Роли и доступ

Администратор может создавать роли и настраивать набор доступных ролям действий (разрешений), чтобы потом назначать роли пользователям. Настройка ролей осуществляется в Личном кабинете в разделе «Настройки» – «Роли и доступ». Вход через раздел «Настройки» в левом меню, снизу.

Раздел содержит список ролей (скрин ниже). По умолчанию задано три роли: Администратор, Оператор, Просмотр. Каждой роли соответствует набор разрешений (доступных действий).

../_images/user_guide_198us.png

По кнопке lk_user_list можно перейти в раздел Управление пользователями.

Создание роли

В разделе «Роли и доступ» по кнопке Создать открывается окно ввода данных новой роли. Поле Имя заполняется большими (заглавными) английскими буквами, от 3 до 60 символов.

../_images/user_guide_145us.png

Поле Краткое описание также требуется заполнить, не более 120 символами.

Новая роль создается с минимальным набором разрешений:

  • Self management.

Примечание

Для редактирования Профиля необходимо подключить разрешения Self management и View patterns.

Примечание

Для просмотра разделов «WAF Health» и «Политика паролей» необходимо разрешение Self management.

Примечание

Для просмотра раздела «Управление токенами» необходимы разрешения Manage user tokens, User accounts administration.

Редактирование роли и набора разрешений

Каждой роли назначены разрешения (набор доступных действий). Редактируется набор разрешений в списке ролей раздела «Роли и доступ». По пиктограмме настроек lk_option открывается окно с списком разрешений. Подключенные разрешения расположены в правом столбце.

../_images/user_guide_146us.png

Доступные для роли разрешения (в левом столбце) можно подключить. А подключенные разрешения (в правом столбце) – отключить.

Функционал Личного кабинета подключается с помощью разрешений согласно таблице. Заметим, что «/» означает «или».

Функционал

Разрешения

Профиль

«Профиль». Редактирование и просмотр своего профиля, в т.ч. 2-факторной аутентификации

Self management,
View patterns / Patterns management

«Профиль». Просмотр истории собственных сессий пользователя

View user session history

«Профиль». Просмотр опции Email рассылки

View intervention notification parameters

«Профиль». Переключение опции Email рассылки

Manage intervention notification parameters

«Профиль». Настройка Email рассылки для всех пользователей

Manage intervention notification parameters,
Manage user tokens

Пользователи, роли

«Настройки» – «Пользователи». Создание, редактирование, удаление учетной записи пользователя

User accounts administration,
View roles and actions / Roles management,
View patterns / Patterns management

«Настройки» – «Роли и доступ». Просмотр ролей и их разрешений

View roles and actions,
User accounts administration

«Настройки» – «Роли и доступ». Создание, редактирование, удаление роли; настройка разрешений роли

Roles management,
User accounts administration

Кластеры

«Кластеры». Просмотр кластеров: серверов и их настроек, к которым пользователю предоставлен доступ

View clusters

«Кластеры». Просмотр пользователей кластера

View user clusters,
View clusters

«Кластеры». Администрирование доступа пользователей к кластеру

User clusters management,
View clusters,
Cluster administration

«Кластеры». Настройка режима работы кластера (Обучение / Блокировка)

ML management,
View clusters,
Cluster administration,
User accounts administration

«Кластеры». Настройки защиты сервера кластера: «ModSec», «Анти-DDoS», «Лимиты»

Server configuration management,
View clusters

«Кластеры». Настройка защиты сервера кластера: «F2b»

Fail2ban management,
View clusters

«Кластеры». Администрирование кластеров

Cluster administration,
View clusters,
Roles management

Конструктор правил

«Конструктор правил». Просмотр наборов правил ModSecurity

View modsec params,
View clusters

«Конструктор правил». Создание, удаление набора правил. Редактирование, перемещение, удаление правила. Добавление правила, импорт и экспорт правил.
«Таблица атак». Переключение «Действия» (Блокировка/Обучение) в детализации таблицы атак

Modsec params management,
View clusters,
View modsec params

«Конструктор правил». Установка базового набора правил ModSecurity

CRS management,
View clusters,
View modsec params,
Modsec params management

Валидация (паттерны), тенанты, токены

«Настройка» – «Валидация». Просмотр паттернов

View patterns

«Настройка» – «Валидация». Создание, редактирование, отключение/включение, удаление паттерна

Patterns management,
View patterns

«Настройка» – «Тенанты». Просмотр списка тенантов

View tenants,
View clusters

«Настройка» – «Тенанты». Создание тенанта, просмотр и настройка пользователей тенанта, настройка кластеров тенанта, отключение/включение тенанта

Tenants management,
View roles and actions,
User accounts administration,
Cluster administration,
Patterns management,
View tenants

«Настройки» – «Токены». Просмотр списка своих токенов.

Manage user tokens

«Настройки» – «Токены». Создание, удаление токена.

Manage user tokens,
User accounts administration

Мониторинг атак

«Таблица атак». Просмотр таблицы атак (таблицы событий безопасности). Просмотр детализации событий безопасности

View interventions,
View clusters

«Графики атак». Просмотр графиков атак

View dashboards,
View clusters

Отчеты

«Отчеты». Просмотр раздела отчетов и выгрузка отчета

View intervention reports,
View reports,
View clusters

«Отчеты». Создание, удаление отчета

Report management,
View intervention reports,
View reports,
View clusters

Служебные

-

User search,
View scanning results,
Scanning results creation and view,
Full access to scanning,
View log record

Важно

Существует ограничение назначений разрешений для роли. Пользователь не может быть добавлен в тенант, если его роли назначено хотя бы одно из следующих разрешений: Roles management (Администрирование ролей), Tenants management (Администрирование тенантов), ADS-разрешения (служебного назначения).

В таблице ниже представлен список разрешений, назначенных по умолчанию ролям Администратор, Оператор, Просмотр.

Разрешение

Администратор

Оператор

Просмотр

Профиль

Self management

+

+

+

View user session history

+

+

+

View intervention notification parameters

+

+

-

Manage intervention notification parameters

+

-

-

Manage user tokens

+

-

-

Пользователи, роли

User accounts administration

+

-

-

View roles and actions

+

+

+

Roles management

+

-

-

User search

+

-

-

Кластеры

View clusters

+

+

+

View user clusters

+

+

+

User clusters management

+

+

-

ML management

+

+

-

Server configuration management

+

+

-

Fail2ban management

+

+

-

Cluster administration

+

-

-

Конструктор правил

View modsec params

+

+

-

Modsec params management

+

+

-

CRS management

+

+

-

Валидация (паттерны), тенанты

View patterns

+

+

+

Patterns management

+

-

-

View tenants

+

+

-

Tenants management

+

-

-

Мониторинг атак

View interventions

+

+

+

View dashboards

+

+

+

Отчеты

View intervention reports

+

+

+

View reports

+

+

+

Report management

+

+

-

Другое

View scanning results

+

+

+

Scanning results creation and view

+

+

-

Full access to scanning

+

+

-

View log record

+

+

+

Примечание

Разрешение Self management назначается по умолчанию и автоматически добавляется для любой роли.

Отключение и удаление роли

Удаление и отключение роли доступны в разделе «Роли и доступ».

Роль можно отключить с помощью пиктограммы lk_incl. Отключенная роль обозначается пиктограммой lk_excl.

Удаление роли выполняется с помощью пиктограммы lk_red_del.

../_images/Weblock_Logos_small.png