Пользователи#
Пользователь — это объект системы, который связывает учетную запись, физическое лицо и набор прав доступа. В карточке пользователя настраиваются параметры авторизации и назначаются профили, определяющие доступ к объектам и функциям системы.
Атрибуты пользователя#
Наименование |
Описание |
|---|---|
Учетная запись |
Логин, под которым пользователь авторизуется в системе |
Физическое лицо |
Карточка физического лица, связанная с пользователем |
Пользователь заблокирован |
Признак блокировки пользователя. Заблокированный пользователь не может войти в систему |
Суперпользователь |
Признак пользователя с максимальными правами доступа в системе |
Список приложений ограничен правами ролей |
Признак, при котором перечень доступных приложений определяется доступом к объектам системы, а не списком приложений, назначенных ролям. Может использоваться для ограничения набора приложений, доступных суперпользователю |
Пользователь должен сменить пароль после авторизации |
При следующем входе в систему пользователю будет предложено изменить пароль. После смены пароля признак снимается автоматически |
Шаблон |
Шаблон, на основании которого создан пользователь |
Active Directory |
Данные доменной авторизации пользователя |
Профили доступа |
Список профилей, назначенных пользователю. На закладке доступны операции добавления и удаления профилей. В детализации отображаются роли, входящие в профиль |
Роли доступа |
Список ролей пользователя. Роли отображаются автоматически на основании назначенных профилей |
Операции справочника и карточки пользователя#
Наименование |
Описание |
|---|---|
Группировка |
Позволяет редактировать дерево групп пользователей: создавать группы, изменять их состав и структуру |
Пересчитать индексацию системных привилегий для текущего пользователя |
Обновляет индексы системных привилегий для текущего пользователя или для всех пользователей. В результате пересчитываются записи по элементам администрируемых объектов и объектным правам, доступным пользователю |
Анализ прав доступа пользователя |
Показывает перечень объектов системы, доступные действия и роли, за счет которых пользователь получил эти права |
Создать шаблон |
Сохраняет карточку пользователя как шаблон для дальнейшего создания пользователей по аналогии |
Синхронизация пользователей Active Directory |
Загружает новых пользователей из Microsoft Active Directory или обновляет уже существующих |
Изменить пароль |
Открывает окно смены пароля. Дополнительные требования к длине пароля и наличию специальных символов не применяются |
Создание пользователей по шаблону#
Для ускорения создания типовых учетных записей можно использовать шаблоны пользователей. При создании нового пользователя по шаблону система применяет параметры пароля, группу шаблона, а также назначает профили и роли, указанные в шаблоне.
Параметры шаблона#
Наименование |
Описание |
|---|---|
Является шаблоном |
Показывает, что карточка используется как шаблон для создания других пользователей |
Наименование шаблона |
Название шаблона, которое отображается при выборе |
Шаблон по умолчанию |
Если признак установлен, новые пользователи по умолчанию создаются на основании этого шаблона. В системе может быть только один шаблон по умолчанию |
Выводить под операцией создания |
Если признак установлен, шаблон отображается в выпадающем списке операции создания пользователя |
Синхронизация с Active Directory#
Система Global поддерживает синхронизацию с Microsoft Active Directory. При использовании Active Directory первичная загрузка пользователей и последующая синхронизация выполняются с помощью операции «Синхронизация пользователей Active Directory» в справочнике или карточке пользователей, а также по настроенному расписанию.
Если пользователя домена еще нет в системе, система автоматически создает его в группе LDAP - Active Directory. Если пользователь уже существует, его данные обновляются. Во время синхронизации система также пытается автоматически сопоставить физическое лицо по данным домена.
Настройка подключения к Active Directory#
Чтобы настроить подключение к Active Directory, откройте в приложении «Администратор» раздел «Настройки > Общие настройки системы», затем настройки модуля btk. В JSON-контейнере записи ldapSync укажите:
URL сервера;
логин;
пароль;
имя домена Active Directory.
Настройка авторизации через Active Directory, при которой пароль пользователя проверяется не системой Global, а службой Active Directory, выполняется в основном конфигурационном файле /usr/local/globalserver/application/config/global3.config.xml.
Выполнение синхронизации#
При запуске операции «Синхронизация пользователей Active Directory» открывается отдельная форма, в которой нужно выбрать шаблон для создания новых пользователей и выполнить операцию «Синхронизировать».
Созданные пользователи размещаются в группе LDAP - Active Directory и во вложенных группах уровнем ниже.
Передача прав при замещении#
Если в системе настроено замещение пользователей в разделе «Администратор > Доступ > Замещение прав», замещающий пользователь на период замещения дополнительно получает все права замещаемого пользователя.
После окончания периода замещения эти права снимаются автоматически.
Суперпользователь#
Суперпользователь — это администратор системы, которому доступны все привилегии и все объекты системы.
При этом отдельные элементы интерфейса могут требовать наличия конкретных ролей. Например, некоторые клонируемые пункты меню для отображения виджетов доступны только пользователям, которым назначены определенные роли. Если у суперпользователя таких ролей нет, доступ к этим пунктам меню у него отсутствует.
Пересчет индексации системных привилегий#
После создания пользователь находится в рассинхронизированном состоянии. Такое состояние также возникает после назначения ролей или изменения настроек доступа.
Чтобы изменения вступили в силу, необходимо выполнить операцию «Пересчитать индексацию системных привилегий».
Во время настройки ролей рекомендуется сначала пересчитывать права только для тестового пользователя с помощью операции «Пересчитать индексацию системных привилегий для текущего пользователя». Эта операция доступна:
в списке пользователей;
в карточке пользователя;
в списках пользователей роли;
в списках пользователей профиля.
Такой подход позволяет проверить результат настройки на тестовом пользователе и при необходимости скорректировать права до применения изменений для остальных пользователей.