Чек-лист проверки корректности работы#

Общая проверка#

Шаги:

  • Проверить работоспособность аутентификации. Доступ к системе должен предоставляться только пользователям, прошедшим процедуру аутентификации.

  • В случае, если используется интеграция с SecMan: секреты извлекаются из SecMan при старте. Для проверки получения секретов из внешней системы управления секретами необходимо проверить логи контейнера vault-agent. Логи должны содержать информацию о получении сертификатов.

  • Для проверки интеграции с ОТТ необходимо проверить отсутствие ошибок в логах контейнера ott-sidecar в pod Ingress/Egress.

  • Проверить работоспособность Indicator (INDA).

Детальное описание проверки работоспособности компонентов приведено в соответствующем разделе Руководства по установке компонентов.

Проверка корректности установки 7.0.30#

Чек-лист интеграции с сервисом Объединенный сервис авторизации (ОСА) (AUTZ) после установки#

API запросы выполняются из-под учетной записи суперадминистратора и идут через балансировщик (Platform V SynGX (SNX)).

  1. Выполнить запрос на поиск пользователей LDAP по подстроке:

curl --request GET \
  --url '{abyss_url}/coordinator/api/v1/authentication/core/users/search?searchString={userName}' \
  --header 'Authorization: Bearer token'

Поиск происходит минимум по трем символам, ищется подстрока в полях «login», «fullName», «mail».

Ожидаемый результат: Вернулся статус «код 200 OK» и список пользователей, подходящих под параметр поиска.

  1. Выполнить запрос на поиск политик:

ccurl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/policies/search?page=0&size=50' \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"roles": null,
"usernames": null,
"groups": null,
"tags": {}
}'

Ожидаемый результат: Вернулся статус код 201 Created и список политик. Допустим пустой результат, если нет созданные политик доступа.

  1. Выполнить запрос на поиск идентификационных данных ресурсов:

Проекты (продукт OPM)

curl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/resources/identity \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"type": "PROJECT"
}'

Архивный индекс (компонент LGDB)

Архивный индекс (компонент LGDB)
curl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/resources/identity \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"type": "ARCHIVE_INDEX",
"parameters": {
"projectName": "abyss"
}
}'

Полнотекстовый индекс (компонент LGDB)

curl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/resources/identity \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"type": "FULL_TEXT_INDEX",
"parameters": {
"projectName": "abyss"
}
}'

Аналитический индекс (компонент LGDB)

curl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/resources/identity \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"type": "ANALYTICAL_INDEX",
"parameters": {
"projectName": "abyss"
}
}'

Топик KFK Corax (компонент LGDB)

curl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/resources/identity \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"type": "KAFKA_TOPIC",
"parameters": {
"projectName": "abyss"
}
}'

Секреты, ключи, пароли

curl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/resources/identity \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"type": "SECRET",
"parameters": {
"projectName": "abyss"
}
}'

Организации Grafana (компонент INDA)

curl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/resources/identity \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"type": "INDICATOR_ORG"
}'

Представление данных (компонент BUSE) - только для инсталляции Единого аудита

curl --request POST \
  --url '{abyss_url}/coordinator/api/v1/authorization/resources/identity \
  --header 'Authorization: Bearer token' \
  --header 'Content-Type: application/json' \
  --data '{
"type": "BUSE_DATA_VIEW",
"parameters": {
"projectName": "audit_pvm"
}
}'

Ожидаемый результат: Вернулся статус «код 201 Created» и список запрошенных ресурсов. Допустим пустой результат, если нет ресурсов по запрошенному типу.

Проверка работоспособности функциональности Управления политиками доступа через UI MIND (MFE Coordinator)#

Создание политики доступа#

Необходимо выполнять с правами супер-администратора;

  1. Открыть главную страницу UI Platform V Monitor.

  2. Из предусловия перейти в приложение «Доступ» на страницу «Политики доступа».

  3. Нажать на кнопку «+ Создать», в результате чего откроется страница «Создание политики доступа» на вкладке «Параметры».

  4. На вкладке «Параметры» в поле «Наименование» ввести наименование политики доступа.

  5. Нажать кнопку «Вперед» для перехода на вкладку «Утверждения».

  6. Нажать кнопку «+ Добавить», в результате чего откроется окно «Добавить утверждение» на вкладке «Наименование».

  7. Ввести наименование утверждения и нажать кнопку «Далее».

  8. В открывшейся вкладке «Ресурсы» нажать на строку «Тип ресурса» и в раскрывшемся списке выбрать любой ресурс.

  9. В результате станет доступен выбор проекта. Выбрать проект из выпадающего списка и нажать кнопку «Добавить». Результаты выбора будут отображены в таблице на вкладке «Ресурсы».

  10. Нажать кнопку «Далее» для перехода во вкладку «Субъекты».

  11. Во вкладке «Субъекты» добавить «Пользователя», или «Группу», или «Роль».

  12. Нажать кнопку «Далее» для перехода на вкладку «Действия и эффект».

  13. Выбрать из списка «Действия над ресурсом» любое значение.

  14. Установить переключатель «Эффект утверждения» в любое положение.

  15. Нажать кнопку «Создать» для создания утверждения. Окно «Добавить утверждение» закроется и вновь отобразится страница «Создание политики доступа».

  16. Проверить, что на этой странице отображается настроенное утверждение.

  17. Нажать кнопку «Создать».

Ожидаемый результат: Открыта страница «Политики доступа». В списке политик отображается созданная политика.

Создание группы пользователей#

Необходимо выполнять с правами супер-администратора;

  1. Открыть главную страницу UI Platform V Monitor.

  2. Пользователем из предусловия перейти в приложение «Доступ» на страницу «Группы пользователей».

  3. Нажать кнопку «+ Создать», в результате чего откроется окно «Создание группы пользователей» на вкладке «Параметры».

  4. Ввести наименование группы. Опционально заполнить поля «Заголовок» и «Описание».

  5. Нажать кнопку «Далее» для перехода на вкладку «Пользователи».

  6. Указать пользователей, раскрыв список поля «Укажите пользователей».

  • Если подключен LDAP, то будет доступна возможность поиска и выбора пользователей из LDAP. При этом в списке также будут отображены логины пользователей.

  • Если LDAP отключен - логин пользователя необходимо ввести вручную, и после ввода нажать кнопку «Добавить {указанные логин пользователя}».

  1. Проверить, что выбранный пользователь отображается в списке на вкладке «Пользователи».

  2. Нажать кнопку «Создать» для создания группы.

Ожидаемый результат: Открыта страница «Группы пользователей». В списке групп пользователей отображается созданная группа.