Роли
Ролевая модель в Indeed CM позволяет гибко управлять доступом администраторов и операторов к функциям Консоли управления. Каждой роли назначается набор привилегий, которые определяют, какие действия могут выполнять члены роли.
Роли и привилегии настраиваются в разделе Конфигурация→Роли. Пока роли не назначены, все действия запрещены.
Предварительные настройки
При первоначальной настройке Indeed CM доступ к Консоли управления есть только у специальной учетной записи администратора ролей. Администратор ролей назначается в Мастере настройки в разделе Контроль доступа→Администратор ролей.
Примечание
Учетная запись администратора ролей должна иметь атрибут User Principal Name (UPN) и входить в каталог пользователей.
Для первоначальной настройки прав доступа используйте администратора ролей, чтобы предоставить права управления Indeed CM другим пользователям:
- Войдите в Консоль управления под учетной записью администратора ролей.
- Перейдите в раздел Конфигурация→Роли.
- Нажмите
напротив роли Администратор. - В параметре Состав роли нажмите Добавить.
- Добавьте всех сотрудников, которые должны иметь полный доступ к функциям Консоли управления, в том числе к управлению ролями. Выберите:
- Группа, чтобы добавить группу пользователей. В поисковой строке введите Общее имя группы, чтобы найти группу пользователей.
- Пользователь, чтобы добавить определенного пользователя. В поисковой строке введите Общее имя или Логин, чтобы найти пользователя.
- Нажмите Сохранить.
Все пользователи с ролью Администратор могут управлять ролевой моделью Indeed CM – создавать новые роли, назначать привилегии и добавлять пользователей в роли.
Роли по умолчанию
По умолчанию в Indeed CM установлены роли Администратор и Оператор.
| Администратор |
|
| Оператор |
|
Список привилегий
| Привилегия | Администратор | Оператор |
|---|---|---|
| Пользователь | ||
| Поиск пользователей |  | |
| Просмотр пользователя | | |
| Разблокировка пользователя | | |
| Сброс ответов на секретные вопросы | | |
| Загрузка фото | | |
| Сброс пароля пользователя | | |
| Одобрение данных запроса СМЭВ | | |
| Назначение пользователя УЦ | | |
| Назначение обучающих курсов | |  |
| Завершение обучающих курсов | | |
| Одобрение завершения обучающих курсов | | |
| Отмена обучающих курсов | | |
| Конфигурация | ||
| Просмотр политики | | |
| Создание политики | | |
| Изменение политики | | |
| Удаление политики | | |
| Просмотр назначения политики | | |
| Создание назначения политики | | |
| Изменение назначения политики | | |
| Удаление назначения политики | | |
| Просмотр лицензии | | |
| Добавление лицензии | | |
| Удаление лицензии | | |
| Просмотр типа устройства | | |
| Добавление типа устройства | | |
| Изменение типа устройства | | |
| Удаление типа устройства | | |
| Просмотр организационной структуры | | |
| Изменение организационной структуры | | |
| Просмотр роли | | |
| Создание роли | | |
| Изменение роли | | |
| Удаление роли | | |
| Просмотр тега | | |
| Создание тега | | |
| Изменение тега | | |
| Удаление тега | | |
| Просмотр шаблона печати | | |
| Добавление шаблона печати | | |
| Изменение шаблона печати | | |
| Удаление шаблона печати | | |
| Просмотр типа СКЗИ | | |
| Добавление типа СКЗИ | | |
| Изменение типа СКЗИ | | |
| Удаление типа СКЗИ | | |
| Просмотр шаблона нормативных документов | | |
| Изменение шаблона нормативных документов | | |
| Просмотр обучающих курсов | | |
| Создание обучающих курсов | | |
| Изменение обучающих курсов | | |
| Удаление обучающих курсов | | |
| Просмотр настроек почтового сервера | | |
| Редактирование настроек почтового сервера | | |
| Просмотр групп получателей | | |
| Добавление групп получателей | | |
| Изменение групп получателей | | |
| Удаление групп получателей | | |
| Просмотр уведомлений администратора | | |
| Добавление уведомлений администратора | | |
| Изменение уведомлений администратора | | |
| Удаление уведомлений администратора | | |
| Просмотр шаблонов администратора | | |
| Изменение шаблонов администратора | | |
| Просмотр справочника журнала учета | | |
| Создание справочника журнала учета | | |
| Изменение справочника журнала учета | | |
| Удаление справочника журнала учета | | |
| Просмотр шаблона журнала учета | | |
| Создание шаблона журнала учета | | |
| Изменение шаблона журнала учета | | |
| Удаление шаблона журнала учета | | |
| Журнал событий | ||
| Просмотр журнала событий | | |
| Сводная информация | | |
| Просмотр сводной информации | | |
| Устройства | ||
| Просмотр репозитория устройств | | |
| Просмотр информации об устройстве | | |
| Добавление устройства | | |
| Изменение комментария устройства | | |
| Изменение тегов устройства | | |
| Просмотр PIN-кода администратора | | |
| Изменение PIN-кода администратора | | |
| Задание PIN-кода администратора | | |
| Инициализация устройства | | |
| Назначение устройства | | |
| Выпуск устройства | | |
| Включение устройства | | |
| Выключение устройства | | |
| Обновление устройства | | |
| Отмена обновления устройства | | |
| Замена устройства | | |
| Сброс PIN-кода | | |
| Изменение PIN-кода | | |
| Блокировка устройства | | |
| Разблокировка устройства | | |
| Печать устройства | | |
| Отзыв устройства | | |
| Очистка устройства | | |
| Отмена назначения устройства | | |
| Удаление устройства | | |
| Сертификаты | ||
| Просмотр репозитория сертификатов | | |
| Устройства AirCard | ||
| Изменение привязки AirCard | | |
| Удаление AirCard | | |
| Агенты | ||
| Просмотр репозитория агентов | | |
| Изменение привязки устройства к агенту | | |
| Обновление статуса агента | | |
| Удаление агента | | |
| Обновление имени агента | | |
| Обновление комментария агента | | |
| Удаление задачи | | |
| СКЗИ | ||
| Просмотр репозитория СКЗИ | | |
| Добавление СКЗИ | | |
| Назначение СКЗИ | | |
| Обновление СКЗИ | | |
| Уничтожение/изъятие СКЗИ | | |
| Документы | ||
| Просмотр репозитория документов | | |
| Добавление документа | | |
| Изменение документа | | |
| Удаление документа | | |
| Одобрение документа | | |
| Журналы учета | ||
| Просмотр журнала учета | | |
| Добавление записи в журнал учета | | |
| Изменение записи в журнале учета | | |
| Удаление записи из журнала учета | | |
Типы роли
| Глобальная | Права распространяются на все политики использования устройств. |
| Локальная | Права распространяются только на конкретные политики, к которым эта роль привязана. Члены локальной роли могут управлять только теми пользователями, которые попадают в область действия определенной политики. |
Примечание
Тип роли нельзя изменить после того, как роль уже создана.
Создание роли
- Глобальная
- Локальная
Чтобы создать глобальную роль:
- В разделе Роли нажмите Создать роль.
- Укажите имя роли.
- Выберите тип роли Глобальная.
- Чтобы добавить членов роли, в параметре Состав роли нажмите Добавить.
- Выберите:
- Группа, чтобы добавить группу пользователей. В поисковой строке введите Общее имя группы, чтобы найти группу пользователей.
- Пользователь, чтобы добавить определенного пользователя. В поисковой строке введите Общее имя или Логин, чтобы найти пользователя.
- Нажмите Добавить.
- Назначьте привилегии членам роли.
- Нажмите Создать.
Чтобы создать локальную роль:
- В разделе Роли нажмите Создать роль.
- Укажите имя роли.
- Выберите тип роли Локальная.
- Назначьте привилегии членам роли.
- Нажмите Создать.
- Чтобы добавить членов роли, перейдите в раздел Конфигурация→Назначения политик.
- Нажмите напротив политики, для которой вы хотите предоставить доступ членам локальной роли.
- В параметре Роли нажмите Добавить роль.
- Выберите созданную локальную роль и нажмите Добавить.
- Нажмите Сохранить.
Роль для службы Card Monitor
Для работы службы Card Monitor создайте отдельную сервисную роль, включите в нее учетную запись, от имени которой будет работать Card Monitor, и назначьте следующие привилегии:
- выключение устройства
- обновление устройства
- отмена обновления устройства
- отзыв устройства
- очистка устройства
- отмена назначения устройства
- удаление устройства
- удаление агента
- удаление задачи
- удаление записи из журнала учета
Если в Indeed CM настроена интеграция с КриптоПро DSS и Indeed AirCard Enterprise, назначьте следующие привилегии:
- выключение устройства КриптоПро DSS
- обновление устройства КриптоПро DSS
- отмена обновления устройства КриптоПро DSS
- отзыв устройства КриптоПро DSS
- удаление устройства КриптоПро DSS
- удаление AirCard
Подробнее о работе службы Card Monitor
Card Monitor – служба для контроля использования устройств, которая устанавливается автоматически вместе с сервером Indeed CM и выполняет следующие операции:
- отзыв и изъятие устройств пользователей, учетные записи которых удалены из каталога пользователей;
- отзыв временных устройств с истекшим сроком действия;
- выключение устройств пользователей, учетные записи которых были отключены;
- удаление учетных записей из каталога пользователей, учетные записи которых были отключены;
- установка или сброс статуса содержимого устройства;
- регистрация события Длительное отсутствие связи с агентом в журнале событий;
- удаление агентов, которые были неактивны в течение настраиваемого периода времени;
- рассылка почтовых уведомлений администраторам и пользователям о следующих событиях:
- истечение срока действия сертификатов пользователей, хранящихся на устройстве;
- одобрение/отклонение выпуска устройства;
- одобрение/отклонение обновления сертификатов на устройстве;
- одобрение/отклонение замены устройства;
- изменение политики, действующей на пользователя.