Управление пользователями в консоли auth.as
Обращаем ваше внимание, что мы постоянно улучшаем пользовательский интерфейс и если вы видите некие нестыковки описания с системой, вероятнее всего у вас устаревшая документация, скачайте последнюю версию!
В этом документе мы рассмотрим самое часто используемое действие — добавление новых пользователей и редактирование существующих. В эти операции входят так же работы по управлению токенами (физическими и мобильными), но для них мы подготовили отдельное описание. Приступая к этой инструкции мы подразумеваем, что у вас уже есть опыт входа в панель управления вашей компании в сервисе auth.as и рассматривать во второй раз его не будем. Если вы забыли как войти в сервис — воспользуйтесь ссылкой https://console.auth.as/login и войдите, используя имеющиеся у вас логин и пароль.
Интерфейс пользователей
Для доступа к интерфейсу пользователей необходимо воспользоваться пунктом меню “Пользователи” в разделе “Управление” главного меню сервиса:
Общий вид интерфейса управления пользователями представлен ниже:
В зависимости от роли пользователя будут видны те или иные столбцы. В частности, для роли “Администратор компании” в строке поиска будет доступен выбор доменов из его набора и отображаться дополнительный столбец “Домен” в табличном представлении. Для роли “Администратор домена” этих значений не будет. Набор действий над пользователями не зависит от используемой роли и может одинаково использоваться как “Администратором компании”, так и “Администратором домена”.
Добавление пользователя
Механизм добавления пользователей практически идентичен для обоих типов доменов в сервисе auth.as. Разница в наборе полей — для ActiveDirectory-домена их на порядок больше. Для добавления пользователя необходимо воспользоваться соответствующей кнопкой в панели инструментов табличного представления:
Хранимая информация о пользователе
В зависимости от типа домена мы храним ту или иную информацию.
- Для Standart-домена: электронный адрес, шифрованный пароль и номер мобильного телефона.
- Для ActiveDirectory-домена: ФИО из LDAP, электронный адрес, поле UserPrincipalName (UPN, используется для аутентификации в LDAP), номер мобильного телефона.
Электронный адрес используется для входа в веб-интерфейс личного кабинета и для запросов через API. Мобильный телефон используется для восстановления доступа к личному кабинету.
Добавление пользователя в Standart-домен
В зависимости от доступных доменов у вашей учётной записи, будут отображены те или иные домены. Если же у вашей учётной записи роль “Администратор домена”, то выбор домена не будет предоставлен и все пользователи могут быть добавлены только в ваш домен.
Общий вид интерфейса добавления:
Правила заполнения полей формы:
- Электронный адрес: Сюда необходимо ввести электронный адрес пользователя, под которым будет осуществляться вход в веб-интерфейс сервиса и для работы с API.
- Мобильный номер телефона: Используется для отправки кода подтверждения при сбросе доступа в веб-интерфейс сервиса. Если вы не укажете номер телефона, этот пользователь сможет восстановить доступ в веб-интерфейс только с помощью ваших специалистов.
- Роли пользователя: Пользователь с ролью “Администратор домена” имеет возможность назначить других администраторов, путём установки этой опции в профиле пользователя. Если этот чекбокс не включать, тогда пользователь не будет иметь никаких ролей и сможет пользоваться только личным кабинетом, т.е. будет обычным пользователем.
- Использует OTP: По умолчанию пользователь может пользоваться системой без второго фактора, но мы настоятельно рекомендуем всем добавляемым пользователям активировать эту опцию и назначать токен. Есть только одна причина не активировать эту опцию в момент создания пользователя — у вас имеется список пользователей для добавления, но не получены данные по используемым физическим токенам и вы планируете привязать их позднее.
Добавление пользователя в ActiveDirectory-домен
Общий вид интерфейса:
Набор полей немного отличается от Standart-домена, давайте рассмотрим их.
- Логин: В это поле необходимо ввести любую часть логина пользователя из AD, система автоматически подставит все найденные варианты:
- “Полное имя”, “Электронный адрес” и “UPN” будут заполнены автоматически информацией из учётной записи пользователя. Заполнять их не требуется.
- “Мобильный телефон”, “Роли пользователя” и “Использует ОТП” работают аналогично предыдущему пункту про Standart-домен.
Добавление токена пользователю
В интерфейсе добавления пользователя имеется возможность сразу назначить существующий свободный токен пользователю или же создать и назначить новый из этого же интерфейса.
После активации чекбокса “Использует OTP” появится поле для поиска:
Поиск производится по серийному номеру токена и после ввода нескольких символов будет производится подгрузка имеющихся неиспользуемых токенов для выбора.
Если же вы собираетесь добавить новый токен, то следует воспользоваться кнопкой “Не нашли” в этом интерфейсе для отображения селектора типа токена:
Рассмотрим 4 варианта настроек для каждого типа токена и используемых алгоритмов.
Мобильный токен
Разница в настройках между TimeBased- и EventBased-алгоритмами мобильного токена в том, что для TimeBased введена дополнительная опция “Блокировать после использования”, позволяющая пометить сгенерированный код как используемый, после успешного входа.
Это позволяет гарантированно использовать пароль токена только один раз за временной промежуток. То есть, не чаще 1 раза в 30 секунд.
Интерфейс выглядит следующим образом:
Вам необходимо будет указать серийный номер токена (можете сгенерировать любой самостоятельно) для идентификации его среди ваших токенов. Так же по этому полю производится поиск в интерфейсе добавления пользователя. Серийный номер это уникальная последовательность которая может состоять из цифр и/или букв латинского алфавита, основная цель этого номера идентификация токена - к примеру он может выглядеть как IvanIvanovGalaxyS5Token или CBFQ3245FMDJC - это поле для Вашего удобства. Обращаем ваше внимание, что наш сервис не позволяет отключить мобильный токен любого типа от пользователя. Вместо этого отключенный мобильный токен автоматически удаляется из системы с соответствующей записью в Журнале. Физический же токен можно без проблем подключать/отключать любому пользователю вашей компании или домена любое количество раз.
Физический же токен можно без проблем подключать/отключать любому пользователю вашей компании или домена любое количество раз.
Физический токен с EventBased-алгоритмом
Дополнительные поля для добавления физического токена с EventBased-алгоритмом представлен на скриншоте ниже и ничем не отличается от интерфейса добавления токена через раздел “Управление” — ”Устройства”:
Вам потребуется указать несколько полей:
- Seed токена.
- Заводской номер в шестнадцатеричном формате. Должен быть передан вам после покупки устройства.
- Серийный номер. Данное поле мы подробно рассмотрели в предыдущем разделе при создании мобильного токена. Оно ничем не отличается в этом случае.
- Два последовательных кода. Алгоритм EventBased напрямую завязан на внутренний счётчик устройства (или мобильного приложения), который при создании каждого нового пароля увеличивается на единицу. Каждый новый токен может быть запрограммирован на любое значение счётчика и мы его, практически никогда, не знаем. Для автоматического расчёта этого значения мы добавили два поля, в которые вам нужно ввести последовательно два сгенерированных пароля на вашем устройстве. После этого система сделает попытку расчёта значения счётчика из поля Seed и двух введённых паролей. Если число будет вычислено — токен будет успешно добавлен и назначен пользователю и им можно будет пользоваться. Если же вы введёте некорретное значение Seed (заводской номер токена) и любой из паролей, то расчёт счётчика будет невозможен и система уведомит об этом.
Блокирование пользователя
Для блокировки учётной записи пользователя необходимо зайти в список пользователей, выбрать необходимый домен и напротив нужной учётной записи в меню “Действия” выбрать пункт “Заблокировать”:
После этого, во всплывающем окне необходимо подтвердить своё намерение заблокировать учётную запись:
После блокировки учётной записи маркер в графе “Статус” табличного представления пользователей изменит свой цвет на красный:
Разблокирование пользователя
Для разблокировки учётной записи пользователя необходимо так же воспользоваться меню “Действия” напротив нужного пользователя и выбрать пункт “Разблокировать”:
После подтверждения вашего намерения во всплывающем окне пользователь вновь сможет воспользоваться личным кабинетом и аутентифицироваться в доступных приложениях используя API нашего сервиса:
Все действия над учётными записями записываются в нашей системе и могут быть просмотрены администратором компании или домена в любое удобное время в разделе “Журналы” или перенаправлены в вашу систему учета событий.
История входов в систему
В нашем сервисе предусмотрена возможность просмотреть историю входов любого пользователя вашей компании или любого из доменов. Делается это очень просто.
В табличном представлении пользователей необходимо напротив нужной учётной записи в меню “Действия” выбрать пункт “История входов в систему”:
Во всплывающем окне отобразится история входов выбранного пользователя:
История изменений объекта
Так же в сервисе auth.as есть возможность просмотреть историю правок любого объекта, в частности — пользователя. Это может быть необходимо для разбора ситуации, когда непонятно кто изменил учётную запись или сбросил настройки.
Делается это очень просто: в меню “Действия” выбираем пункт “История изменений”:
Во всплывающем окне появится информация по конкретному пользователю: