Открыть меню
Открыть персональное меню
Вы не представились системе
Your IP address will be publicly visible if you make any edits.

Группы пользователей, разрешения и политики

Материал из Документация АппОптима

Установка и настройка / Основные элементы АппОптима / АппОптима / Настройка пользователей и групп / Группы пользователей, разрешения и политики

Вам необходимо настроить группы пользователей в АппОптима, чтобы разрешить доступ к вашей среде мониторинга или вашему серверу АппОптима.

Управление группами и пользователями

Учетная запись администратора по умолчанию создается во время управляемой установки АппОптима. Эта учетная запись существует независимо от выбранного вами типа аутентификации (внутренняя или LDAP). Учетная запись администратора по умолчанию имеет разрешения кластера.

Вы можете управлять пользователями и группами через Консоль управления кластером. В меню АппОптима перейдите в раздел «Аутентификация пользователя» в меню навигации.

Создать группу

1. В меню навигации выберите Аутентификация пользователя> Группы пользователей.

2. Выберите Добавить новую группу.

3. Назначьте разрешения только что созданной группе

  • Чтобы назначить права администратора группе, установите для параметра Предоставить разрешения глобального администратора этой группе значение Вкл. Группа будет иметь права доступа ко всем средам.
  • Чтобы назначить индивидуальные права доступа для каждой среды, введите разделенный запятыми список имен групп LDAP, которые должны быть сопоставлены этой группе пользователей.

Примечание: Использование количества групп числом более 100 не рекомендуется. Использование большего числа групп может вызывать сообщение об ошибке.

Создать пользователя

1. Выберите Аутентификация пользователя> Учетные записи пользователей в меню навигации.

2. Выберите Добавить нового пользователя.

Примечание: Этот параметр доступен только в том случае, если вы используете внутреннюю базу данных, а не LDAP.

Распределить пользователя по группам

1. Выберите Аутентификация пользователя> Учетные записи пользователей в меню навигации.

2. Выберите пользователя.

3. Выберите «Добавить» в разделе «Добавить групповые назначения».

Примечание: Группа не может быть назначена, если для нее не указаны разрешения.

Разрешения

Вы можете назначить группе предопределенный набор разрешений. Как только группа определена, вы можете добавлять в нее пользователей. Пользователи могут принадлежать более чем к одной группе и наследовать разрешения групп, к которым они принадлежат. Вы можете изменять или создавать группы в соответствии с вашими потребностями.

Разрешения кластера

Пользователи, назначенные в группы с этим разрешением, автоматически получают права доступа администратора для всех сред. У них есть доступ к консоли управления кластером и они могут управлять вашей средой мониторинга и сервером АппОптима. Пользователи, назначенные в группы с этим разрешением, также могут:

  • Добавить новые узлы АппОптима Server
  • Обновите сервер АппОптима
  • Управление управляемыми пользователями и группами пользователей АппОптима
  • Установите АппОптима ЕдиныйАгент в любую среду мониторинга
  • Настраивать параметры мониторинга для любой среды мониторинга

Разрешения среды

АппОптима предоставляет следующие разрешения на уровне среды. Выбрать все, что подходит:

  • Среда доступа: разрешает доступ к среде только для чтения. Вы не можете изменять настройки или устанавливать ЕдиныйАгент только с этим разрешением.

    Важно

Разрешение среды доступа требуется для любых других разрешений среды, поэтому среда доступа автоматически выбирается для среды, когда вы выбираете любое другое разрешение среды.

  • Изменить настройки мониторинга: позволяет изменять все настройки среды. Чтобы установить ЕдиныйАгент, вы должны предоставить разрешение на скачивание и установку ЕдиныйАгент.
  • Загрузить и установить ЕдиныйАгент: позволяет загружать ЕдиныйАгент и устанавливать его на хостах. Чтобы изменить / отредактировать настройки, вы должны предоставить разрешение на изменение настроек мониторинга.
  • Просмотр журналов: разрешает доступ к конфиденциальным данным файла журнала на вкладке «Журналы».
  • Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально личные данные, захваченные АппОптима, включая загрузку дампов памяти. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные замаскированы звездочками (*****). Также позволяет вручную запускать дампы памяти.
  • Настроить данные захвата запроса: позволяет настроить правила захвата атрибутов запроса. Их можно использовать для захвата таких элементов, как заголовки HTTP или параметры публикации, для хранения, фильтрации и поиска. Когда вы устанавливаете это разрешение, изменение настроек мониторинга включается автоматически.
  • Управление проблемами безопасности: позволяет управлять проблемами, о которых сообщает АппОптима Application Security.
  • Управление заявками в службу поддержки: разрешает доступ ко всем заявкам в службу поддержки, созданным для этой среды.

Разрешения зоны управления

Имена зон управления добавляются к именам среды и отображаются, например, как Env1::mz1, Env1::mz2, Env2::mza, or Env2::mzb. АппОптима предоставляет следующие разрешения на уровне зоны управления. (Загрузить и установить ЕдиныйАгент и Настроить данные захвата запросов выделены серым цветом, поскольку они не применяются к зонам управления.) Выберите все подходящие варианты:

  • Среда доступа: разрешает доступ только для чтения к объектам в зоне управления. Чтобы изменить / отредактировать настройки, вы должны предоставить разрешение на изменение настроек мониторинга.

    Важно

Разрешение среды доступа требуется для любых других разрешений зоны управления, поэтому среда доступа автоматически выбирается для зоны управления при выборе любого другого разрешения зоны управления.

  • Изменить настройки мониторинга: позволяет изменять настройки зоны управления, например, возможность записывать или редактировать синтетические мониторы.
  • Просмотр журналов: разрешает доступ к конфиденциальным данным файла журнала на вкладке «Журналы» для хостов, явно включенных в зону управления. Обратите внимание, что недостаточно предоставить доступ на уровне зоны управления к группам хостов, к которым они принадлежат - подробности см. В Правилах зоны управления.
  • Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально личные данные, захваченные АппОптима, для объектов в зоне управления. Пользователи, у которых нет этого разрешения, видят, что точка данных существует, но личные данные замаскированы звездочками (*****) - см. Также Разрешения среды выше.
  • Управление проблемами безопасности: позволяет управлять проблемами, о которых сообщает АппОптима Application Security.

Взаимосвязь между средой и разрешениями зоны управления

Важно Когда вы предоставляете любое разрешение, кроме среды доступа на уровне среды, среда доступа автоматически включается также и для среды. Аналогичным образом, когда вы предоставляете любое разрешение, кроме среды доступа на уровне зоны управления, среда доступа автоматически включается для зоны управления.

Зоны управления предназначены для обеспечения целевого и ограниченного доступа к определенным объектам в среде. Если вы хотите предоставить разрешение пользователям, имеющим доступ к зоне управления, мы рекомендуем использовать разрешения на уровне зоны управления. Любые разрешения, которые вы предоставляете на уровне среды, заменяют разрешения на уровне зоны управления и дополняют их. Другими словами, разрешения зоны управления не могут использоваться для ограничения разрешений, уже предоставленных на уровне среды.

Возьмем, к примеру, зону управления, содержащую три хоста из пяти хостов в среде. Если вы предоставите разрешение «Просмотр журналов» для зоны управления, зрители смогут увидеть вкладку «Журналы» с информацией для трех хостов в зоне управления. Однако, если вы удалите такое же разрешение на уровне зоны управления и предоставите его на уровне среды, пользователи смогут:

  • Получите доступ ко всем зонам управления из фильтра зон управления в строке меню.
  • См. Вкладку «Журналы» для всех пяти хостов в среде при просмотре «Все зоны управления».
  • См. Вкладку «Журналы» для трех хостов в назначенной зоне управления, когда они переключаются на нее.

Политика IAM

Разрешениями пользователей также можно управлять с помощью политик IAM, которые обеспечивают более детальный контроль доступа. С помощью политик вы можете создавать свои собственные разрешения на доступ и назначать их группам пользователей на уровне кластера или среды, как и в случае с механизмом разрешений.

Дополнительные сведения см. в разделе Управление политиками и группами с помощью АппОптима IAM.