Назначение ролей группам пользователей проектов

Портал администратора позволяет управлять доступом к проектам через назначение ролей группам Active Directory. Эта функция упрощает администрирование прав доступа — вместо индивидуального управления пользователями вы настраиваете права для групп, а пользователи автоматически получают соответствующие разрешения через членство в группах AD.

Список ролей

В разделе Управление доступом > Роли отображается список ролей, доступных в Портале администратора после активации ролевой модели (см. Ролевая модель на Портале администратора).

Раздел «Роли» со списком доступных ролей

Раздел «Роли» со списком доступных ролей

Добавление роли группе

Для назначения или изменения роли перейдите в раздел Управление доступом > Группы и откройте действие Сменить роль.

В открывшемся диалоговом окне выберите новую роль из списка.

Каждая роль определяет уровень доступа к ресурсам проекта согласно политикам OpenStack и ролевой модели KeyStack.

Диалоговое окно выбора новой роли для группы пользователей

Диалоговое окно выбора новой роли для группы пользователей

После выбора роли нажмите Изменить. Система применит новое назначение роли для выбранной группы.

Изменение существующих назначений

Для изменения роли группы нажмите кнопку Сменить роль в строке нужного назначения. В диалоговом окне выберите новую роль из выпадающего списка и нажмите Изменить.

Обратите внимание: изменение роли влияет на всех пользователей группы. Если требуется разграничить доступ внутри группы, создайте отдельные группы в Active Directory с соответствующим составом участников.

Интеграция с Active Directory

Портал администратора синхронизируется с Active Directory через LDAP-соединение, настроенное при развёртывании платформы. При добавлении назначения система проверяет существование группы в AD и её актуальный состав.

Членство пользователей в группах определяется на стороне Active Directory. Портал администратора не управляет составом групп — эта задача остаётся в зоне ответственности администраторов домена. Такое разделение обеспечивает централизованное управление пользователями через привычные инструменты AD при сохранении гибкости назначения прав в OpenStack.

Рекомендации по организации доступа

При планировании структуры доступа учитывайте иерархию ролей OpenStack и ролевую модель KeyStack:

  • роль admin предоставляет полный контроль над ресурсами проекта, включая управление квотами и сетевыми настройками;

  • роль member позволяет создавать виртуальные машины, тома и другие ресурсы в пределах проекта и управлять ими;

  • роли reader и security_auditor ограничены просмотром без возможности изменений;

  • роль operator_vm предоставляет ограниченный доступ к управлению виртуальными машинами в пределах проекта;

  • роль app_operator предоставляет ограниченный доступ к управлению виртуальными машинами приложения в пределах проекта;

  • роль os_operator предоставляет ограниченный доступ к управлению виртуальными машинами с учетом назначенного профиля операционной системы.

Создавайте группы AD с понятными названиями, отражающими их назначение: «project-test1-admins», «project-test1-developers». Это упростит аудит прав доступа и снизит вероятность ошибок при назначении ролей.

Регулярно проверяйте актуальность назначений. Неиспользуемые связи следует удалять для поддержания безопасности среды.

Подробное поведение ролей в Портале администратора описано в разделе Ролевая модель на Портале администратора.