Версия: 2.0 (WIP)

Пользователи

Локальные пользователи

Данные локальных пользователей хранятся в базе данных на сервере. Список существующих пользователей можно увидеть на странице Главная / Пользователи / Реестр пользователей. Управление локальными пользователями выполняется с этой же страницы.

Каждый пользователь обладает:

обязательными атрибутами (Логин, Пароль)
базовыми атрибутами (Имя, Фамилия, Отчество, E-mail)
дополнительными атрибутами

Пользователи LDAP

Памир поддерживает интеграцию с LDAP сервером. В рамках интеграции пользователи LDAP могут получать доступ к Памир. Настройка интеграции выполняется на странице Главная / Настройки / Пользователь / LDAP.

Пользователи авторизованные с помощью LDAP отображаться на странице Главная / Пользователи / Реестр пользователей. Управление пользователями LDAP выполняется с этой же страницы.

подсказка

Пользователь LDAP может быть создан только через форму входа в систему.

Создание дополнительных атрибутов пользователя

Пользователь может обладать произвольным количеством дополнительных атрибутов. Управление дополнительными атрибутами выполняется на странице Главная / Настройки / Пользователь / Атрибуты. Назначение дополнительных атрибутов пользователя аналогично назначению атрибутов конфигурационной единицы - детализировать описание пользователя.

Типизация атрибутов пользователя выполняется аналогично атрибутам CMDB.

Параметр Целевое использование позволяет защитить атрибут от удаления или изменения.

warning

Перевод атрибута в целевое использование - невозвратная операция. Флаг Целевой атрибут невозможно снять через редактирование атрибута.

Дополнительные атрибуты пользователя могут быть помечены модификаторами:

Обязательный. Позволяет сделать атрибут обязательным для заполнения. (Будет автоматически добавлен при редактировании пользователя)
Заблокировать самостоятельное редактирование. Позволяет сделать атрибут недоступным для редактирования пользователю. Модификатор рекомендуется применять к атрибутам, которые используются в правилах доступа.

Алгоритм аутентификации и авторизации

Аутентификация с указанным доменом

Если пользователь при аутентификации указывает домен, то аутентификация осуществляется сервером LDAP, обслуживающим соответствующий домен:

в случае успешной аутентификации, происходит поиск пользователя в локальном хранилище на основе его login и LDAP (домен);
если пользователь найден, то для него выполняется синхронизация атрибутов и авторизация;
если пользователь не найден, то он создается и сохраняется в локальном хранилище, ему присваивается LDAP соответствующего сервера и в качестве пароля устанавливается пустое значение (null). Пароль пользователя в Памир не сохраняется;
в случае ошибки - аутентификация прекращается, пользователю возвращается сообщение об ошибке.

Аутентификация без указания домена

Если пользователь при входе в систему не указывает домен, то приоритетно осуществляется аутентификация с использованием локального хранилища пользователей:

если найден локальный пользователь с указанным login, то для него выполняется процедура аутентификации;
в случае успеха для пользователя выполняется авторизация;
в случае ошибки - аутентификация прекращается, пользователю возвращается сообщение об ошибке;
если локальный пользователь с указанным login не найден, и в системе настроена активная интеграция с одним сервером LDAP, то выполняется попытка аутентификации через LDAP в полном соответствии с пунктом "Аутентификация с указанным доменом" с единственным настроенным сервером LDAP;
если локальный пользователь с указанным login и LDAP не найден, и в системе настроена активная интеграция с более чем одним (или нулем) сервером LDAP, то пользователю возвращается сообщение об ошибке.

Вне зависимости от домена пользователь имеет ограниченное количество попыток указания верных данных для аутентификации, в случае неудачи - пользователь будет заблокирован.

Настройка авторизизации пользователей

Настройка авторизации пользователей выполняется на странице Главная / Настройки / Система / Глобальные настройки / вкладка «Авторизация».

Перечень параметров, влияющих на авторизацию и требования к учётным записям пользователей. Изменения вступают в силу после сохранения глобальных настроек.

Блокировка неактивного пользователя

USER_INACTIVE_TIMEOUT_DAY

Параметр задаёт срок (в днях), по истечении которого неактивный пользователь будет заблокирован.

Повторная регистрация пользователя

Если требуется повторно использовать логин ранее удалённого пользователя, измените настройку

USER_LOGIN_REUSE_DAY

Параметр задаёт срок (в днях), в течение которого возможно повторное использование логина.

Требования к паролю:

USER_PASSWORD_DIGITAL_MIN

Минимальное количество цифр в пароле.

USER_PASSWORD_EXPIRATION_DAY

Срок жизни пароля (в днях). По истечении срока пользователь должен установить новый пароль.

USER_PASSWORD_HISTORY_DEPTH

Количество запоминаемых предыдущих паролей. Используется для запрета повторного использования старых паролей.

USER_PASSWORD_LOWER_MIN

Минимальное количество букв в нижнем регистре в пароле.

USER_PASSWORD_MAX_LENGTH

Максимальная длина пароля (в символах).

USER_PASSWORD_MIN_LENGTH

Минимальная длина пароля (в символах).

USER_PASSWORD_SPECIAL_SYM

Список специальных символов, которые разрешено использовать в пароле.

USER_PASSWORD_SPECIAL_SYM_MIN

Минимальное количество специальных символов в пароле.

USER_PASSWORD_UPPER_MIN

Минимальное количество букв в верхнем регистре в пароле.

API токен

API токен это уникальная шестнадцатеричная строка, которая используется для аутентификации и авторизации пользователей при подключении к системе Памир по URL для внешних систем. Базовый URL для внешних систем https://<host>/v1/external/... API токен применяется в заголовке Authorization HTTP-запросов. Пример заголовка: Authorization: Bearer d1353cc52b864654e49bc5e18895d968200a5a4a7804512d03509978bb79fdd7

Управление API токенами

Управление API токенами доступно на странице Главная / Пользователи / Реестр пользователей в окне Управление API токенами конкретного пользователя. В этом окне отображается список API токенов пользователя и доступно создание и деактивация API токенов. Пользователю могут быть созданы несколько API токенов.

Создание API токена

Для создания API токена нужно в окне Управление API токенами выбрать Создать токен, заполнить следующие поля:

название
системное имя (должно соответствовать регулярному выражению ^[a-z][a-z0-9_]*$)
описание и выбрать Сгенерировать. Система покажет созданный API токен. Нужно сохранить этот токен в безопасном месте. Система не хранит его в открытом виде и не сможет больше показать.

Деактивация API токена

Для деактивации API токена нужно в окне Управление API токенами выбрать действие Деактивировать для конкретного API токена. Деактивированный токен не может больше использоваться для аутентификации и авторизации пользователя. Деактивация API токена необратимое действие. Однажды деактивированный токен не может быть активирован снова.

Связанные разделы

Глобальные настройки сервиса авторизации

Локальные пользователи​

Пользователи LDAP​

Создание дополнительных атрибутов пользователя​

Алгоритм аутентификации и авторизации​

Настройка авторизизации пользователей​

Блокировка неактивного пользователя​

Повторная регистрация пользователя​

Требования к паролю:​

API токен​

Управление API токенами​

Создание API токена​

Деактивация API токена​

Связанные разделы​