевых сущностей.

Сущность	Назначение
Система	Логическая область управления доступом
Ресурс	Объект, к которому предоставляется доступ
Роль	Набор разрешений внутри системы
Пользователь	Учетная запись IDM
Группа	Объединение пользователей для массового назначения прав

Как работает RBAC в КриптоАРМ IDM#

RBAC в КриптоАРМ IDM работает по следующему принципу:

Создается система RBAC.
Внутри системы создаются ресурсы и роли.
Пользователям или группам назначаются роли.
Роли предоставляют доступ к ресурсам.
При авторизации система проверяет назначенные роли и определяет доступ пользователя.

RBAC позволяет централизованно управлять доступом без необходимости вручную назначать права каждому пользователю.

Управление системами RBAC#

Система RBAC — это контейнер, внутри которого объединяются ресурсы, роли и назначения пользователей.

В качестве системы могут использоваться:

корпоративные приложения;
внутренние сервисы;
порталы;
информационные системы.

В КриптоАРМ IDM системы RBAC связаны с приложениями из ID.

💡 В ID приложение отвечает за авторизацию и вход пользователя, а в IDM это же приложение выступает как сущность RBAC для управления доступом.

Каждая система может включать:

список ресурсов;
набор ролей;
пользователей;
группы пользователей;
правила доступа.

Создание системы#

Перейдите в панель IDM → RBAC.
Нажмите на кнопку Создать систему .
Укажите параметры системы:
- Название системы — отображаемое имя системы;
- Описание — дополнительная информация о системе (необязательно);
- Адрес системы — URL системы, которое будет использоваться в RBAC.
Нажмите Создать.

Удаление системы#

Перейдите в панель IDM → RBAC.
Нажмите на кнопку Удалить на панели с нужной системой.
Подтвердите действие в открывшемся окне.

Управление ресурсами#

Ресурс — это объект доступа внутри системы RBAC.

Ресурсы используются для разграничения доступа пользователей и групп к отдельным компонентам системы или приложения.

В качестве ресурсов могут выступать:

разделы приложения;
административные панели;
внутренние сервисы;
модули системы;
бизнес-функции.

Создание ресурса#

Перейдите в панель IDM → RBAC.
Откройте нужную систему и перейдите на вкладку Ресурсы.
Нажмите кнопку Добавить в списке ресурсов.
Укажите название и описание ресурса.
Нажмите Создать.

После создания ресурс появится в списке ресурсов системы и станет доступен для назначения ролей, пользователей и групп.

Редактирование ресурса#

У ресурса можно изменить название и описание.

Чтобы изменить параметры ресурса:

Перейдите в панель IDM → RBAC.
Откройте нужную систему и перейдите на вкладку Ресурсы.
Откройте меню действий по кнопке Еще на панели с нужным ресурсом.
Выберите действие Редактировать.
В открывшемся окне укажите новые параметры ресурса.
Сохраните изменения.

Удаление ресурса#

Удаление ресурса отменяет все связанные с ним назначения пользователей, групп и ролей.

⚠️ После удаления ресурс перестанет участвовать в проверке доступа. Пользователи, ранее имевшие доступ через этот ресурс, потеряют соответствующие права.

Перейдите в панель IDM → RBAC.
Откройте нужную систему и перейдите на вкладку Ресурсы.
Откройте меню действий по кнопке Еще на панели с нужным ресурсом.
Выберите действие Удалить.
Подтвердите действие в открывшемся окне.

Управление ролями#

Роль — это логическое объединение прав доступа внутри системы.

Роли позволяют управлять доступом не для каждого пользователя отдельно, а сразу для группы пользователей с одинаковыми обязанностями.

Примеры ролей:

Администратор;
Менеджер;
Руководитель;
Сотрудник;
Аудитор.

Создание роли#

Перейдите в панель IDM → RBAC.
Откройте нужную систему и перейдите на вкладку Роли.
Нажмите Добавить роль .
Укажите название и описание роли.
Сохраните изменения.

Редактирование роли#

Перейдите в панель IDM → RBAC.
Откройте нужную систему и перейдите на вкладку Роли.
Откройте меню действий по кнопке Еще на панели с нужной ролью.
Выберите действие Редактировать.
В открывшемся окне укажите новые параметры роли.
Сохраните изменения.

Удаление роли#

Перейдите в панель IDM → RBAC.
Откройте нужную систему и перейдите на вкладку Роли.
Откройте меню действий по кнопке Еще на панели с нужной ролью.
Выберите действие Удалить.
Подтвердите действие в открывшемся окне.

Назначение пользователей и групп#

В КриптоАРМ IDM доступ может назначаться:

отдельным пользователям;
группам пользователей IDM.

Назначение через группы позволяет автоматически предоставлять доступ сразу нескольким пользователям.

Назначение пользователя#

Чтобы назначить пользователя на ресурс:

Перейдите в панель IDM → RBAC.
Откройте нужную систему и перейдите на вкладку Ресурсы.
В области справа перейдите на вкладку Пользователи.
Нажмите кнопку Добавить пользователя .
В открывшемся окне укажите пользователя и выберите роль.
Нажмите Добавить.

После назначения пользователь получит соответствующий доступ.

Назначение группы#

Чтобы назначить группу на ресурс:

Перейдите в панель IDM → RBAC.
Откройте нужную систему и перейдите на вкладку Ресурсы.
В области справа перейдите на вкладку Пользователи.
Нажмите кнопку Добавить группу .
В открывшемся окне укажите группу и выберите роль.
Нажмите Добавить.

После назначения все пользователи группы получат соответствующий доступ.

💡 Чтобы удалить назначенного пользователя или группу из ресурса, нажмите Удалить на панели соответствующего пользователя или группы.

💡 Для изменения роли выберите новую роль в выпадающем списке на панели пользователя или группы.

Наследование прав#

RBAC в КриптоАРМ IDM поддерживает наследование прав через группы.

Это означает:

если роль назначена группе;
все пользователи группы автоматически получают доступ;
при добавлении нового пользователя в группу права применяются автоматически.

Наследование упрощает администрирование крупных корпоративных структур и снижает количество ручных операций.

Влияние RBAC на приложения ID#

RBAC напрямую влияет на доступ пользователей к приложениям ID.

Это одна из ключевых особенностей экосистемы КриптоАРМ IDM.

Как это работает#

Если приложение существует только в ID:

пользователь может авторизоваться в приложении;
доступ регулируется механизмами ID.

Если для приложения создается RBAC-модель в IDM:

вход начинает контролироваться RBAC;
пользователь должен иметь соответствующую роль или назначение;
при отсутствии доступа авторизация будет запрещена.

Что происходит при отсутствии назначений#

Если для приложения:

создана RBAC-система;
созданы ресурсы;
но пользователю не назначен доступ,

то пользователь не сможет войти в приложение даже при успешной аутентификации через ID.

Таким образом:

ID отвечает за аутентификацию пользователя;
IDM отвечает за авторизацию и контроль доступа.

💡 ID и IDM образуют единую IAM-экосистему, где ID выполняет роль Identity Provider, а IDM — централизованной системы управления корпоративным доступом.

Смотрите также#

Обзор КриптоАРМ IDM — общая информация о системе IDM, её назначении и компонентах.
Каталог в КриптоАРМ IDM — описание структуры каталога пользователей, групп и папок.
Коннекторы в КриптоАРМ IDM — обзор коннекторов в КриптоАРМ IDM, включая принципы работы, типы интеграций и общую модель синхронизации с внешними системами.