Управление пользователями
Пассворк позволяет выстроить гибкую систему доступов на основе ролей и групп, автоматизировать онбординг/офбординг и безопасно работать с внешними пользователями.
Сценарии использования
Простой онбординг сотрудников
Задача: быстро подключать новых сотрудников и автоматически выдавать им нужные права.
Решение:
Отправьте сотруднику приглашение для самостоятельной регистрации. Вы можете отправить приглашение по электронной почте либо в виде уникальной ссылки с заданным сроком действия.
При создании приглашения заранее назначьте группы, в которые пользователь будет автоматически добавлен при регистрации.
Вы также можете добавить пользователя вручную
Офбординг и мгновенное прекращение доступа
Задача: централизованно отзывать все доступы если сотрудник покидает компанию.
Решение:
Заблокируйте пользователя или удалите его учётную запись. Когда вы блокируете пользователя, его учетная запись полностью отключается от системы. Он не сможет войти в Пассворк, а его активные сессии будут прекращены.
Используйте фильтры «Пользователь» и «Угрозы» в Панели безопасности чтобы найти пароли, которые могут оставаться под угрозой после отключения сотрудника, и обновить их.
Если используется интеграция с AD/LDAP — управляйте доступами через группу‑источник и плановую синхронизацию
Временный доступ внешним подрядчикам
Задача: выдать сторонним пользователям доступ на срок проекта
Решение:
Создайте приглашение с датой истечения и добавьте подрядчика в проектную группу.
При необходимости назначьте роль с необходимыми настройками, оставив доступ только к определённым разделам Пассворка.
По завершении проекта деактивируйте или удалите группу и соответствующих пользователей, а затем смените использовавшиеся пароли.
Разделение обязанностей и делегирование администрирования
Задача: назначить для каждого отдела собственных администраторов без глобальных прав.
Решение:
Создайте отдельные роли для руководителей ИТ, финансов, продаж и других отделов. В блоке прав «Управление пользователями» включите функции, которые будут доступны администраторам.
Аналогичным образом создайте роли для сотрудников отделов, например «ИТ-отдел — сотрудники».
В администраторской роли включите «Управление пользователями на основе ролей», и выберите соответствующую роль сотрудников. Это позволит администраторам управлять сотрудниками строго своего отдела.
Также потребуется создать группы для нужных отделов — с помощью них будет распределяться доступ к сейфам и паролям. При необходимости администраторы смогут индивидуально изменить уровень доступ конкретных сотрудников.
Политика минимальных привилегий
Задача: ограничить права пользователей только необходимым минимумом.
Решение:
Выберите нужного пользователя и настройте его уровень доступа для сейфов и папок в разделе Доступы пользователя. Уровень «Только чтение» позволяет просматривать сейфы, папки и пароли, но не изменять их.
Проверьте права роли пользователя и предоставьте точечные разрешения только на требуемые операции.
Массовое назначение и быстрое перераспределение прав
Задача: быстро менять права большому количеству пользователей одновременно.
Решение:
Переназначайте права в настройках роли — изменения автоматически применяются всем связанным пользователям.
Используйте группы для управления доступом к сейфам и папкам. Вы можете массово добавлять или удалять пользователей через меню управления пользователями группы.
Интеграция с LDAP/AD
Задача: централизованно управлять учетными записями и группами из каталога.
Решение:
Импортируйте LDAP пользователей в соответствующем разделе настроек LDAP.
Сопоставьте группы AD с группами Пассворка, чтобы сотрудники автоматически получали нужные доступы.
Управляйте пользователями и правами через изменения в AD‑группах.
При необходимости вы можете предотвратить изменения пользователей во время синхронизации
Передача прав на время отсутствия руководителя
Задача: временно делегировать права руководителя без передачи логина и пароля.
Решение:
Во вкладке Роли откройте роль руководителя и временно добавьте туда сотрудника, который будет исполнять обязанности.
Зафиксируйте срок действия во внутренних процессах (тикет/календарь), чтобы по окончании периода удалить сотрудника из роли.
Ограниченный доступ для стажёров
Задача: выдать доступ стажёрам на период практики.
Решение:
Оставьте роли только необходимые права через редактирование роли и подключите группу к нужным сейфам.
Отправьте стажёрам приглашение и заранее назначьте группу «Стажёры».
По окончании практики временно отключите группу «Стажёры», чтобы быстро отозвать доступы, но иметь возможность использовать её повторно.
FAQ
Чем роли отличаются от групп?
Роли — это наборы административных прав и политик, применяющиеся к пользователям. Группы — это инструмент управления доступами к сейфам и папкам. Роли определяют «что пользователь может в системе», а группы — «к каким данным у него есть доступ».
Кто может приглашать новых пользователей?
Пользователи с соответствующими правами роли, установленными в разделе «Управление пользователями». Также ознакомьтесь со статьёй Приглашения.
Как быстро назначить доступы сотням пользователей?
Используйте роли и группы. Изменения в роли применяются ко всем связанным пользователям, а принадлежность к группе массово управляет доступами к сейфам.
Как ограничить полномочия администраторов?
Создайте отдельную роль для администраторов и уберите из них доступ к ненужным системным разделам (например, LDAP, системные настройки или типы сейфов). При необходимости включите «Управление пользователями на основе ролей», чтобы ограничить, какими пользователями они могут управлять.
Что произойдет с доступами при смене роли пользователя?
Права и политики из новой роли применятся автоматически. Доступы к данным, назначенные через группы, сохраняются, если вы не смените группу, в которой находится пользователь.
Как изменить доступ конкретного пользователя не меняя настройки группы?
Откройте Доступы пользователя и смените уровень доступа к сейфу или папке. Чтобы доступ поль�зователя снова зависел от его групп, выберите опцию Сбросить доступ.
Почему у пользователя остался старый доступ после смены группы?
Скорее всего, пользователю был предоставлен уровень доступа, отличный от доступа его группы. Откройте доступы пользователя и нажмите «Сбросить доступ» для сейфов или папок с индивидуальным доступом.
Можно ли добавить пользователя сразу в несколько групп?
Да, в отличие от ролей, пользователи могут состоять в нескольких группах одновременно.