Управление пользователями и их правами доступа

Для разграничения доступа к порталу администратора и порталу самообслуживания, а также к разделам, подразделам и функциям в решении реализована модель управления доступом на основе ролей (англ. Role Based Access Control, RBAC). Учетные записи пользователей могут иметь следующие роли:

• Администратор – имеет доступ к порталу администратора и порталу самообслуживания.
• Тенант – имеет доступ только к порталу самообслуживания.

При развертывании решения создается пользователь Administrator с ролью администратор и пользователь User с ролью тенант.

Вы можете создавать локальных и LDAP-пользователей, а также группы LDAP-пользователей. Решение не поддерживает создание групп локальных пользователей. Учетные данные локальных пользователей хранятся в базе данных оркестратора. Учетные данные LDAP-пользователей и групп LDAP-пользователей хранятся на удаленном сервере. Поддерживается удаленный сервер OpenLDAP с Simple-аутентификацией и Simple SSL-аутентификацией, а также Microsoft Active Directory с Kerberos-аутентификацией и Kerberos SSL-аутентификацией.

Вам нужно создать LDAP-подключение, с помощью которого оркестратор подключается к удаленному серверу, после чего создать LDAP-пользователей и/или группы LDAP-пользователей. Созданные LDAP-пользователи и группы LDAP-пользователей могут входить в веб-интерфейс оркестратора, используя свои учетные данные.

Двухфакторная аутентификация

Для повышения общего уровня безопасности решения можно выполнять двухфакторную аутентификацию (англ. two-factor authentication) пользователей с использованием алгоритма Time-based one-time password (TOTP). Вы можете включить или выключить двухфакторную аутентификацию для всех пользователей. Двухфакторную аутентификацию также можно включить или выключить при создании и изменении локальных пользователей, LDAP-пользователей и LDAP-групп.

Если двухфакторная аутентификация включена для пользователя, при следующем входе этого пользователя в веб-интерфейс оркестратора генерируется уникальный QR-код. Пользователю нужно отсканировать QR-код с помощью программного или аппаратного аутентификатора, поддерживающего стандарт RFC 6238, например Kaspersky Password Manager, Google Authenticator, Яндекс Ключ и Microsoft Authenticator. Аутентификатор генерирует уникальный код, который пользователю нужно ввести, чтобы пройти двухфакторную аутентификацию и войти в веб-интерфейс оркестратора. Если пользователь вводит уникальный код неправильно более пяти раз, этот пользователь блокируется на 30 минут.

После прохождения двухфакторной аутентификации при входе в веб-интерфейс оркестратора пользователю нужно вводить имя пользователя, пароль и уникальный код. При необходимости вы можете повторно выполнить двухфакторную аутентификацию пользователя.

Если время на оркестраторе и аутентификаторе отличается более чем на 30 секунд, возможны сбои при выполнении двухфакторной аутентификации пользователей. Мы рекомендуем синхронизировать время на оркестраторе и аутентификаторе с помощью NTP-сервера.

Права доступа

При необходимости вы можете создавать права доступа, определяющие, какие разделы и подразделы веб-интерфейса оркестратора, а также какие действия доступны пользователям, и назначать эти права доступа при создании и изменении пользователей и/или групп LDAP-пользователей. Например, вы можете создать право доступа, запрещающее переходить в раздел Каталог и создавать шаблоны сетевых сервисов.

По умолчанию пользователям и группам LDAP-пользователей назначается право доступа Full Access, которое предоставляет полный доступ ко всем функциям решения.

Запросы на подтверждение

При создании или изменении пользователя вам нужно указать, требуется ли автоматически создавать запрос на подтверждение, когда этот пользователь выполняет действие. Запросы на подтверждение можно подтвердить, отклонить или удалить. При подтверждении запроса выполняется связанное с ним действие. Отклоненные запросы на подтверждение сохраняются в веб-интерфейсе оркестратора.

Пользовательские сеансы

Для управления пользовательскими сеансами используются следующие функции:

• Ограничение продолжительности пользовательских сеансов. Если пользователь бездействует в течение 3600 секунд (одного часа) после входа в веб-интерфейс оркестратора, пользовательский сеанс автоматически прекращается. Время бездействия до автоматического выхода можно указать вручную.
• Завершение пользовательских сеансов. Если несколько сотрудников используют учетные данные одного пользователя для входа в веб-интерфейс оркестратора, любой из них может завершить другие пользовательские сеансы.

Работа с правами доступа

Список прав доступа отображается в разделе Пользователи на вкладке Права доступа. По умолчанию создано право доступа Full access, которое предоставляет полный доступ к веб-интерфейсу оркестратора и автоматически назначается пользователям и группам LDAP-пользователей, если вы не назначаете им другое право доступа.

Действия, которые вы можете выполнить со списком, описаны в инструкции Работа с таблицами компонентов решения.

Создание права доступа

Чтобы создать право доступа:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Права доступа.

   Отобразится список прав доступа.

3. В верхней части списка нажмите на кнопку + Право доступа.
4. В отобразившейся области настройки в поле Имя введите имя права доступа. Максимальная длина: 250 символов.
5. В блоке Права доступа рядом с разделами и подразделами веб-интерфейса оркестратора выберите одно из следующих значений:
   • Изменение – пользователи могут просматривать раздел или подраздел и выполнять в нем все доступные задачи.
   • Просмотр – пользователи могут только просматривать раздел или подраздел.
   • Нет доступа – пользователи не могут просматривать раздел или подраздел.

   Если вы хотите, чтобы подразделы наследовали значение, выбранное для раздела, установите флажок Применить к подразделам. По умолчанию флажок снят.

6. Нажмите на кнопку Создать.

Право доступа будет создано и отобразится в списке.

Вы можете назначить право доступа при создании и изменении пользователя, а также при создании и изменении группы LDAP-пользователей.

Изменение права доступа

Чтобы изменить право доступа:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Права доступа.

   Отобразится список прав доступа.

3. Нажмите на право доступа, которое вы хотите изменить.
4. В отобразившейся области настройки при необходимости измените следующие параметры:
   • имя права доступа;
   • разделы и подразделы веб-интерфейса оркестратора, а также действия, доступные пользователям.
5. Нажмите на кнопку Сохранить.

Право доступа будет изменено и обновится в списке.

Клонирование права доступа

Вы можете клонировать право доступа, чтобы создать такое же право доступа с другим именем.

Чтобы клонировать право доступа:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Права доступа.

   Отобразится список прав доступа.

3. Нажмите на право доступа, которое вы хотите клонировать.
4. В верхней части отобразившейся области настройки нажмите на кнопку Управление → Клонировать.
5. В открывшемся окне введите имя нового права доступа.
6. Нажмите на кнопку Клонировать.

Копия права доступа с новым именем будет создана и отобразится в списке.

Удаление права доступа

Удаленные права доступа невозможно восстановить.

Чтобы удалить право доступа:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Права доступа.

   Отобразится список прав доступа.

3. Нажмите на право доступа, которое вы хотите удалить.
4. В верхней части отобразившейся области настройки нажмите на кнопку Управление → Удалить.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Право доступа будет удалено и перестанет отображаться в списке.

Работа с LDAP-подключениями

Таблица LDAP-подключений отображается в разделе Пользователи на вкладке LDAP-подключение. Информация о LDAP-подключениях отображается в следующих столбцах таблицы:

• Имя – имя LDAP-подключения.
• Тип – тип подключения. В этом столбце всегда отображается значение LDAP.
• Хост – имя хоста удаленного сервера.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Создание LDAP-подключения

Если вы хотите, чтобы LDAP-пользователи или группы LDAP-пользователей могли войти в веб-интерфейс оркестратора, используя свои учетные данные, вам нужно создать LDAP-подключение, с помощью которого оркестратор подключается к удаленному серверу, после чего перейти к созданию LDAP-пользователей или групп LDAP-пользователей.

Чтобы создать LDAP-подключение:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Нажмите на кнопку + LDAP.
4. В отобразившейся области настройки в поле Имя введите имя LDAP-подключения.
5. В поле Домен введите FQDN домена удаленного сервера.
6. В поле Альтернативное имя домена введите альтернативное имя или NETBIOS-имя домена. Пользователи вводят альтернативное имя, NETBIOS-имя или FQDN домена при входе в веб-интерфейс оркестратора.

   Например, если FQDN домена – example.com, а альтернативное имя – example, пользователь с именем admin может ввести следующие учетные данные при входе в веб-интерфейс оркестратора:

   • admin@example.com;
   • admin@example;
   • example.com\admin;
   • example\admin.
7. В поле LDAP-хост введите имя хоста удаленного сервера. Поддерживаются следующие форматы имени хоста:
   • ldap://<имя хоста>:<номер порта> – стандартный LDAP-сервер. Порт по умолчанию: 389.
   • ldaps://<имя хоста>:<номер порта> – LDAP-сервер с SSL-аутентификацией. Порт по умолчанию: 636.

   Например, если вы вводите ldap://example.com:100, имя хоста удаленного сервера – example.com, а номер порта – 100.

8. В поле Базовое различающееся имя введите базовое различающееся имя (англ. base distinguished name), которое оркестратор использует как начальную точку поиска учетных записей пользователей в директории удаленного сервера. Поддерживаются следующие форматы базового различающегося имени:
   • Для поиска в OpenLDAP введите базовое различающееся имя в формате OU=<значение>,OU=<значение>, где OU – структура организационных единиц в директории удаленного сервера. Например, если вы вводите OU=OU_example1,OU=OU_example2, начальной точкой поиска учетных записей пользователей является организационная единица OU_example2, находящаяся внутри OU_example1.
   • Для поиска в Microsoft Active Directory введите базовое различающееся имя в формате DC=<значение>,DC=<значение>, где DC – компоненты домена удаленного сервера. Например, если вы вводите DC=example,DC=com, начальной точкой поиска учетных записей пользователей является домен example.com.
9. В раскрывающемся списке Атрибут поиска выберите атрибут, который оркестратор использует для поиска учетных записей пользователей в директории удаленного сервера:
   • uid (OpenLDAP) – идентификатор пользователя UID (user ID) для поиска в OpenLDAP. Значение по умолчанию.
   • sAMAccountName (Active Directory) – pre-Windows 2000 имя пользователя (англ. pre-Windows 2000 logon name) для поиска в Microsoft Active Directory.
10. В поле Различающееся имя введите различающееся имя (англ. distinguished name) для аутентификации оркестратора в удаленном сервере. Поддерживаются следующие форматы различающегося имени:
    • Для аутентификации в openLDAP введите значение в формате UID=<значение>,OU=<значение>, где UID – идентификатор пользователя, а OU – структура организационных единиц в директории удаленного сервера, в которой находится пользователь. Например, если вы вводите UID=user_example,OU=OU_example, для аутентификации оркестратора в удаленном сервере используется пользователь с идентификатором user_example, который находится в организационной единице OU_example.
    • Для аутентификации в Microsoft Active Directory введите значение в формате CN=<значение>,OU=<значение>,DC=<значение>,DC=<значение>, где CN – общее имя (англ. common name) пользователя, OU – структура организационных единиц в директории удаленного сервера, в которой находится пользователь, а DC – компоненты домена пользователя. Например, если вы вводите CN=user_example,OU=OU_example,DC=example,DC=com, для аутентификации оркестратора в удаленном сервере используется пользователь с именем user_example, который находится в организационной единице OU_example в домене example.com.
11. В поле Пароль привязки введите пароль удаленного сервера для аутентификации оркестратора в удаленном сервере. Вы можете просмотреть введенный пароль, нажав на значок просмотра .
12. Если вы хотите убедиться в доступности удаленного сервера, нажмите на кнопку Проверить аутентификацию.
13. Нажмите на кнопку Создать.

LDAP-подключение будет создано и отобразится в таблице.

Изменение LDAP-подключения

Чтобы изменить LDAP-подключение:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Нажмите на LDAP-подключение, которое вы хотите изменить.
4. В отобразившейся области настройки при необходимости измените параметры LDAP-подключения. Описание параметров см. в инструкции по созданию LDAP-подключения.
5. Нажмите на кнопку Сохранить.

LDAP-подключение будет изменено и обновится в таблице.

Изменение пароля LDAP-подключения

Вы можете изменить пароль удаленного сервера, указанный при создании LDAP-подключения, чтобы оркестратор использовал новый пароль для аутентификации в удаленном сервере.

Чтобы изменить пароль LDAP-подключения:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Нажмите на LDAP-подключение, пароль которого вы хотите изменить.
4. В верхней части отобразившейся области настройки нажмите на кнопку Управление → Изменить пароль.
5. В открывшемся окне в полях Новый пароль и Подтверждение пароля введите новый пароль.
6. Нажмите на кнопку Сохранить.

Пароль LDAP-подключения будет изменен.

Удаление LDAP-подключения

Удаленные LDAP-подключения невозможно восстановить.

Чтобы удалить LDAP-подключение:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Нажмите на LDAP-подключение, которое вы хотите удалить.
4. В верхней части отобразившейся области настройки нажмите на кнопку Управление → Удалить.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

LDAP-подключение будет удалено и перестанет отображаться в таблице.

Работа с пользователями

Таблица пользователей отображается в разделе Пользователи. Информация о пользователях отображается в следующих столбцах таблицы:

• Имя – имя пользователя.
• Тенант – тенант, которому назначен пользователь.
• Роль – роль пользователя:
  • Администратор.
  • Тенант.
• Источник – тип пользователя:
  • Локальный – локальный пользователь.
  • LDAP – LDAP-пользователь.
• Группы – группа пользователя.
• Состояние – статус пользователя:
  • В сети.
  • Не в сети.
  • Заблокирован.
• Двухфакторная аутентификация – статус двухфакторной аутентификации пользователя:
  • Включено – для пользователя включена двухфакторная аутентификация.
  • Выключено – для пользователя выключена двухфакторная аутентификация.
  • Повторная инициализация – для пользователя выполняется повторная двухфакторная аутентификация.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Создание пользователя

Вы можете создавать локальных и LDAP-пользователей. Учетные данные локальных пользователей хранятся в базе данных оркестратора. Учетные данные LDAP-пользователей хранятся на удаленном сервере. Если вы хотите, чтобы LDAP-пользователи могли войти в веб-интерфейс оркестратора, используя свои учетные данные, вам нужно создать LDAP-подключение, с помощью которого оркестратор подключается к удаленному серверу, после чего перейти к созданию LDAP-пользователей.

Чтобы создать пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на кнопку + Пользователь.
3. В отобразившейся области настройки в раскрывающемся списке Источник выберите тип пользователя:
   • Локальный. Значение по умолчанию. При выборе этого значения в полях Пароль и Подтверждение пароля введите пароль пользователя. Пароль должен содержать как минимум одну прописную букву латинского алфавита (A–Z), одну строчную букву (a–z), одну цифру и один специальный символ. Длина пароля: от 8 до 50 символов. Вы можете просмотреть введенный пароль, нажав на значок просмотра .
   • LDAP.
4. В поле Имя пользователя введите имя пользователя. Формат имени пользователя на удаленном сервере: user@domain или domain\user.
5. В раскрывающемся списке Роль выберите роль пользователя:
   • Администратор.
   • Тенант.
6. Если вы хотите включить двухфакторную аутентификацию для пользователя, установите флажок Двухэтапная аутентификация. По умолчанию флажок снят. При следующем входе в веб-интерфейс оркестратора пользователю нужно будет пройти двухфакторную аутентификацию.

   Вы не можете включить двухфакторную аутентификацию для отдельного пользователя, если двухфакторная аутентификация выключена для всех пользователей.

7. Если вы хотите назначить пользователю право доступа, в раскрывающемся списке Права доступа выберите созданное право доступа. По умолчанию пользователю назначается право доступа Full access, которое предоставляет полный доступ к веб-интерфейсу оркестратора.
8. Если вы хотите, чтобы при каждом действии пользователя создавался запрос на подтверждение, установите флажок Требуется подтверждение запроса. По умолчанию флажок снят, и пользователь может выполнять действия без подтверждения.
9. В поле Имя введите имя сотрудника.
10. В поле Фамилия введите фамилию сотрудника.
11. При необходимости укажите дополнительную информацию о пользователе:
    1. В поле Email введите адрес электронной почты.
    2. В поле Описание введите краткое описание пользователя.
12. Нажмите на кнопку Создать.

Пользователь будет создан и отобразится в таблице. По умолчанию пользователь заблокирован.

Вам нужно разблокировать пользователя, чтобы предоставить этому пользователю доступ к веб-интерфейсу оркестратора.

Разблокировка и блокировка пользователя

По умолчанию созданные пользователи заблокированы. Вам нужно разблокировать пользователя, чтобы предоставить этому пользователю доступ к веб-интерфейсу оркестратора.

Чтобы разблокировать или заблокировать пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на пользователя, которого вы хотите разблокировать или заблокировать.
3. В верхней части отобразившейся области настройки нажмите на кнопку Управление → Разблокировать или Заблокировать.

Пользователь будет разблокирован или заблокирован.

Изменение пользователя

Вы не можете изменить тип и имя пользователя. Изменение пароля локального пользователя описано в отдельной инструкции.

Чтобы изменить пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на пользователя, которого вы хотите изменить.
3. В отобразившейся области настройки при необходимости измените параметры пользователя. Описание параметров см. в инструкции по созданию пользователя.
4. Нажмите на кнопку Сохранить.

Пользователь будет изменен и обновится в таблице.

Изменение пароля локального пользователя

Пароли LDAP-пользователей хранятся на удаленных серверах, и их невозможно изменить в веб-интерфейсе оркестратора.

Чтобы изменить пароль локального пользователя:

1. Перейдите к изменению пароля локального пользователя:
   • Если вам назначена роль администратора платформы, и вы хотите изменить пароль созданного локального пользователя, в меню перейдите в раздел Пользователи, нажмите на локального пользователя и нажмите на кнопку Управление → Изменить пароль.
   • Если вам назначена роль тенанта, и вы хотите изменить свой пароль, в нижней части меню нажмите на значок настройки → Изменить пароль.
2. В открывшемся окне в полях Новый пароль и Подтверждение пароля введите новый пароль. Пароль должен содержать как минимум одну прописную букву латинского алфавита (A–Z), одну строчную букву (a–z), одну цифру и один специальный символ. Длина пароля: от 8 до 50 символов. Вы можете просмотреть введенный пароль, нажав на значок просмотра .
3. Нажмите на кнопку Сохранить.

Пароль локального пользователя будет изменен.

Повторная двухфакторная аутентификация пользователя

Вы можете выполнить повторную двухфакторную аутентификацию пользователя, если этот пользователь утратил доступ к сгенерированному при предыдущей двухфакторной аутентификации уникальному коду для входа в веб-интерфейс оркестратора.

Чтобы выполнить повторную аутентификацию пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на пользователя, для которого вы хотите выполнить повторную двухфакторную аутентификацию.
3. В верхней части отобразившейся области настройки нажмите на кнопку Управление → Повторно инициализировать двухэтапную аутентификацию.

При следующем входе в веб-интерфейс оркестратора пользователю нужно будет пройти двухфакторную аутентификацию.

Удаление пользователя

Удаленных пользователей невозможно восстановить.

Чтобы удалить пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на пользователя, которого вы хотите удалить.
3. В верхней части отобразившейся области настройки нажмите на кнопку Управление → Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Пользователь будет удален и перестанет отображаться в таблице.

Работа с группами LDAP-пользователей

Таблица групп LDAP-пользователей отображается в разделе Пользователи. Информация о группах LDAP-пользователей отображается в следующих столбцах таблицы:

• Имя – имя группы LDAP-пользователей.
• Тенант – тенант, которому назначена группа LDAP-пользователей.

  Вы можете назначить тенанту группу LDAP-пользователей, чтобы эта группа LDAP-пользователей могла входить на портал самообслуживания тенанта и управлять экземпляром SD-WAN, который был развернут для тенанта. Для назначения тенанту группы LDAP-пользователей вам нужно назначить группе LDAP-пользователей роль тенанта при создании или изменении группы LDAP-пользователей.

  Чтобы назначить тенанту группу LDAP-пользователей:

  1. В меню перейдите в раздел Тенанты.

     Отобразится страница управления тенантами.

  2. В блоке Тенанты выберите тенанта, которому вы хотите назначить группу LDAP-пользователей.
  3. В блоке Группы пользователей нажмите на кнопку + Изменить.
  4. В открывшемся окне в блоке Группы выберите группу LDAP-пользователей, которую вы хотите назначить тенанту.

     Группа пользователей отобразится в блоке Назначить группы.

  5. Нажмите на кнопку Сохранить.

  Группа LDAP-пользователей будет назначена тенанту и отобразится в блоке Группы пользователей.

• Роль – роль LDAP-пользователей.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Создание группы LDAP-пользователей

Учетные данные групп LDAP-пользователей хранятся на удаленном сервере. Если вы хотите, чтобы группа LDAP-пользователей могла войти в веб-интерфейс оркестратора, используя свои учетные данные, вам нужно создать LDAP-подключение, с помощью которого оркестратор подключается к удаленному серверу, после чего перейти к созданию группы LDAP-пользователей.

Если пользователь состоит в нескольких группах LDAP-пользователей на удаленном сервере, мы рекомендуем создать только одну из этих групп LDAP-пользователей в веб-интерфейсе оркестратора. Если в веб-интерфейсе оркестратора создано несколько групп LDAP-пользователей, пользователь, являющийся участником всех этих групп LDAP-пользователей, входит в веб-интерфейс оркестратора как участник группы LDAP-пользователей, которая была создана раньше всех остальных.

Чтобы создать группу LDAP-пользователей:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Группы.

   Отобразится таблица групп LDAP-пользователей.

3. Нажмите на кнопку + Группа пользователей.
4. В отобразившейся области настройки в поле Имя введите имя группы LDAP-пользователей на удаленном сервере в формате user@domain или domain\user.
5. В раскрывающемся списке Роль выберите роль LDAP-пользователей в группе:
   • Администратор.
   • Тенант.
6. Если вы хотите назначить право доступа группе LDAP-пользователей, в раскрывающемся списке Права доступа выберите созданное право доступа. По умолчанию группе LDAP-пользователей назначается право доступа Full access, которое предоставляет полный доступ к веб-интерфейсу оркестратора.

   Если вы хотите включить двухфакторную аутентификацию для группы LDAP-пользователей, установите флажок Двухэтапная аутентификация. По умолчанию флажок снят. При следующем входе в веб-интерфейс оркестратора пользователям LDAP-группы нужно будет пройти двухфакторную аутентификацию.

   Когда двухфакторная аутентификация включена для группы LDAP-пользователей, прошедшие двухфакторную аутентификацию LDAP-пользователи отображаются в таблице пользователей. Вы можете выключить двухфакторную аутентификацию для LDAP-пользователя при изменении этого пользователя.

   Вы не можете включить двухфакторную аутентификацию для группы LDAP-пользователей, если двухфакторная аутентификация выключена для всех пользователей.

7. Нажмите на кнопку Создать.

Группа LDAP-пользователей будет создана и отобразится в таблице.

Изменение группы LDAP-пользователей

Вы не можете изменить тип и имя группы LDAP-пользователей.

Чтобы изменить группу пользователей:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Группы.

   Отобразится таблица групп LDAP-пользователей.

3. Нажмите на группу LDAP-пользователей, которую вы хотите изменить.
4. В отобразившейся области настройки при необходимости измените параметры группы LDAP-пользователей. Описание параметров см. в инструкции по созданию группы LDAP-пользователей.
5. Нажмите на кнопку Сохранить.

Группа LDAP-пользователей будет изменена и обновится в таблице.

Удаление группы LDAP-пользователей

Удаленные группы LDAP-пользователей невозможно восстановить.

Чтобы удалить группу LDAP-пользователей:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Группы.

   Отобразится таблица групп LDAP-пользователей.

3. Нажмите на группу LDAP-пользователей, которую вы хотите удалить.
4. В верхней части отобразившейся области настройки нажмите на кнопку Управление → Удалить.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Группа LDAP-пользователей будет удалена и перестанет отображаться в таблице.

Включение и выключение двухфакторной аутентификации для всех пользователей

Вы можете включить или выключить двухфакторную аутентификацию для всех пользователей. Если двухфакторная аутентификация выключена для всех пользователей, вы не можете включить ее для локальных и LDAP-пользователей, а также для групп LDAP-пользователей. По умолчанию двухфакторная аутентификация выключена.

Чтобы включить или выключить двухфакторную аутентификацию для всех пользователей:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию будет выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Проверка подлинности.
3. Выполните одно из следующих действий:
   • Если вы хотите включить двухфакторную аутентификацию для всех пользователей, установите флажок Двухэтапная аутентификация для всех пользователей. При следующем входе в веб-интерфейс оркестратора всем пользователям нужно будет пройти двухфакторную аутентификацию.
   • Если вы хотите выключить двухфакторную аутентификацию для всех пользователей, снимите флажок Двухэтапная аутентификация для всех пользователей.

   По умолчанию флажок установлен.

Двухфакторная аутентификация будет включена или выключена для всех пользователей.

Работа с запросами на подтверждение

Если при создании или изменении пользователя вы установили флажок Требуется подтверждение запроса, при каждом действии пользователя автоматически создается запрос на подтверждение. Вы можете подтвердить, отклонить и удалить запрос на подтверждение. При подтверждении запроса происходит выполнение связанного с ним действия, а отклоненный запрос сохраняется в веб-интерфейсе оркестратора.

Чтобы подтвердить, отклонить или удалить запрос на подтверждение:

1. В меню перейдите в раздел Подтверждение.

   Отобразится таблица запросов на подтверждение. Информация о запросах на подтверждение отображается в следующих столбцах таблицы:

   • Метод – метод API, который был использован для создания запроса на подтверждение.
   • URL – веб-адрес API.
   • Подсказка – краткое описание запроса на подтверждение.
   • Пользователь – имя пользователя, действие которого привело к созданию запроса на подтверждение.
   • Заголовки – заголовки API.
   • Создан – дата и время создания запроса на подтверждение.
   • Статус – статус выполнения запроса на подтверждение:
     • Подтверждено.
     • Отклонено.
     • Ошибка.
     • Ожидание подтверждения.

   Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

2. Выполните одно из следующих действий:
   • Для подтверждения запроса нажмите рядом с ним на кнопку Разрешить.
   • Для отклонения запроса нажмите рядом с ним на кнопку Отклонить.
   • Для удаления запроса нажмите рядом с ним на кнопку Удалить.

   Если вы хотите подтвердить, отклонить или удалить несколько запросов на подтверждение одновременно, установите флажки рядом с запросами и выберите действие, нажав на кнопку Действие в верхней части таблицы.

Запросы на подтверждение будут подтверждены, отклонены или удалены.

Ограничение продолжительности пользовательского сеанса

По умолчанию если пользователь бездействует на протяжении 3600 секунд (одного часа) после входа в веб-интерфейс оркестратора, пользовательский сеанс прекращается. Вы можете вручную указать время возможного бездействия.

Чтобы ограничить продолжительность пользовательского сеанса:

1. В нижней части меню нажмите на значок настройки → Время истечения сессии.
2. В открывшемся окне введите время в секундах, по истечении которого пользовательский сеанс прекращается при бездействии. Диапазон значений: от 60 до 86 400. Значение по умолчанию: 3600.
3. Нажмите на кнопку Сохранить.

Пользователи будут автоматически выходить из веб-интерфейса оркестратора при бездействии по истечении указанного времени.

Просмотр и завершение активных пользовательских сеансов

Вы можете просматривать список пользовательских сеансов, в которых использовалась ваша учетная запись, а также завершать эти пользовательские сеансы.

Чтобы просмотреть или завершить активные пользовательские сеансы:

1. В нижней части меню нажмите на значок настройки → Активные сессии.

   Отобразится таблица активных пользовательских сеансов. Информация о пользовательских сеансах отображается в следующих столбцах таблицы:

   • IP-адрес – IP-адрес пользователя.
   • Пользовательский агент – информация о браузере и оперативной системе пользователя.
   • Дата – дата начала пользовательского сеанса.

   Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

2. Завершите пользовательские сеансы одним из следующих способов:
   • Если вы хотите завершить отдельный пользовательский сеанс, нажмите рядом с ним на кнопку Закончить сессию.
   • Если вы хотите завершить несколько пользовательских сеансов, установите рядом с ними флажки и в верхней части таблицы нажмите на кнопку Действия → Закончить сессию.

Пользовательские сеансы будут завершены.