Управление доступом

Система управления доступом в Памир обеспечивает контроль и разграничение прав пользователей на взаимодействие с ресурсами платформы. Доступ регулируется на основе списка правил, которые определяют, какие действия разрешены или запрещены для конкретных пользователей.

Ресурсы, подлежащие контролю

Правила доступа применяются к следующим типам ресурсов:

• Дашборды (визуализации и аналитические панели)
• TQL (запросы и отчёты)
• ТКЕ (инструменты типизации данных)
• Индикаторы здоровья (мониторинг состояния системы)

Общие принципы

• Все, что не разрешено — запрещено: По умолчанию любой доступ к ресурсу запрещён, если нет явного разрешающего правила.
• Два типа доступа:
  • разрешить — разрешает указанное действие.
  • запретить — запрещает указанное действие.
• Порядок обработки правил:
  • Сначала применяются разрешающие правила.
  • Затем — запрещающие.
• Переопределение доступа: Последующие правила могут изменять доступ, установленный предыдущими.
• Оценка пользователей:
  • Правила применяются к пользователям, удовлетворяющим заданным фильтрам (например, по роли, группе или атрибутам).
  • Одно правило может охватывать несколько пользователей.
  • Проверка прав выполняется динамически при каждом обращении к ресурсу, что обеспечивает актуальность контроля доступа.

Алгоритм обработки правил

1. Инициализация: Все запросы к ресурсам изначально считаются запрещёнными.
2. Применение разрешающих правил:
   • Если запрос соответствует разрешающему правилу → доступ разрешается.
   • Если нет → остаётся запрещённым.
3. Применение запрещающих правил:
   • Если запрос соответствует запрещающему правилу → доступ запрещается (даже если ранее был разрешён).
   • Иначе → остаётся в предыдущем состоянии.
4. Результат:
   • Если после обработки всех правил доступ не запрещён явно и был разрешён ранее → доступ разрешён.
   • В противном случае → доступ запрещён.

Алгоритм обеспечивает гибкость управления доступом за счёт последовательного применения правил, где запрещающие правила имеют приоритет над разрешающими.

Управление доступом к CMDB

Управление доступом к CMDB выполняется на основе модели доступа ABAC. Управление доступом на основе атрибутов (Attribute-Based Access Control, ABAC) — это модель управления доступом, которая предоставляет права на выполнение операций (просмотр, редактирование) на основе атрибутов пользователя и КЕ.

Основные компоненты

1. Атрибуты:

   • Это характеристики, которые описывают пользователя и КЕ.
   • Примеры атрибутов:
     • Пользователь: роль, должность, отдел, уровень доступа.
     • КЕ: название, регион.
     • Действие: просмотр, редактирование.

2. Правила доступа:

   • Правила доступа связывают пользователей, КЕ и разрешения.
   • Пример политики:
     • "Пользователь с ролью 'Оператор' может просматривать КЕ в своем регионе"

3. Механизм оценки правил доступа:

   • Это компонент, который анализирует атрибуты и применяет правила для принятия решения о предоставлении доступа.
   • Для анализа правил доступа используется TQL

Как работает ABAC

1. Запрос доступа:

   • Пользователь пытается получить список КЕ.

2. Поиск правил доступа:

   • Система собирает атрибуты пользователя (локальные или полученные в результате синхронизации с LDAP).
   • Выполняется поиск правил доступа, под которые попадает пользователь.

3. Принятие решения:

   • Атрибуты пользователя параметризуют TQL правила доступа
   • Выполняются все TQL разрешающие доступ
   • Формируется список КЕ к которым доступ разрешен
   • Выполняются все TQL запрещающие доступ
   • Из списка КЕ, к которым доступ разрешен, удаляются КЕ к которым доступ запрещен

Принятие решения основывается на принципе - все что не разрешено, то запрещено. Поэтому, если для пользователя не будет найдено ни одного правила доступа, то он не увидит ни одного КЕ.

Пример использования ABAC

Сценарий:

• Региональный оператор должен просматривать все маршрутизаторы из своего региона

Атрибуты:

• Пользователь: Регион = Москва, Роль = Оператор.
• КЕ: Тип = Маршрутизатор
• КЕ: Тип = Регион
• Действие: Просмотр.

Правило доступа:

Определение видимости маршрутизаторов, находящихся в регионах

Определение соответствия региона в котором находится маршрутизатор - региону пользователя

Ограничение применение правила доступа к пользователям с ролью Оператор.

Управление доступом к TQL

Правила доступа позволяют ограничить доступ к уже созданным и создаваемым TQL.

Настройка:

• Параметр Действие определяет действие пользователя, которым управляет правило: чтение и/или редактирование.
• Параметр Доступ определяет тип правила: разрешающее или запрещающее.
• Параметр Расширяемое в правиле доступа приведет к тому, что каждый созданный TQL будет попадать в таблицу правила.
  • Этот параметр позволяет управлять создаваемыми TQL.
• Таблица определяет перечень TQL на которые распространяется правило доступа.

Для разрешения доступа к TQL нужно:

• Создать правило и установить параметр доступ в положение Разрешить.
• В параметре Действие выбрать действия пользователя, которые должны быть разрешены.
• Добавить в таблицу TQL к которым требуется разрешить доступ.

Если к TQL ранее был разрешен доступ, то запретить его можно следующим образом:

• Создать правило и установить параметр доступ в положение Запретить.
• В параметре Действие выбрать действия пользователя, которые должны быть ограничены.
• Добавить в таблицу TQL к которым требуется ограничить доступ.

Управление доступом к индикаторам здоровья

В системе Памир индикаторы здоровья (ИЗ) используются для оценки состояния объектов мониторинга. Доступ к ним регулируется настройками прав пользователей и влияет на отображение данных в различных интерфейсах.

Права доступа к индикаторам здоровья проверяются в следующих разделах системы:

• Дашборды – визуализация данных мониторинга.
• СРМ – анализ и управление инцидентами.
• Уведомления – оповещения о проблемах.
• Реестр индикаторов здоровья – справочник всех ИЗ.

Ограничение видимости цепочки индикаторов

Если у пользователя нет прав на просмотр некоторых ИЗ, он может видеть только верхние расчетные индикаторы, но не их первопричины.

Пример:

Расчетный ИЗ (доступен)  
├── ИЗ 1 (заблокирован)  
└── ИЗ 2 (заблокирован)  

Пользователь увидит только расчетный ИЗ, но не сможет узнать, какие конкретные индикаторы повлияли на его состояние.

Рекомендации по настройке прав:

• При составлении правил доступа учитывайте, что ограничение видимости нижележащих ИЗ может затруднить анализ проблем.
• Для ответственных сотрудников (например, администраторов) рекомендуется открывать доступ к полной цепочке индикаторов.

Доступ к управлению шаблонами мониторинга

Пользователи с правом управления шаблонами мониторинга автоматически получают полный доступ ко всем индикаторам здоровья в рамках настройки шаблонов мониторинга. Это необходимо для:

• Корректной настройки зависимостей между расчетными ИЗ.
• Понимания взаимного влияния индикаторов.

Ограничения в интерфейсах просмотра

• В режиме настройки шаблонов отображаются все ИЗ.
• В дашбордах, СРМ и уведомлениях применяются стандартные правила доступа.

Настройка правил доступа

Настройка правил доступа выполняется на странице Главная / Доступ / Индикаторы здоровья. Правила позволяют управлять доступом к общим дашбордам (как существующим, так и новым).

• Доступ – тип правила:
  • Разрешить – предоставляет доступ.
  • Запретить – ограничивает доступ.
• Расширяемое – если включено, правило автоматически применяется ко всем новым дашбордам.
• Таблица индикаторов здоровья – список конкретных индикаторов здоровья, к которым применяется правило.

Как разрешить доступ?

1. Создайте правило с параметром Доступ = Разрешить.
2. Добавьте в таблицу нужные индикаторы здоровья.

Как запретить доступ?

1. Создайте правило с параметром Доступ = Запретить.
2. Внесите в таблицу нужные индикаторы здоровья, доступ к которым следует заблокировать.

warning

Запрещающие правила имеют приоритет над разрешающими.
Если индикатор здоровья был ранее доступен, но добавлен в запрещающее правило – доступ к нему будет отменён.

Управление доступом к дашбордам

В системе Памир дашборды делятся на два типа:

• Общие дашборды

  • Доступны всем пользователям по умолчанию, но могут быть ограничены правилами доступа.
  • Видимость и права на взаимодействие (чтение, редактирование) регулируются настройками правил.

• Личные дашборды

  • Видны только пользователю, который их создал.
  • Другие пользователи не имеют доступа к личным дашбордам.

Важно

Личный дашборд можно опубликовать, после чего он становится общим. В этом случае:

• На него начинают действовать правила доступа.
• Автор дашборда может потерять доступ, если правила настроены некорректно.

Настройка правил доступа

Настройка правил доступа выполняется на странице Главная / Доступ / Дашборды. Правила позволяют управлять доступом к общим дашбордам (как существующим, так и новым).

• Действие – определяет, какие операции разрешены или запрещены:
  • Чтение (просмотр дашборда).
  • Редактирование (изменение содержимого).
• Доступ – тип правила:
  • Разрешить – предоставляет доступ.
  • Запретить – ограничивает доступ.
• Расширяемое – если включено, правило автоматически применяется ко всем новым дашбордам.
• Таблица дашбордов – список конкретных дашбордов, к которым применяется правило.

Как разрешить доступ?

1. Создайте правило с параметром Доступ = Разрешить.
2. В поле Действие выберите:
   • Чтение (если нужно только просматривать).
   • Редактирование (если требуется изменение).
3. Добавьте в таблицу нужные дашборды.

Как запретить доступ?

1. Создайте правило с параметром Доступ = Запретить.
2. Укажите в Действии, какие операции нужно ограничить (чтение и/или редактирование).
3. Внесите в таблицу дашборды, доступ к которым следует заблокировать.

warning

Запрещающие правила имеют приоритет над разрешающими.
Если дашборд был ранее доступен, но добавлен в запрещающее правило – доступ к нему будет отменён.

Примеры использования

• Разрешить доступ к конкретным дашбордам → Создать разрешающее правило и добавить их в список.
• Запретить редактирование всех новых дашбордов → Включить параметр «Расширяемое» в запрещающем правиле.

Управление доступом к функциям системы

Функции системы Памир:

• Дашборды
  • Просмотр
  • Управление дашбордами
  • Публикация общих дашбордов
  • Экспорт дашбордов
  • Импорт дашбордов
• СРМ
  • Просмотр СРМ
  • Наполнение СРМ
  • Редактирование TQL
  • Моделирование СРМ
    • Просмотр модели СРМ
    • Редактирование модели СРМ
  • Импорт
    • КЕ
    • ТКЕ
    • Планы обогащения
  • Экспорт
    • КЕ
    • ТКЕ
    • Планы обогащения
• Мониторинг
  • Мониторинг
    • Управление шаблонами мониторинга
    • Управление реестром индикаторов
    • Управление Prometheus
  • Импорт
    • Индикаторы здоровья
    • Шаблоны мониторинга
    • Задания
    • Экспортеры
  • Экспорт
    • Индикаторы здоровья
    • Шаблоны мониторинга
    • Задания
    • Экспортеры
• Управление пользователями
  • Редактирование атрибутов пользователя
  • Создание и редактирование пользователей
  • Просмотр пользователей
  • Снятие и установка блокировки пользователя
  • Смена пароля локальных пользователей
  • Настройка LDAP
• Управление доступом
  • СРМ
  • Индикаторы здоровья
  • Дэшборды
  • Функции системы
• Уведомления
  • Личные уведомления
  • Шаблоны сообщений
  • Управление менеджером уведомлений
• Системные настройки
  • Компоненты
    • Редактирование
    • Просмотр
    • Управление
  • Управление плагинами
  • Глобальные настройки
  • Отладка системы
• Лицензия

Настройка правил доступа

Настройка правил доступа выполняется на странице Главная / Доступ / Функции.

Правила позволяют управлять доступом к функциям.

• Доступ – тип правила:
  • Разрешить – предоставляет доступ.
  • Запретить – ограничивает доступ.

Как разрешить доступ?

1. Создайте правило с параметром Доступ = Разрешить.
2. В дереве функций выберите те, к которым нужно разрешить доступ.

Как запретить доступ?

1. Создайте правило с параметром Доступ = Запретить.
2. В дереве функций выберите те, к которым нужно запретить доступ.

warning

Запрещающие правила имеют приоритет над разрешающими.
Если доступ к функции был ранее разрешен, то добавление в запрещающее правило – отменит к ней доступ.