2. Управление пользовательскими ролями в Secret Server

Системные администраторы ALM могут создавать пользовательские роли. Чтобы определить пользовательские роли, просмотрите список функций ALM в сочетании с разрешениями, потенциально применимыми к каждой функции.

• Роли отличаются друг от друга конкретными разрешениями, назначенными им в отношении каждой функции ALM.

• Пользовательская роль - это роль, которую вы создаете для удовлетворения конкретных потребностей бизнеса, когда встроенных ролей недостаточно.

После того, как вы установили разрешения для каждой функции для роли, вы добавляете пользователей или группы (или оба) в роль, тем самым предоставляя разрешения роли тем пользователям и пользователям, которые принадлежат к этим группам.

Как и во встроенных ролях, вы можете:

• изменить имя пользовательской роли

• включить или отключить пользовательскую роль

• включить или отключить автоматическое добавление новых пользователей в пользовательскую роль

• добавить или удалить пользователей из пользовательской роли

• добавить или удалить группы из пользовательской роли

права доступа

Права доступа определяют, какие действия пользователи могут выполнять в ALM. Отдельные разрешения в ALM включают в себя:

Создать позволяет создать объект, для которого вы предоставляете разрешение

Чтение позволяет пассивно использовать функцию, такую ​​как чтение (просмотр) списка объектов или просмотр сведений об объекте.

Обновление : позволяет вносить изменения в объект, для которого вы предоставляете разрешение, например, обновлять управляемую учетную запись.

Удалить : позволяет пользователю удалить объект, для которого вы предоставляете разрешение

Управление : предоставляет дополнительный административный доступ к объекту, к которому он применяется, для которого пользователь уже должен иметь права без прав администратора.

• Например, пользователи с разрешениями «Управление» для функции «Служба каталогов» могут выполнять синхронизацию вручную для объектов Active Directory.

Особенности, к которым применяются разрешения

При определении пользовательской роли вы указываете разрешения, которые пользовательская роль имеет в отношении определенных функций ALM. Функции, подлежащие контролю доступа через разрешения, включают в себя:

Токен API : доступ к функции токена API позволяет пользователю просматривать, создавать и управлять токенами API. Они позволяют пользователю получать токены на предъявителя, необходимые ALM для дальнейшей обработки.

Аудит : ALM регистрирует большинство событий, включая действия пользователя, системные события и активность удаленного работника. Разрешения аудита позволяют пользователю просматривать эти журналы.

Конфигурация . Пользователь с разрешениями Конфигурация может определить адрес электронной почты системного администратора.

Служба каталогов : с разрешениями службы каталогов пользователь может настроить интеграцию ALM с поставщиком услуг каталогов организации. В настоящее время ALM поддерживает Active Directory, но ожидая поддержки других поставщиков, разрешения службы каталогов позволяют пользователю указать поставщика или внешний домен. Для Active Directory дополнительные настройки включают группы AD, пользователей, сопоставления групп и подразделения.

Уведомление по электронной почте : ALM предоставляет несколько широко применимых категорий уведомлений по электронной почте. Уведомления по электронной почте информируют пользователей и группы пользователей о событиях, влияющих на объекты, с которыми они имеют соединение - например, имя пользователя в управляющем шаблоне рабочего процесса названо утверждающим для шага в рабочем процессе.

Группа : Группы являются коллекциями пользователей. Группы используются для более эффективного применения одних и тех же действий управления сразу к нескольким пользователям. Вы можете назначить группы на этапы одобрения так же, как и отдельному пользователю; аналогично вы можете назначить Владение Аккаунтом Группе.

Управляемая учетная запись . Управляемая учетная запись - это учетная запись службы AD, созданная и управляемая с помощью ALM.

Шаблон предоставления : с разрешениями Шаблон предоставления, пользователи могут создавать шаблоны рабочих процессов для управления процессом утверждения учетных записей службы AD.

Рабочий процесс шаблона предоставления. Разрешения рабочего процесса шаблона позволяют пользователю задавать этапы утверждения шаблона рабочего процесса. Настройка шагов одобрения включает в себя определение того, какие пользователи и группы должны утверждать предоставление запрашиваемой учетной записи службы и в каком порядке - рабочий процесс.

Подтверждение предоставления . Чтобы назначить утверждающим для шагов утверждения, установленных в шаблоне рабочего процесса, пользователь должен иметь разрешения для утверждения предоставления. Это дает доступ к разделу утверждений ALM, в котором перечислены запросы, ожидающие рассмотрения утверждающим, и доступ ко всем деталям запроса.

Удаленный работник : пользователь должен иметь разрешения удаленного работника для загрузки установщика для службы Windows удаленного работника. Это разрешение также позволяет пользователю просматривать в ALM список установленных удаленных рабочих и назначать удаленных рабочих в пулы удаленных рабочих.

Роль : разрешение «Роли» позволяет пользователю создавать пользовательские роли и назначать им пользователей. Это также позволяет пользователю добавлять пользователей в стандартные роли реквестера, утверждающего и системного администратора.

Пользователь . Пользователи с разрешениями на функцию «Пользователь» могут добавлять, удалять или обновлять учетные записи пользователей, в том числе указывать, является ли пользователь утверждающим или запрашивающим.

Хранилище . С разрешениями Хранилище пользователь может настраивать и управлять соединением ALM с Thycotic Secret Server вашей организации.

Webhook : Webhooks предоставляют основу для подключения ALM к внешним сервисам. С разрешениями Webhooks пользователь может создавать собственные webhooks.