Пассворк 7: Управление пользователями

В версии Пассворк 7.0 в качестве основных инструментов управления сотрудниками выступают роли и группы:

Роли определяют доступ пользователей к настройкам и функциям Пассворка
Группы позволяют автоматически подключать пользователей к сейфам и папкам на основе заданных уровней доступа

Помимо командных настроек, вы можете управлять правами и возможностями отдельных пользователей для обеспечения максимальной гибкости команды.

В основе нашего продукта лежит продуманное разграничение доступа к настройкам системы и хранимым данным, поэтому для управления пользователями мы также применяем:

Принцип наследования прав, позволяющий выстраивать архитектуру без необходимости настройки доступов дочерних директорий
Взаимодействие с Пассворком через API
Интеграцию с AD/LDAP
Интеграцию с SSO
Систему приглашений и возможность самостоятельной регистрации

Управление командным доступом

Роли

Новый функционал ролей объединяет в себе права администрирования, статусы и пользовательские настройки из предыдущих версий Пассворка

Роли позволяют автоматически предоставлять доступ к определенным настройкам и функциям Пассворка множеству пользователей одновременно.

В Пассворке доступно три базовых роли: Владелец, Администратор и Сотрудник. По умолчанию Владелец и Администратор обладают одинаковыми правами, но Владельцем может быть только один пользователь, а его права не могут быть изменены.

Вы можете создать неограниченное количество ролей с индивидуальными правами и настройками, предоставляя сотрудникам только те права, которые необходимы им для выполнения своих обязанностей.

Например:

Системный администратор сможет пользоваться режимом отладки, настраивать LDAP и фоновые задачи, при этом не имея доступа к хранимым паролям
Сотрудники службы безопасности смогут просматривать подробную историю действий и управлять политиками безопасности
HR-менеджер сможет добавлять пользователей и управлять ими без доступа к настройкам системы
Для пользователей с доступом к особо уязвимым данным можно установить обязательную двухфакторную аутентификацию при входе

Пользователь может иметь только одну роль: при назначении новой роли предыдущая снимается автоматически. При снятии роли пользователю присваивается базовая роль «Сотрудник».

Настройки роли поделены на блоки, каждый из которых отвечает за определенный функционал Пассворка.

С помощью специального блока Управление пользователями на основе ролей вы можете дать одной роли возможность управлять пользователями из другой.

Группы

Группы позволяют автоматически добавлять сотрудников в сейф и назначать им нужный уровень доступа, исключая необходимость делать это вручную. Этот формат управления пользователями более интуитивен и приближен к общепринятым стандартам, например, используемым в Active Directory, OpenLDAP, FreeIPA или ALD Pro.

При добавлении нового пользователя в группу он автоматически подключается к соответствующим сейфам, но доступ будет предоставлен только после подтверждения запроса администратором директории.

Пользователь может состоять в нескольких группах, при этом если его группы подключены к одному и тому же сейфу, то будет применяться наивысший уровень доступа

Управление отдельными пользователями

При необходимости вы можете точечно изменить уровни допуска определенных пользователей или групп при уже настроенном командном доступе. Это можно сделать на странице самого пользователя, либо в настройках доступа к директории

Через страницу пользователя

Откройте страницу пользователя, доступ которого вы хотите изменить, через меню Управления пользователями:

На появившейся странице вы увидите список сейфов, к которым у пользователя может быть допуск. Здесь вы можете изменить его уровень доступа к определенным сейфам или папкам, а также сменить роль пользователя.

Например, чтобы не создавать отдельную группу для руководителя отдела, достаточно повысить уровень доступа менеджера, а права остальных сотрудников при этом останутся унаследованы от своей группы.

Через настройки доступа к директории

Пассворк позволяет управлять пользователями и группами, подключенными к сейфу и папкам с помощью Настроек доступа к сейфу и Настроек доступа к папке соответственно. За исключением функционала запросов, эти настройки полностью аналогичны, поэтому в примерах используются настройки сейфа.

Нажмите на счётчик пользователей в верхней части сейфа, чтобы открыть Настройки доступа к сейфу.

Настройки доступа к сейфу делятся на три раздела: Пользователи, Группы и Запросы

Пользователи

В этой вкладке вы можете добавить в сейф нового пользователя, удалить уже имеющихся или изменить их доступ, не прибегая к функционалу групп.

Уровень доступа, выставленный пользователю вручную, будет иметь больший приоритет перед доступом от групп

Группы

В этой вкладке перечислены все группы, подключенные к данному сейфу. Здесь можно добавить в сейф новую группу или изменить доступ уже имеющихся групп:

Запросы

При добавлении в группу нового пользователя, администратору сейфа потребуется подтвердить запрос в соответствующей вкладке Настроек доступа. Чтобы увидеть новые запросы, нажмите на красную иконку рядом с названием сейфа:

Если мастер-пароль пользователя был сброшен, потребуется заново подтвердить его доступ к сейфам