Настройка привязки атрибутов пользователей с атрибутами провайдера

Например, пользователь выполняет аутентификацию на внешнем сервисе и авторизуется в «Форсайт. Аналитическая платформа», в менеджере безопасности создаётся временный пользователь и добавляется в группы из списка атрибута, указанного в userinfo. Если атрибут не задан, то временный пользователь добавляется во встроенную группу USERS. После чего заполняются значения атрибутов пользователей в соответствии с настроенными привязками атрибутов провайдера. При открытии объекта репозитория проверяется набор политик атрибутного доступа, в которых используются атрибуты пользователей. Если заданные условия выполняются, то пользователь получает доступ к объекту.

Настройка привязки атрибутов пользователей с атрибутами провайдера доступна пользователям, обладающим привилегиями «Изменение прав пользователей, раздача ролей, изменение политики», «Аудит политики безопасности»

Для настройки привязки атрибутов пользователей с атрибутами провайдера используйте окно «Привязка атрибутов провайдера».

Перейдите в раздел «Пользователи».
Выполните команду «Настроить привязки» в раскрывающемся меню кнопки «Атрибуты» на панели инструментов.

Примечание. Команда доступна, если в окне «Атрибуты» содержится хотя бы один атрибут пользователей.

В окне содержится список добавленных привязок атрибутов пользователей с атрибутами провайдера.

Примечание. Добавление привязок доступно только для атрибутов строкового типа данных.

Для добавления привязки атрибута:

Нажмите кнопку «Добавить». После выполнения действия будет открыто окно «Добавление привязки»:

Задайте параметры:

Атрибут. Выберите в раскрывающемся списке атрибут пользователей строкового типа данных. Список атрибутов формируется в окне «Атрибуты»;
Провайдер. Выберите в раскрывающемся списке провайдер:

LDAP. Получение значений атрибутов LDAP-каталога;
OIDC. Получение значений атрибутов внешнего сервиса OAuth 2.0 или OpenID Connect;
ExtService. Получение значений атрибутов JWT-токена или HTTP-заголовков;

Домен. В раскрывающемся списке выберите конкретный домен пользователей. Список доменов формируется в разделе MultiDomain в файле settings.xml. Для привязки атрибута ко всем доменам используйте значение «Все домены». Выбранный домен пользователей отображается через двоеточие в столбце «Провайдер». Если атрибут привязан ко всем доменам, то провайдер отображается в формате «LDAP:*»;

Примечание. Параметр доступен, если в параметре «Провайдер» выбран LDAP-каталог.

Атрибут провайдера. Введите наименование атрибута провайдера, значение которого будет передаваться атрибуту, выбранному в параметре «Атрибут», в верхнем регистре.

Нажмите кнопку «ОК».

После выполнения действий будет добавлена привязка атрибута. Если заданные параметры привязки «Атрибут», «Провайдер», «Домен» совпадают с параметрами существующей привязки, то будет выдано соответствующее сообщение с возможностью замены существующей привязки.

Для редактирования привязки атрибута:

Выделите атрибут в списке.
Нажмите кнопку «Редактировать». После выполнения действия будет открыто окно «Редактирование привязки»:

Измените значение параметра «Атрибут провайдера».
Нажмите кнопку «ОК».

После выполнения действий будет изменён атрибут провайдера, связанный с атрибутом пользователей.

Для удаления привязки атрибута:

Выделите один или несколько атрибутов в списке с использованием клавиш CTRL или SHIFT.
Нажмите кнопку «Удалить».

После выполнения действий будет выдано окно подтверждения выполняемого действия. При выборе положительного ответа привязка атрибута будет удалена.

Особенности передачи значений атрибутов провайдера

При авторизации пользователя существуют следующие особенности передачи значений атрибутов провайдера:

Для работы со значениями атрибутов используйте свойство ISecuritySubject.Attributes.