12.4.5 Управление доступом
Назначение привилегий¶
Для назначения привилегий пользователю необходимо выполнить следующие действия:
1. Выполнить вход в WEB-интерфейс ГИ (log in).
Рисунок 1. Окно авторизации в WEB-интерфейсе ГИ
2. В WEB-интерфейсе ГИ открыть вкладку Пользователи, нажать на кнопку Действия и выбрать Создать пользователя.
Рисунок 2. Создание пользователя
3. В появившемся окне заполнить информацию о пользователе (Имя и Пароль).
Рисунок 3. Заполнение информации о пользователе
4. После заполнения всех необходимых полей нажать Создать пользователя.
Созданный пользователь будет доступен для использования. Также он должен отобразиться в списке всех доступных пользователей.
5. Назначить пользователю следующие привилегии*:
- get status map;
- privilege list;
- role privilege list;
- user roles;
- user privileges.
*Данные привилегии следует назначать в Meta vDC. Без назначения указанных привилегий невозможно пользоваться WEB-интерфейсом ГИ, остальные привилегии - опциональные.
Рисунок 4. Предоставление привилегий пользователю
6. Сделать выход (logout) WEB-интерфейса.
7. Выполнить вход в WEB-интерфейс ГИ под созданным пользователем (log in). В окне авторизации должен быть активен таб Федерация.
Рисунок 5. Окно авторизации в Федерации
8. Теперь в WEB-интерфейсе ГИ пользователю будут доступны минимальные функции в соответствии с назначенными привилегиями.
Для расширения списка привилегий назначить пользователю дополнительные привилегии.
Для того чтобы действие привилегии было ограничено конкретным vDC, указать конкретный vDC при назначении привилегии.
Для того чтобы привилегия действовала для всех vDC, указать Meta vDC при назначении привилегии.
Привилегии cluster overview, cluster totals, cluster management, cluster node management, cluster service management будут активны только при назначении в Meta vDC.
Методы¶
12.4.5.1 grant-group-privilege¶
Метод назначения привилегий группе пользователей внутри ГК.
В качестве идентификатора группы group_id используется ObjectGUID в формате UUID. Поле vDC опционально, в случае его отсутствия привилегия будет назначена в Meta vDC (на все существующие vDC).
Запрос:
{
"jsonrpc": "2.0",
"method": "grant-group-privilege",
"params": {
"group_id": "5cde304f-48a2-49b9-a778-fc08ac5c3732",
"privilege_id": 1,
"vdc_id": 13
},
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585"
}
Ответ:
{
"jsonrpc": "2.0",
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585",
"result": {
"code": 1,
"message": "Privilege has been successfully assigned to the group VPNEMPLOYEE"
}
}
12.4.5.2 grant-group-role¶
Метод назначения ролей группе Active Directory пользователей.
В качестве идентификатора группы group_id используется ObjectGUID в формате UUID.
Поле vDC опционально, в случае его отсутствия роль будет назначена в Meta vDC (на все существующие vDC).
Запрос:
{
"jsonrpc": "2.0",
"method": "grant-group-role",
"params": {
"group_id": "5cde304f-48a2-49b9-a778-fc08ac5c3732",
"role_id": 1,
"vdc_id": 13
},
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585"
}
Ответ:
{
"jsonrpc": "2.0",
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585",
"result": {
"code": 1,
"message": "Role has been successfully assigned to the group VPNEMPLOYEE"
}
}
12.4.5.3 grant-user-privilege¶
Метод назначения привилегий пользователю.
Поле vDC опционально, в случае его отсутствия привилегия будет назначена в Meta vDC (на все существующие vDC).
Запрос:
{
"jsonrpc": "2.0",
"method": "grant-user-privilege",
"params": {
"user_id": "1163449056",
"provider": "yandex",
"privilege_id": 1,
"vdc_id": 13
},
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585"
}
Ответ:
{
"jsonrpc": "2.0",
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585",
"result": {
"code": 1,
"message": "Privilege has been successfully assigned to the user"
}
}
12.4.5.4 grant-user-role¶
Метод назначения ролей пользователю.
Поле vDC опционально, в случае его отсутствия роль будет назначена в Meta vDC (на все существующие vDC).
Запрос:
{
"jsonrpc": "2.0",
"method": "grant-user-role",
"params": {
"user_id": "1163449056",
"provider": "yandex",
"role_id": 1,
"vdc_id": 13
},
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585"
}
Ответ:
{
"jsonrpc": "2.0",
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585",
"result": {
"code": 1,
"message": "Role has been successfully assigned to the user"
}
}
12.4.5.5 revoke-group-privilege¶
Метод удаления назначения привилегий группе пользователей внутри ГК.
В качестве идентификатора группы group_id используется ObjectGUID в формате UUID.
Поле vDC опционально, в случае его отсутствия привилегия будет назначена в Meta vDC (на все существующие vDC).
Запрос:
{
"jsonrpc": "2.0",
"method": "revoke-group-privilege",
"params": {
"group_id": "5cde304f-48a2-49b9-a778-fc08ac5c3732",
"privilege_id": 1,
"vdc_id": 13
},
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585"
}
Ответ:
{
"jsonrpc": "2.0",
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585",
"result": {
"code": 1,
"message": "Privilege has been successfully revoked"
}
}
12.4.5.6 revoke-group-role¶
Метод удаления назначения ролей группе Active Directory пользователей.
В качестве идентификатора группы group_id используется ObjectGUID в формате UUID.
Поле vDC опционально, в случае его отсутствия роль будет назначена в Meta vDC (на все существующие vDC).
Запрос:
{
"jsonrpc": "2.0",
"method": "revoke-group-role",
"params": {
"group_id": "5cde304f-48a2-49b9-a778-fc08ac5c3732",
"role_id": 1,
"vdc_id": 13
},
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585"
}
Ответ:
{
"jsonrpc": "2.0",
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585",
"result": {
"code": 1,
"message": "Role has been successfully revoked"
}
}
12.4.5.7 revoke-user-privilege¶
Метод удаления назначения привилегий пользователю.
Поле vDC опционально, в случае его отсутствия привилегия будет назначена в Meta vDC (на все существующие vDC).
Запрос:
{
"jsonrpc": "2.0",
"method": "revoke-user-privilege",
"params": {
"user_id": "1163449056",
"provider": "yandex",
"privilege_id": 1,
"vdc_id": 13
},
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585"
}
Ответ:
{
"jsonrpc": "2.0",
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585",
"result": {
"code": 1,
"message": "Privilege has been successfully revoked from the user"
}
}
12.4.5.8 revoke-user-role¶
Метод удаления назначения ролей пользователю.
Поле vDC опционально, в случае его отсутствия роль будет назначена в Meta vDC (на все существующие vDC).
Запрос:
{
"jsonrpc": "2.0",
"method": "revoke-user-role",
"params": {
"user_id": "1163449056",
"provider": "yandex",
"role_id": 1,
"vdc_id": 13
},
"id": "cbf4478c-84b5-45ac-97cd-0390d7190585"
}
Ответ: