Пользователи
SberMobile Server построен как многопользовательский сервер. Как правило, одни люди устанавливают и контролируют сам SberMobile Server, другие - разрабатывают приложения в режиме low-code, третьи разворачивают и тестируют эти приложения, а конечные пользователи ежедневно работают с ними. Все эти администраторы/разработчики и конечные пользователи (операторы системы) могут работать в одной компании, но бывает, что конечный пользователь - это покупатель продукта или сервиса на базе SberMobile. В таком сложном окружении очень важно обеспечить общую безопасность и ограничить доступ к важным данным.
Пользователи получают доступ к серверу через учетные записи пользователей. Сразу после установки SberMobile Server в системе создается как минимум одна учетная запись, администратор по умолчанию.
Для того чтобы получить доступ к SberMobile Server, используя один из пользовательских интерфейсов (Web UI, SberMobile IIoT Platform Client и т.д.), необходимо провести аутентификацию и авторизацию на сервере. Единственной операцией, не требующей предварительной аутентификации, является саморегистрация.
SberMobile Server может иметь неограниченное количество учетных записей пользователя. Обычно ресурсами системы владеет пользователь, создавший их. Права доступа для пользователя настраиваются путем редактирования таблицы прав доступа, в которой определяется уровень прав доступа для пользователя к каждому ресурсу системы. Это дает возможность администратору внедрять сложные схемы обеспечения безопасности, фактически отражающие роль пользователя в организации. Например:
Разрешить доступ одним пользователям к просмотру/модификации устройств и ресурсов (тревог, отчетов...), принадлежащих другому пользователя, т.е. совместное использование ресурса.
Разрешить одному пользователю (руководителю группы) менять права доступа некоторых других пользователей (членов группы).
Ограничить доступ пользователя к его собственным устройствам и ресурсам, например, включить просмотр устройства и отчетов в режиме "только чтение".
Временно деактивировать учетную запись пользователя, отозвав все права доступа.
Каждая запись в таблице прав доступа может определять уровень прав доступа пользователя для одного ресурса, группы ресурсов или даже под-дерева зависимых ресурсов.
Редактируемые права доступа пользователя также облегчают жизнь системному администратору, позволяя ему просматривать только относящиеся к его работе ресурсы. Например, следующая схема предоставления прав доступа часто используется для систем учета рабочего времени и контроля доступа:
Системный администратор имеет полные права доступа.
Руководство компании имеет доступ к отчетам.
Служба HR может просматривать/редактировать профили сотрудников и настраивать смены.
Служба безопасности может просматривать в реальном времени события входа/выхода, а также историю этих событий.
IT-инженеры могут редактировать шаблоны отчетов, создавать новые отчеты, просматривать историю событий и вносить изменения в базу данных сотрудников.
У каждой учетной записи пользователя имеется набор предпочтений, таких как часовой пояс, формат даты/времени и предпочтительный язык.
Ссылка по теме: Предоставление доступа одному пользователю к объектам другого пользователя. |
Обычные и ролевые пользователи
Учетная запись пользователя может соответствовать либо одному физическому лицу (например, John Doe или Mary Shelley), либо определенной роли системных операторов (например, "Оператор зоны Лос-Анджелес", "Дизайнер отчетов" или "Сетевой инженер"). Учетные записи физических лиц (обычные) могут либо иметь собственные таблицы прав доступа, либо наследовать права доступа от учетных записей на основе ролей.
Более подробно см. в разделе Обычные и ролевые аккаунты пользователей.
Внешняя аутентификация пользователей
С большими инсталляциями SberMobile работают тысячи людей, и каждый из них наследует одну или несколько ролей. Создание и поддержание индивидуальных учетных записей для такого количества пользователей слишком трудозатратно. В то же время, есть возможность аутентификации пользователей через внешние системы (такие как LDAP или Microsoft Active Directory), а авторизация (присвоение прав пользователя) происходит с использованием ролевых учетных записей пользователя SberMobile Server.
Более подробно см. в разделе Внешняя аутентификация.
Саморегистрация пользователей
Саморегистрация пользователя очень полезна на первых стадиях развертывания системы, либо при предоставлении публичного облачного сервиса. Пользователи системы могут создавать свои собственные аккаунты и предоставлять некоторые личные данные (имя, e-mail, компания/отдел, номер телефона и т.д.). После прохождения регистрации они получают свои собственные логин и пароль.
Более подробно см. в разделе Саморегистрация пользователей.
Владение
Каждый пользовательский аккаунт владеет различными системными объектами: Тревогами, Виджетами и т.д. Таблица прав доступа пользователя может не разрешать ему доступ к контекстам объектов других пользователей или даже к контекстам некоторых собственных объектов. Объекты, к которым есть доступ у вновь созданных пользователей, определяются глобальной настройкой SberMobile Server Права доступа по умолчанию.
Администрирование пользователей
Для администрирования пользователей применяются два контекста. Один из них - это общий контекст Пользователи для действий, относящихся ко всем учетным записям пользователей. Другой - контекст Пользователь, относящийся к отдельной учетной записи.