Управление Пользователями#

Пользователи - это субъекты, которые могут входить в систему. Они могут иметь связанные атрибуты, такие как электронная почта, имя пользователя, адрес, номер телефона и день рождения. Им может быть присвоено членство в группах и назначены определенные роли.

Детали#

Ниже изображен интерфейс детального представления пользователя. Детали

В таблице представлено детальное описание интерфейса представления пользователя.

Наименование настройки

Описание

Тип настройки

Имя пользователя

Логин пользователя

Текстовое значение

E-mail

Почтовый адрес пользователя

Текстовое значение

Внутренний E-mail

Внутренний почтовый адрес пользователя

Текстовое значение

Имя

Имя пользователя

Текстовое значение

Отчество

Отчество пользователя

Текстовое значение

Фамилия

Фамилия пользователя

Текстовое значение

Мобильный телефон

Мобильный телефон пользователя

Текстовое значение

Внутренний телефон

Внутренний телефон пользователя

Текстовое значение

Должность

Должность пользователя

Текстовое значение

Пользователь включен

Переключатель активности пользователя (выключенный пользователь считается заблокированным). Отключенные пользователи не смогут войти.

Булевая

Пользователь временно заблокирован

Переключатель временной блокировки пользователя (при использовании всех неудачных попыток входа)

Булевая

Разблокировать пользователя

Поле появляется при временной блокировке пользователя. Разблокировать пользователя, который использовал все неудачные попытки входа до истечения времени автоматической активации)

Кнопка

Подтверждение E-mail

Признак того, должен ли пользователь подтверждать свой E-mail

Булевая

Требуемые действия от пользователя

Требуемые действия от пользователя при входе:
Настроить OTP (Configure OTP) - требует установить мобильное приложение генерации паролей.
Обновить пароль (Update Password) - требует от пользователя ввести новый пароль.
Обновить профиль (Update Profile) - требует от пользователя ввести новую персональную информацию.
Подтвердить E-mail (Verify Email)- высылает письмо пользователю для подтверждения его E-mail.
Обновить локаль пользователя (Update User Locale) - требует от пользователя обновить/выбрать локаль (язык).
Webauthn Register Passwordless
Verify Profile
Webauthn Register

Выпадающий список с множественным выбором

Язык

Язык

Выпадающий список

Имперсонировать

Войти как пользователь. Если пользователь в другом realm, то сессия администратора останется активной и дополнительно откроется сессия пользователя в другом realm, под которым вошел администратор. Если пользователь в том же самом realm что и администратор, то текущая сессия администратора будет разлогинена перед тем как он войдет как пользователь (т.е. останется активной только сессия пользователя).

Кнопка

Администратор с соответствующими разрешениями может выдавать себя за пользователя. Например, если пользователь обнаруживает ошибку в приложении, администратор может выдать себя за пользователя для расследования или дублирования проблемы.

Любой пользователь с ролью, допускающей имперсонирование может выдавать себя за пользователя. Для этого необходимо выбрать необходимого пользователя и нажать Имперсонировать.

Атрибуты#

Помимо основных метаданных пользователя, таких как имя и адрес электронной почты, можно хранить произвольные пользовательские атрибуты. Для этого необходимо выбрать пользователя для управления, затем перейти на вкладку Атрибуты.

Затем ввести имя и значение атрибута в пустые поля и нажать кнопку Добавить рядом с атрибутом, чтобы добавить новое поле. Стоит обратить внимание на то, что любые изменения, внесенные на странице атрибутов, не будут сохранены, пока не нажата кнопка Сохранить. Ниже изображен интерфейс хранения и добавления произвольных пользовательских атрибутов. Атрибуты

Учетные данные#

При просмотре пользователя, если перейти на вкладку Учетные данные, то есть возможность управлять учетными данными пользователя. Ниже изображен интерфейс управления учетными данными пользователя. Учетные данные

В таблице представлено детальное описание интерфейса управления учетными данными пользователя.

Наименование настройки

Описание

Тип настройки

Новый пароль

Ввести пароль пользователя

Текстовое значение

Подтверждение пароля

Повторить ввод пароля пользователя

Текстовое значение

Временный

Если включено, пользователю необходимо сменить пароль при следующем входе

Булевая

Сброс учётных данных

Данный раздел появляется, если задать внутренний E-mail пользователя

Действия сброса

Набор действий при отправке пользователю письма: - 'Verify Email (VERIFY_EMAIL)' - высылает пользователю письмо для подтверждения его E-mail - 'Update Profile (UPDATE_PROFILE)' - требует ввести пользователю новую персональную информацию - 'Update Password (UPDATE_PASSWORD)' - требует от пользователя ввести новый пароль - 'Configure OTP (CONFIGURE_TOTP)' - требует установить мобильное приложение с генератором паролей - 'Update User Locale (update_user_locale)' - выбрать локаль - 'Webauthn Register (webauthn-register)' - требует создать ключ доступа с меткой пользователя - 'Webauthn Register Passwordless (webauthn-register-passwordless)' - требует создать ключ доступа с меткой пользователя

Выбор из списка

Истекает в течении

Максимальное время до того, как время на разрешения истекает

Число

E-mail с действиями для сброса пароля

Отправить письмо

Рекомендации по заданию стойких паролей#

Для того чтобы пароль обладал должной стойкостью, желательно задавать следующие ограничения для паролей:

  • пароль должен изменяться не менее 1 раза в 80 дней с момента последнего изменения;

  • пароль должен быть сложен (обязательно использование строчных и прописных букв и цифр);

  • длина пароля – минимум 12 символов;

  • пароль должен быть уникален, недопустимо использование одного и того же пароля для нескольких УЗ одного пользователя;

  • пароль не должен содержать имя УЗ пользователя или какую-либо его часть;

  • при вводе пароля символы должны быть скрыты;

  • в случае компрометации пароля необходимо незамедлительно его сменить;

  • пароль должен храниться в зашифрованном виде, хранение пароля в системах в незащищенном виде (в составе текстовых, конфигурационных файлов, скриптов) запрещено;

  • пароль должен хешироваться алгоритмом sha512;

  • в случае если хранение пароля в зашифрованном виде нереализуемо, доступ к файлам хранения должен быть ограничен только УЗ владельца.

Сопоставление ролей#

Для назначения сопоставления ролей пользователю требуется перейти на вкладку Сопоставление ролей для этого пользователя. Ниже изображен интерфейс сопоставления (назначения и удаления) ролей пользователю. Сопоставление ролей

Согласия#

Ниже изображен интерфейс отображения согласий пользователя. Согласия

Сессии#

Ниже изображен интерфейс отображения числа активных пользовательских сессий. Сессии

Управление Сессиями#

Настройки Realm#

Когда пользователь входит в Realm, единый вход (SSO) поддерживает сеанс пользователя для него и запоминает каждого клиента, которого посетили в рамках сеанса. Существует множество административных функций, которые администраторы области могут выполнять в этих пользовательских сеансах. Администраторы могут просматривать статистику входа в систему для всей области и погружаться в каждого клиента, чтобы узнать, кто и где вошел в систему. Или могут выйти из системы пользователя или группы пользователей из консоли администратора. Также администраторы могут отозвать токены и настроить там все тайм-ауты токенов и сеансов. Ниже изображен интерфейс отображения числа клиентских сессий в realm.

В таблице представлено детальное описание интерфейса отображения числа клиентских сессий в realm.

Наименование настройки

Описание

Тип настройки

Клиент

Ссылка на клиента

Ссылка на окно сессий клиента

Активные сессии

Количество активных сессий

Числовое значение

Offline сессии

Количество Offline сессий

Числовое значение

Выйти из всех сессий

По нажатию завершает все активные сессии

Кнопка

Отзыв#

Если настраиваемая система скомпрометирована, то есть возможность отозвать все активные сеансы и маркеры доступа, перейдя на вкладку Отзыв.

С помощью этой консоли указывается время и дата, когда сеансы или токены, выпущенные до этого времени и даты, будут недействительными. Для настройки требуется нажать Установить на сейчас, чтобы установить политику на текущее время и дату. При нажатии на кнопку Разослать, политика отзыва отправится любому зарегистрированному клиенту OIDC с помощью адаптера клиента OIDC Keycloak. Ниже изображен интерфейс отзыва токенов.

В таблице представлено детальное описание интерфейса отзыва токенов.

Наименование настройки

Описание

Тип настройки

Не ранее чем

Отозвать любые токены, выданные ранее этой даты.

Текстовое поле, недоступное для редактирования

Установить на сейчас

Установить дату отзыва токенов на сейчас

Кнопка

Очистить

Очистить дату отзыва токенов

Кнопка

Разослать

Уведомить каждого клиента, имеющего URL администратора, о новой политике отзыва токена.

Кнопка