Описание

NAICE поддерживает ролевую модель управления доступом к функционалу (RBAC), которая обеспечивает гибкое и безопасное управление правами администраторов системы.

Привилегии поддерживают 5 уровней доступа:  

  • 0 уровень, нет доступа - системный пользователь не имеет доступа к функционалу привилегии. Связанные разделы системы не отображаются в WEB-интерфейсе NAICE.
  • 1 уровень, Чтение - системный пользователь имеет возможность просматривать связанные с привилегий разделы.
  • 2 уровень, Создание - системный пользователь имеет возможность создавать сущности, связанные с функционалом привилегий.
  • 3 уровень, Редактирование - системный пользователь имеет возможность редактировать сущности, связанные с функционалом привилегий.
  • 4 уровень, Удаление - системный пользователь имеет возможность удалять сущности, связанные с функционалом привилегий.

Каждый уровень доступа включает в себе предыдущий. 

Некоторые привилегии (например, связанные с мониторингом) имеют максимальный уровень доступа 1.

При переходе с версии 0.9 все существующие административные учётные записи получат роль «Super Admin», обеспечивающую полный доступ ко всем функциям системы.


Добавление новых ролей и назначение ролей администраторам описано во встроенной документации (Администрирование → Пользователи системы)

Список входящих в привилегии разделов

Разделы, не требующие привилегий

  • Настройки аккаунта.
  • Документация.
  • Дашборд - доступность виджетов зависит от выданных привилегий.
  • Системные события - доступность групп событий связана зависит от выданных привилегий.

Разделы, управляемые привилегиями

ПривилегияРазделОсобенности по ограничениямУровень лицензии
Политики RADIUS

Политики → Элементы:
→ Профили авторизации
→ Разрешенные протоколы
→ Условия
→ Словари






BASIC

Политики:
Наборы политик


  • 1-3 уровни доступа - права только на Чтение
  • Управление функционалом и "сброс счетчиков" становятся доступным с 4 уровня
Администрирование → Управление идентификацией:
Цепочки идентификации
Мониторинг RADIUS

Мониторинг → RADIUS:
→ Пользовательские сессии


BASIC
Эндпоинты

Администрирование → Управление идентификацией:
→ Эндпоинты
→ Группы эндпоинтов

Группы эндпоинтов:

  • Создание/удаление группы эндпоинтов становится доступно со 2 уровня, а добавление/удаление самих эндпоинтов в неё — начиная с 3 уровня

BASIC

Сетевые ресурсы

Администрирование → Сетевые ресурсы:
→ Устройства
→ Группы устройств
→ Профили устройств



BASIC

Политики TACACS+

Контроль сетевых устройств → Элементы политик:
→ Условия
→ Наборы команд TACACS
→ Профили TACACS
→ Словари





Доп. модуль TACACS+

Контроль сетевых устройств:
→ Политики сетевых устройств

  • 1-3 уровни доступа - права только на Чтение
  • Управление функционалом и "сброс счетчиков" становятся доступным с 4 уровня

Администрирование → Управление идентификацией:
→ Цепочки идентификации


Мониторинг TACACS+

Мониторинг → TACACS+:
→ Журнал подключений
→ Учет команд (accounting)


Доп. модуль TACACS+
Профилирование

Политики → Профилирование:
→ Условия профилирования
→ Политики профилирования
→ Логические профили

Политики профилирования:

  • "Сброс счетчиков" становятся доступным с 4 уровня



BASIC

Политики → Элементы:
→ Словари


Роли и УЗ

Администрирование → Пользователи системы:
→ Учетные записи
→ Роли


BASIC
Гостевой доступ

Гостевые порталы → Управление порталами:
→ Конструктор порталов



ADVANCED

Администрирование → Управление идентификацией:
→ Цепочки идентификации


Гостевые пользователи

Гостевые порталы → Управление порталами:
→ Гостевые эндпоинты
→ Пользователи порталов


ADVANCED

Корпоративные пользователи

Администрирование → Управление идентификацией:
→ Пользователи сети
→ Группы пользователей сети

Группы пользователей сети:

  • Создание/удаление группы пользователей становится доступно со 2 уровня, а добавление/удаление самих пользователей в неё — начиная с 3 уровня
BASIC

Системные настройки

Система:
→ Маршруты событий

"Отправление пробного события" становится доступным со 2 уровняBASIC

Лицензирование

  • 0-3 уровни доступа - права только Чтение
  • Управление функционалом становится доступным с 4 уровня

Внешние источники

Администрирование → Управление идентификацией:
→ Внешние источники идентификации

  • "Проверка связи с сервером" доступна начиная с 1 уровня
  • Добавление групп пользователей и атрибутов становится доступным со 2 уровня
  • Удаление групп пользователей и атрибутов становится доступным с 3 уровня
BASIC
Сервисы сообщений

СМС-шлюзы → Управление СМС-шлюзами:
→ Управление СМС-шлюзами

"Отправление тестового СМС" становится доступным со 2 уровняADVANCED

Зависимости между привилегиями

Для корректной работы системы некоторые привилегии требуют наличия других привилегий:

  • Политики RADIUS - требует привилегии на чтение: Сетевые ресурсы, Профилирование, Гостевой доступ
  • Политики TACACS+ - требует привилегию на чтение: Сетевые ресурсы
  • Эндпоинты - требует привилегию на чтение: Профилирование
  • Гостевые пользователи - требует привилегию на чтение: Гостевой доступ
  • Гостевой доступ - требует привилегию на чтение: Сервисы сообщений


Предустановленные роли

Система включает следующие предустановленные роли для типовых сценариев использования:

  • Super Admin - полный доступ ко всему функционалу.
  • Network Admin - управление сетевым доступом.
  • Hardware Admin - управление сетевыми устройствами.
  • System Admin- администратор системы.
  • Guest Admin - управление гостевой сетью.
  • Guest Operator - оператор гостевой сети.
  • Monitor - мониторинг и просмотр данных.


ПривилегияSuper AdminNetwork Admin

Hardware Admin

System AdminGuest Admin

Guest Operator

Monitor

Политики RADIUS4404101
Мониторинг RADIUS1101111
Эндпоинты4404001
Сетевые ресурсы4444101
Политики TACACS+4044001
Мониторинг TACACS+1011001
Профилирование4404101
Роли и УЗ4001000
Гостевой доступ4104411
Гостевые пользователи4404440
Корпоративные пользователи4444000
Системные настройки4004000
Внешние источники4114001
Сервисы сообщений4104111



  • Нет меток