Перейти к основному содержимому
Версия: 2.0 (WIP)

Настройка доступа

В системе Памир управление доступом используется для разграничения прав пользователей на выполнение действий и работу с ресурсами платформы.

Доступ настраивается с помощью правил доступа, которые определяют:

  • кому предоставляется или запрещается доступ;
  • к чему применяется правило;
  • какие действия разрешены или запрещены.

Общие принципы

Управление доступом в системе строится по следующим принципам:

  • Все, что не разрешено, — запрещено.
    Если для пользователя нет ни одного разрешающего правила, доступ не предоставляется.

  • Поддерживаются два типа правил:

    • Разрешить — предоставляет доступ;
    • Запретить — запрещает доступ.

  • Запрещающие правила имеют приоритет над разрешающими.
    Если один и тот же пользователь и ресурс одновременно попадают под разрешающее и запрещающее правило, итоговый доступ будет запрещён.

  • Правила применяются только к тем пользователям, которые соответствуют условиям фильтра.
    Для отбора пользователей используются атрибуты профиля, например:

    • логин;
    • роль;
    • другие пользовательские атрибуты.

  • Проверка выполняется динамически.
    При обращении к ресурсу система учитывает актуальные атрибуты пользователя и действующие правила.

Как работает правило доступа

Каждое правило включает следующие основные параметры:

  • Название — произвольное имя правила.
  • Доступ — тип правила:
    • Разрешить
    • Запретить
  • Активно — позволяет включать и отключать правило без удаления.
  • Пользователь — фильтр, определяющий, к каким пользователям применяется правило.
  • Объект управления — перечень ресурсов или функций, на которые распространяется правило.
  • Действие — для тех разделов, где требуется разграничение по операциям, например:
    • чтение;
    • редактирование.

Для некоторых типов ресурсов доступен признак Расширяемое.
Если он включён, правило автоматически распространяется не только на существующие объекты, но и на новые, создаваемые в дальнейшем.

Алгоритм проверки доступа

При обработке запроса доступ определяется в следующем порядке:

  1. Изначально доступ считается запрещённым.
  2. Система находит активные разрешающие правила, которым соответствует пользователь и запрашиваемый объект.
  3. Если найдено хотя бы одно подходящее разрешающее правило, доступ считается разрешённым.
  4. Затем система проверяет активные запрещающие правила.
  5. Если найдено хотя бы одно подходящее запрещающее правило, доступ становится запрещённым независимо от ранее найденных разрешений.

Итог:

  • доступ предоставляется только если он явно разрешён;
  • любое совпадение с запрещающим правилом отменяет разрешение.

Фильтрация пользователей в правилах

Во всех правилах доступа используется вкладка Пользователь, где задаются условия применения правила.

Правило может быть адресовано:

  • конкретному пользователю;
  • группе пользователей с одинаковыми атрибутами;
  • пользователям с определённой ролью;
  • комбинации условий.

Например, правило можно применить:

  • к пользователю с определённым логином;
  • ко всем пользователям с ролью Администратор;
  • одновременно к нескольким ролям.

Роли пользователей задаются через атрибут role. Подробнее см. раздел Ролевая политика.

Управление доступом к CMDB

Управление доступом к CMDB выполняется на основе модели ABAC (Attribute-Based Access Control, управление доступом на основе атрибутов).

В этой модели права определяются не только пользователем, но и атрибутами самих КЕ, а также типом выполняемого действия.

Основные компоненты ABAC

  1. Атрибуты пользователя
    Например:

    • роль;
    • подразделение;
    • регион;
    • уровень доступа.

  2. Атрибуты КЕ
    Например:

    • тип;
    • имя;
    • регион;
    • принадлежность к определённому сегменту.

  3. Действие
    Например:

    • чтение;
    • редактирование.

  4. Правило доступа
    Правило связывает атрибуты пользователя и КЕ и определяет, какие объекты доступны.

Для анализа правил доступа в CMDB используется TQL.

Как работает доступ к CMDB

  1. Пользователь запрашивает список КЕ или пытается открыть конкретный объект.
  2. Система получает атрибуты пользователя:
    • локальные;
    • либо синхронизированные из LDAP.
  3. Система подставляет атрибуты пользователя в TQL-правила доступа.
  4. Выполняются все разрешающие правила, формируя множество доступных КЕ.
  5. Затем выполняются запрещающие правила, исключая запрещённые КЕ из ранее сформированного списка.

Если для пользователя не найдено ни одного разрешающего правила, пользователь не увидит ни одного КЕ.

Пример использования ABAC

Сценарий

Региональный оператор должен просматривать все маршрутизаторы из своего региона.

Атрибуты

  • Пользователь: Регион = Москва, Роль = Оператор
  • КЕ: Тип = Маршрутизатор
  • Действие: Просмотр

Правило доступа

Определение видимости маршрутизаторов, находящихся в регионах:

img.png

Определение соответствия региона маршрутизатора региону пользователя:

img.png

Ограничение применения правила доступа к пользователям с ролью Оператор:

img.png

Управление доступом к TQL

Правила доступа позволяют ограничивать доступ к уже созданным и новым TQL-запросам.

Настройка правил выполняется на странице
Главная / Доступ / TQL.

Параметры правила

  • Действие — операции, которыми управляет правило:
    • чтение;
    • редактирование.
  • Доступ:
    • Разрешить
    • Запретить
  • Расширяемое — если включено, правило будет автоматически применяться к новым TQL.
  • Таблица TQL — список запросов, на которые распространяется правило.
  • Пользователь — фильтр пользователей, для которых действует правило.

Как разрешить доступ

  1. Создайте правило.
  2. Установите Доступ = Разрешить.
  3. Выберите нужные действия.
  4. Добавьте в таблицу TQL-запросы, к которым требуется предоставить доступ.
  5. Настройте вкладку Пользователь, указав пользователей или роли.

Как запретить доступ

  1. Создайте правило.
  2. Установите Доступ = Запретить.
  3. Выберите действия, которые нужно ограничить.
  4. Добавьте в таблицу TQL-запросы, доступ к которым нужно запретить.
  5. Настройте вкладку Пользователь.
warning

Запрещающие правила имеют приоритет над разрешающими. Если TQL ранее был разрешён, но попал под запрещающее правило, доступ будет отменён.

Управление доступом к индикаторам здоровья

В системе Памир индикаторы здоровья используются для оценки состояния объектов мониторинга. Доступ к ним влияет на отображение данных в следующих разделах:

  • Дашборды
  • СРМ
  • Уведомления
  • Реестр индикаторов здоровья

Настройка правил выполняется на странице
Главная / Доступ / Индикаторы здоровья.

Параметры правила

  • Действие:
    • чтение;
    • редактирование.
  • Доступ:
    • Разрешить
    • Запретить
  • Активно — включает или отключает правило.
  • Расширяемое — распространяет правило на новые индикаторы здоровья.
  • Индикаторы здоровья — список объектов, на которые действует правило.
  • Пользователь — фильтр пользователей.

Ограничение видимости цепочки индикаторов

Если у пользователя нет прав на просмотр некоторых индикаторов здоровья, он может видеть только верхние расчётные индикаторы, но не их первопричины.

Пример:

Расчетный ИЗ
├── ИЗ 1
└── ИЗ 2

Если доступ к ИЗ 1 и ИЗ 2 запрещён, пользователь увидит только верхний расчётный индикатор без детализации причин его состояния.

Особенность прав при управлении шаблонами мониторинга

Пользователи с функцией управления шаблонами мониторинга получают полный доступ к индикаторам здоровья в рамках настройки шаблонов мониторинга. Это необходимо для:

  • корректной настройки зависимостей;
  • анализа состава расчётных индикаторов.

При этом в пользовательских интерфейсах просмотра — дашбордах, СРМ и уведомлениях — продолжают применяться обычные правила доступа.

Как разрешить доступ

  1. Создайте правило с параметром Доступ = Разрешить.
  2. Выберите действия.
  3. Добавьте нужные индикаторы здоровья.
  4. Укажите пользователей или роли на вкладке Пользователь.

Как запретить доступ

  1. Создайте правило с параметром Доступ = Запретить.
  2. Выберите действия.
  3. Добавьте индикаторы здоровья, доступ к которым следует ограничить.
  4. Укажите пользователей или роли на вкладке Пользователь.
warning

Запрещающие правила имеют приоритет над разрешающими.

Управление доступом к дашбордам

В системе Памир дашборды делятся на два типа:

  • Общие дашборды

    • доступны в соответствии с правилами доступа;
    • для них можно настраивать чтение и редактирование.

  • Личные дашборды

    • принадлежат только создавшему их пользователю;
    • другие пользователи не имеют к ним доступа.
Важно

Личный дашборд можно опубликовать, после чего он становится общим. С этого момента к нему начинают применяться правила доступа для общих дашбордов.

Настройка правил выполняется на странице
Главная / Доступ / Дашборды.

Параметры правила

  • Действие:
    • чтение;
    • редактирование.
  • Доступ:
    • Разрешить
    • Запретить
  • Активно — включает или отключает правило.
  • Расширяемое — распространяет правило на новые дашборды.
  • Дашборды — список объектов, на которые действует правило.
  • Пользователь — фильтр пользователей.

Как разрешить доступ

  1. Создайте правило с параметром Доступ = Разрешить.
  2. В поле Действие выберите:
    • чтение;
    • и/или редактирование.
  3. Добавьте нужные дашборды.
  4. Настройте вкладку Пользователь.

Как запретить доступ

  1. Создайте правило с параметром Доступ = Запретить.
  2. Выберите операции, которые нужно запретить.
  3. Добавьте дашборды, к которым требуется ограничить доступ.
  4. Настройте вкладку Пользователь.
warning

Запрещающие правила имеют приоритет над разрешающими.

Примеры использования

  • Разрешить доступ к конкретным дашбордам для роли Аналитик.
  • Запретить редактирование определённых дашбордов для роли Наблюдатель.
  • Запретить редактирование всех новых дашбордов с помощью расширяемого правила.

Управление доступом к функциям системы

Правила доступа к функциям позволяют управлять доступом не к отдельным объектам, а к возможностям интерфейса и системным разделам.

Настройка правил выполняется на странице
Главная / Доступ / Функции.

Доступные группы функций

В системе Памир могут настраиваться права, например, в рамках следующих категорий:

  • Дашборды
  • СРМ
  • Мониторинг
  • Управление пользователями
  • Управление доступом
  • Уведомления
  • Системные настройки
  • Лицензия
  • Сторонние сервисы

Параметры правила

  • Доступ:
    • Разрешить
    • Запретить
  • Активно — включает или отключает правило.
  • Функции — дерево системных функций.
  • Пользователь — фильтр пользователей.

Как разрешить доступ

  1. Создайте правило с параметром Доступ = Разрешить.
  2. В дереве функций выберите функции, к которым нужно предоставить доступ.
  3. На вкладке Пользователь укажите пользователей или роли, для которых действует правило.

Как запретить доступ

  1. Создайте правило с параметром Доступ = Запретить.
  2. В дереве функций выберите функции, которые нужно запретить.
  3. На вкладке Пользователь укажите пользователей или роли.
warning

Запрещающие правила имеют приоритет над разрешающими. Если доступ к функции ранее был разрешён, запрещающее правило его отменит.

Рекомендации по настройке

  • Используйте разрешающие правила как основной механизм выдачи прав.
  • Применяйте запрещающие правила только для точечных ограничений.
  • По возможности назначайте правила не отдельным пользователям, а по атрибутам, например по роли.
  • Для новых объектов, которые должны автоматически попадать под политику доступа, используйте признак Расширяемое.
  • После изменения ролей или пользовательских атрибутов проверяйте, какие правила начнут применяться к пользователю.

Связанные разделы