Пользователи и команды
Роли пользователей
В AppSec.Hub существуют четыре роли пользователей.
Администратор (Administrator) определяет системные настройки на организационном уровне: пользователи, команды, рабочие пространства (workspaces), инструменты, тегирование, LDAP (Lightweight Directory Access Protocol), корреляция уязвимостей приложения, Quality Gates, нотификации по электронной почте, управление лицензией системы. Администратор не имеет доступа к работе с приложениями и их настройками, а также к работе с дефектами.
Менеджер (Manager) работает с одним или несколькими приложениями. Менеджер может добавлять/удалять кодовые базы, артефакты, экземпляры приложений, выполнять настройку приложений, устанавливать критерии качества с помощью QG. Менеджер не имеет доступа к настройкам организации. Он также не может работать с дефектами и уязвимостями.
Инженер по информационной безопасности (Инженер ИБ, Security Engineer) работает с техническим долгом, анализирует уязвимости, определяет взаимосвязь между проблемами безопасности и управляет дефектами. Инженер ИБ не имеет доступа к настройкам организации и настройкам приложения.
Разработчик (Developer) имеет доступ к информации в AppSec.Hub с правами только на чтение. Он может получать информацию, но не имеет прав на внесение каких-либо изменений. Исключением является возможность редактирования отдельных данных в профиле пользователя.
Возможно совмещение всех четырех ролей у одного пользователя.
В системе предусмотрено три типа пользователей с разными способами аутентификации:
- Локальные пользователи.
- LDAP-пользователи (Lightweight Directory Access Protocol). Управление LDAP-пользователями в основном осуществляется с помощью внешних инструментов сторонних производителей, таких как: OpenLDAP, Microsoft Active Directory и др.
- SSO-пользователи (Single Sign-On). SSO позволяет без необходимости повторной авторизации получать доступ к различным сервисам с использованием одной учетной записи.
Администрирование пользователей и команд
Примечание
Для выполнения нижеописанных действий требуется роль Администратора.
Нажмите иконку Administration в правом верхнем углу, чтобы открыть страницу администрирования системы.
Используйте пункты меню слева для выполнения следующих настроек:
- Users — создание, редактирование и удаление пользователей, а также назначение им ролей в системе.
- Teams — создание, редактирование и удаление команд, а также добавление/удаление пользователей в них.
- Authorization — настройка LDAP или SSO-авторизации.
Информация о пользователях системы отображается на странице Users.
Для каждого пользователя отображается следующая информация:
- USER DETAILS — данные о пользователе, включающие в себя:
- Имя пользователя.
- Состояние пользователя в системе – активное/деактивированное (Active / Inactive).
- Login — логин пользователя.
- Email — адрес электронной почты пользователя.
- Roles — роли пользователя в системе.
- LDAP name — имя LDAP-сервиса для данного пользователя (только для LDAP-пользователей).
- AUTHORIZATION — тип авторизации пользователя (Local, LDAP, SSO).
Справа в строке пользователя располагается выпадающее меню «», содержащее следующие пункты:
- Inactive (для активных пользователей) / Active (для деактивированных пользователей) — с помощью этого пункта можно изменить состояние пользователя в системе.
- Change password — этот пункт позволяет поменять пароль пользователя.
Добавление пользователя
Примечание
До создания других команд все новые пользователи по умолчанию добавляются в команду Default team.
Добавление локального пользователя (тип авторизации LOCAL)
-
Выберите пункт меню Users.
-
Нажмите кнопку Add new справа вверху и в раскрывающемся меню выберите пункт Add local user.
-
В открывшемся окне заполните обязательные поля – имя (First name) и фамилию (Last name) пользователя, адрес электронной почты (Email), логин (Login) пользователя.
-
Выберите роль(и) пользователя в поле User roles (Administrator, Manager, Security Engineer, Developer).
-
После заполнения остальных полей профиля нажмите кнопку Create. Уведомление о создании нового пользователя появится в правом нижнем углу, а на странице Users появится строка вновь созданного пользователя. При этом на указанную электронную почту будет направлено уведомление с приглашением присоединиться к работе в системе.
Добавление LDAP-пользователя (тип авторизации LDAP)
-
Выберите пункт меню Users.
-
Нажмите кнопку Add new справа вверху и в раскрывающемся меню выберите пункт Add LDAP user.
-
В открывшемся окне выберите профиль используемого LDAP-сервиса (LDAP services).
-
Укажите логин пользователя (Login) или адрес электронной почты (Email).
-
Выберите роль(и) пользователя в поле User roles (Administrator, Manager, Security Engineer, Developer).
-
Нажмите кнопку Import. Уведомление о создании нового пользователя появится в правом нижнем углу, а на странице Users появится строка вновь созданного пользователя. При этом на указанную электронную почту будет направлено уведомление с приглашением присоединиться к работе в системе.
Редактирование профиля пользователя
-
Выберите пункт меню Users.
-
Нажмите на имя пользователя в строке пользователя.
-
Внесите изменения в профиль пользователя.
-
Нажмите кнопку Save.
Изменение ролей пользователя
-
Выберите пункт меню Users.
-
Нажмите на имя пользователя в строке пользователя.
-
Используя раскрывающееся меню в поле User roles, выберите необходимые роли.
-
Нажмите кнопку Save.
Изменение пароля пользователя
Чтобы изменить пароль пользователя, выберите пункт Change password в выпадающем меню «» в строке пользователя справа.
Пакетный импорт пользователей
Чтобы выполнить пакетный импорт LDAP-пользователей в AppSec.Hub, нажмите кнопку Bulk import в правом вернем углу и подтвердите действие в открывшемся окне.
Примечание
Чтобы пакетный импорт завершился успешно, LDAP-профиль должен быть активен и для него должны быть настроены сопоставление схемы пользователя, сопоставление ролевой модели и сопоставление групп, см. ниже.
Поиск пользователя
Чтобы выполнить поиск пользователя по логину, имени/фамилии или электронной почте, нажмите кнопку Show filters в правом верхнем углу.
Можно фильтровать пользователей по типу авторизации — Local (AppSec.Hub)/LDAP/SSO (with auth type) или по состоянию — активные/пассивные (with state).
Примечание
Настройки фильтра сохраняются между сессиями пользователя. Чтобы сбросить их, нажмите кнопку Reset filters в правом верхнем углу.
Блокировка пользователя
В системе предусмотрена возможность управления блокировкой пользователя при попытке входа с некорректными учетными данными.
Настройка осуществляется посредством редактирования конфигурационного файла app.properties.
Для настройки в файле app.properties необходимо отредактировать следующие параметры:
-
hub.config.login.attemptsBeforeBlocking
— количество неуспешных попыток входа пользователя до блокировки (значение по умолчанию5
); -
hub.config.login.blockingTimeInMinutes
— время блокировки пользователя после достижения максимального количества неудачных попыток входа (в минутах, значение по умолчанию30
).
Информация о конфигурационном файле app.properties приведена в «Приложении 4. Конфигурационный файл app.properties».
В случае блокировки пользователя, он получает статус Inactive, что отображается на странице Users в разделе администрирования.
Чтобы разблокировать пользователя, выберите пункт Active в выпадающем меню «» в строке пользователя справа.
Создание команды
-
Выберите пункт меню Teams.
-
Нажмите кнопку +Add new справа вверху.
-
В окне Create new team введите имя новой команды.
-
Нажмите кнопку Create.
Добавление пользователя в команду
-
Выберите пункт меню Teams.
-
Нажмите иконку Edit Team на карточке команды.
-
На открывшейся странице справа вверху нажмите кнопку Actions и выберите пункт Add user.
-
В окне Find and add member to the team дважды нажмите на имя пользователя из списка существующих, чтобы добавить его в команду.
Удаление пользователя из команды
-
Выберите пункт меню Teams.
-
Нажмите иконку Edit Team на карточке команды.
-
Нажмите иконку Delete user from team в правом нижнем углу карточки пользователя и подтвердите свои действия.
Переименование команды
-
Выберите пункт меню Teams.
-
Нажмите иконку Edit team на карточке команды.
-
На открывшейся странице справа вверху нажмите кнопку Actions и выберите пункт Edit team data.
-
В открывшемся окне введите новое наименование команды (Team name).
-
Нажмите кнопку Update.