Просмотреть исходный

Описание

NAICE поддерживает ролевую модель управления доступом к функционалу (RBAC), которая обеспечивает гибкое и безопасное управление правами администраторов системы.

Привилегии поддерживают 5 уровней доступа:

0 уровень, нет доступа - системный пользователь не имеет доступа к функционалу привилегии. Связанные разделы системы не отображаются в WEB-интерфейсе NAICE.
1 уровень, Чтение - системный пользователь имеет возможность просматривать связанные с привилегий разделы.
2 уровень, Создание - системный пользователь имеет возможность создавать сущности, связанные с функционалом привилегий.
3 уровень, Редактирование - системный пользователь имеет возможность редактировать сущности, связанные с функционалом привилегий.
4 уровень, Удаление - системный пользователь имеет возможность удалять сущности, связанные с функционалом привилегий.

Каждый уровень доступа включает в себе предыдущий.

Некоторые привилегии (например, связанные с мониторингом) имеют максимальный уровень доступа 1.

При переходе с версии 0.9 все существующие административные учётные записи получат роль «Super Admin», обеспечивающую полный доступ ко всем функциям системы.

Добавление новых ролей и назначение ролей администраторам описано во встроенной документации (Администрирование → Пользователи системы)

Список входящих в привилегии разделов

Разделы, не требующие привилегий

Настройки аккаунта.
Документация.
Дашборд - доступность виджетов зависит от выданных привилегий.
Системные события - доступность групп событий связана зависит от выданных привилегий.

Разделы, управляемые привилегиями

Привилегия	Раздел	Особенности по ограничениям	Уровень лицензии
Политики RADIUS	Политики → Элементы: → Профили авторизации → Разрешенные протоколы → Условия → Словари		BASIC
	Политики: → Наборы политик	1-3 уровни доступа - права только на Чтение Управление функционалом и "`сброс счетчиков"` становятся доступным с 4 уровня
	Администрирование → Управление идентификацией: → Цепочки идентификации
Мониторинг RADIUS	Мониторинг → RADIUS: → Пользовательские сессии		BASIC
Эндпоинты	Администрирование → Управление идентификацией: → Эндпоинты → Группы эндпоинтов	`Группы эндпоинтов:` Создание/удаление группы эндпоинтов становится доступно со 2 уровня, а добавление/удаление самих эндпоинтов в неё — начиная с 3 уровня	BASIC
Сетевые ресурсы	Администрирование → Сетевые ресурсы: → Устройства → Группы устройств → Профили устройств		BASIC
Политики TACACS+	Контроль сетевых устройств → Элементы политик: → Условия → Наборы команд TACACS → Профили TACACS → Словари		Доп. модуль TACACS+
	Контроль сетевых устройств: → Политики сетевых устройств	1-3 уровни доступа - права только на Чтение Управление функционалом и "`сброс счетчиков"` становятся доступным с 4 уровня
	Администрирование → Управление идентификацией: → Цепочки идентификации
Мониторинг TACACS+	Мониторинг → TACACS+: → Журнал подключений → Учет команд (accounting)		Доп. модуль TACACS+
Профилирование	Политики → Профилирование: → Условия профилирования → Политики профилирования → Логические профили	`Политики профилирования:` `"Сброс счетчиков"` становятся доступным с 4 уровня	BASIC
Профилирование	Политики → Элементы: → Словари		BASIC
Роли и УЗ	Администрирование → Пользователи системы: → Учетные записи → Роли		BASIC
Гостевой доступ	Гостевые порталы → Управление порталами: → Конструктор порталов		ADVANCED
Гостевой доступ	Администрирование → Управление идентификацией: → Цепочки идентификации		ADVANCED
Гостевые пользователи	Гостевые порталы → Управление порталами: → Гостевые эндпоинты → Пользователи порталов		ADVANCED
Корпоративные пользователи	Администрирование → Управление идентификацией: → Пользователи сети → Группы пользователей сети	`Группы пользователей сети:` Создание/удаление группы пользователей становится доступно со 2 уровня, а добавление/удаление самих пользователей в неё — начиная с 3 уровня	BASIC
Системные настройки	Система: → Маршруты событий	`"Отправление пробного события"` становится доступным со 2 уровня	BASIC
Системные настройки	Лицензирование	0-3 уровни доступа - права только Чтение Управление функционалом становится доступным с 4 уровня
Внешние источники	Администрирование → Управление идентификацией: → Внешние источники идентификации	`"Проверка связи с сервером"` доступна начиная с 1 уровня Добавление групп пользователей и атрибутов становится доступным со 2 уровня Удаление групп пользователей и атрибутов становится доступным с 3 уровня	BASIC
Сервисы сообщений	СМС-шлюзы → Управление СМС-шлюзами: → Управление СМС-шлюзами	`"Отправление тестового СМС"` становится доступным со 2 уровня	ADVANCED

Зависимости между привилегиями

Для корректной работы системы некоторые привилегии требуют наличия других привилегий:

Политики RADIUS - требует привилегии на чтение: Сетевые ресурсы, Профилирование, Гостевой доступ
Политики TACACS+ - требует привилегию на чтение: Сетевые ресурсы
Эндпоинты - требует привилегию на чтение: Профилирование
Гостевые пользователи - требует привилегию на чтение: Гостевой доступ
Гостевой доступ - требует привилегию на чтение: Сервисы сообщений

Предустановленные роли

Система включает следующие предустановленные роли для типовых сценариев использования:

Super Admin - полный доступ ко всему функционалу.
Network Admin - управление сетевым доступом.
Hardware Admin - управление сетевыми устройствами.
System Admin- администратор системы.
Guest Admin - управление гостевой сетью.
Guest Operator - оператор гостевой сети.
Monitor - мониторинг и просмотр данных.

Привилегия	Super Admin	Network Admin	Hardware Admin	System Admin	Guest Admin	Guest Operator	Monitor
Политики RADIUS	4	4	0	4	1	0	1
Мониторинг RADIUS	1	1	0	1	1	1	1
Эндпоинты	4	4	0	4	0	0	1
Сетевые ресурсы	4	4	4	4	1	0	1
Политики TACACS+	4	0	4	4	0	0	1
Мониторинг TACACS+	1	0	1	1	0	0	1
Профилирование	4	4	0	4	1	0	1
Роли и УЗ	4	0	0	1	0	0	0
Гостевой доступ	4	1	0	4	4	1	1
Гостевые пользователи	4	4	0	4	4	4	0
Корпоративные пользователи	4	4	4	4	0	0	0
Системные настройки	4	0	0	4	0	0	0
Внешние источники	4	1	1	4	0	0	1
Сервисы сообщений	4	1	0	4	1	1	1