Предустановленные роли

ℹ️ О предустановленных ролях

INFRAX предоставляет набор предустановленных ролей, которые покрывают типичные сценарии использования системы. Роли представляют собой готовые комбинации прав, упрощающие управление доступом и обеспечивающие быстрое развертывание системы.

Содержание раздела

Обзор ролей

Предустановленные роли в INFRAX разработаны с учетом принципа минимальных привилегий и покрывают основные типы пользователей системы.

Доступные роли

Роль Уровень доступа Основное назначение
Администратор Полный Управление всей системой, настройка, администрирование
Администратор Helpdesk Средний Управление системой поддержки, обработка тикетов
Пользователь Базовый Работа с тикетами, ограниченный доступ к узлам
⚠️ Важно

Роли назначаются через систему IAM и представляют собой наборы прав. Изменение состава прав роли требует синхронизации с IAM и повторного входа пользователя в систему.

Администратор

Роль Администратор предоставляет полный неограниченный доступ ко всем функциям и данным системы INFRAX.

Права администратора

Корневое право

/:/:allow

Это специальное право дает доступ ко всем ресурсам системы без исключений.

Возможности роли

Область Доступные операции
Узлы сети • Полный доступ ко всем узлам
• Создание, редактирование, удаление
• Все типы удаленных подключений
• Управление агентами
• Выполнение скриптов
Мониторинг • Просмотр всех метрик
• Настройка мониторинга
• Управление триггерами
• Доступ ко всем дашбордам
Helpdesk • Управление всеми тикетами
• Назначение исполнителей
• Настройка периодических тикетов
• Доступ к AI-ассистенту
• Email интеграция
Удаленный доступ • Подключение ко всем узлам
• Управление сессиями
• Просмотр и скачивание записей
• Настройка туннелирования
Автоматизация • Управление очередью задач
• Настройка планировщика (Cron)
• Создание и выполнение скриптов
• Просмотр истории задач
Виртуализация • Управление VM (VMware, Proxmox, Hyper-V)
• Управление Docker контейнерами
• Настройка подключений к гипервизорам
База знаний • Создание и редактирование статей
• Управление категориями
• Импорт/экспорт данных
Система • Управление пользователями и правами
• Настройки приложения
• Управление лицензией
• Системные обновления
• Просмотр логов
🔒 Безопасность

Роль администратора следует назначать с максимальной осторожностью. Пользователи с этой ролью имеют полный контроль над системой, включая возможность изменения критически важных настроек, удаления данных и управления правами других пользователей.

Использование роли

Рекомендуемые сценарии

  • Первоначальная настройка — конфигурирование системы после установки
  • Администрирование инфраструктуры — управление серверами и сетевыми устройствами
  • Управление правами — назначение и изменение прав других пользователей
  • Настройка интеграций — подключение внешних систем (IAM, мониторинг, виртуализация)
  • Устранение проблем — диагностика и исправление системных неполадок

Администратор Helpdesk

Роль Администратор Helpdesk предназначена для сотрудников технической поддержки, которым необходим полный доступ к системе тикетов без предоставления административных прав на всю систему.

Права администратора Helpdesk

Основные права

/menu/support/tickets:/menu/allow:allow
/orgs/*:/organizations/access-to-organization:allow

Эти права обеспечивают доступ к системе Helpdesk и всем организациям в системе.

Возможности роли

Область Доступные операции
Тикеты • Просмотр всех тикетов всех организаций
• Создание тикетов
• Редактирование тикетов
• Изменение статусов
• Назначение исполнителей
• Закрытие и переоткрытие тикетов
Коммуникация • Добавление публичных и приватных сообщений
• Прикрепление файлов
• Использование rich-text редактора
• Доступ к AI-ассистенту
Связывание • Привязка тикетов к узлам сети
• Связывание с инцидентами мониторинга
• Просмотр контекста узлов
Периодические тикеты • Создание и настройка периодических задач
• Управление расписанием
• Редактирование шаблонов
Поиск и фильтрация • Полнотекстовый поиск по тикетам
• Расширенные фильтры
• Массовые операции
Отчетность • Доступ к дашборду Helpdesk
• Просмотр статистики
• Анализ активности исполнителей
База знаний • Просмотр статей
• Вставка ссылок на статьи в тикеты
• Создание статей из решений

Ограничения роли

⚠️ Что НЕ доступно
  • Управление узлами сети (создание, редактирование, удаление)
  • Удаленные подключения к узлам
  • Настройка мониторинга
  • Управление агентами
  • Выполнение скриптов
  • Управление виртуализацией
  • Системные настройки
  • Управление пользователями и правами

Использование роли

Рекомендуемые сценарии

  • Служба поддержки первой линии — обработка входящих запросов клиентов
  • Диспетчеризация тикетов — распределение задач между исполнителями
  • Мониторинг SLA — контроль сроков выполнения тикетов
  • Координация работы команды — управление загрузкой сотрудников поддержки
  • Работа с базой знаний — создание инструкций на основе типовых решений

Пользователь

Роль Пользователь предоставляет базовый доступ к системе, ориентированный на конечных пользователей, которым нужно создавать тикеты и иметь ограниченный доступ к узлам сети.

Права пользователя

Основные права

/menu/my/tickets:/menu/allow:allow
/orgs/{organization_id}:/organizations/allow-create-tickets-by-org:allow

Эти права обеспечивают доступ к собственным тикетам и возможность создания новых тикетов в рамках своей организации.

Возможности роли

Область Доступные операции
Собственные тикеты • Создание новых тикетов
• Просмотр своих тикетов
• Добавление сообщений
• Прикрепление файлов
• Просмотр истории тикета
Коммуникация • Переписка с технической поддержкой
• Просмотр публичных сообщений
• Получение уведомлений о статусе
База знаний • Просмотр опубликованных статей
• Поиск по базе знаний
• Самостоятельное решение типовых проблем
Узлы сети • Ограниченный доступ к узлам (при явном предоставлении прав)
• Просмотр информации о доступных узлах
• Удаленные подключения (при наличии права remoteConnect)
Личные настройки • Изменение персональных настроек
• Управление ярлыками
• Настройка уведомлений
• Настройка темы интерфейса

Ограничения роли

ℹ️ Что НЕ доступно
  • Просмотр тикетов других пользователей (кроме случаев, когда пользователь назначен наблюдателем)
  • Управление тикетами (изменение статусов, назначение исполнителей)
  • Управление узлами сети
  • Доступ к системе мониторинга
  • Управление автоматизацией
  • Доступ к дашбордам и отчетам
  • Системные настройки

Использование роли

Рекомендуемые сценарии

  • Конечные пользователи — сотрудники организации, которым нужно обращаться в техподдержку
  • Клиенты — внешние пользователи, создающие заявки на обслуживание
  • Сотрудники без технической роли — офисные работники, менеджеры, бухгалтерия
  • Самообслуживание — пользователи, которым нужен доступ только к базе знаний
✅ Расширение прав

Роль Пользователь может быть дополнена индивидуальными правами на конкретные узлы или функции. Например, можно предоставить доступ к определенным серверам для удаленного подключения, сохранив при этом базовые ограничения роли.

Назначение ролей

Роли назначаются пользователям через систему управления идентификацией (IAM) и синхронизируются с INFRAX автоматически.

Процесс назначения

Шаги назначения роли

  1. Вход в систему IAM — используйте административный доступ к IAM
  2. Выбор пользователя — найдите пользователя в списке
  3. Назначение прав — добавьте соответствующие права для выбранной роли
  4. Синхронизация — права синхронизируются автоматически при следующем входе пользователя
  5. Повторный вход — пользователь должен перелогиниться для применения изменений

Права ролей в системе IAM

Роль Права для назначения
Администратор /:/:allow
Администратор Helpdesk /menu/support/tickets:/menu/allow:allow
/orgs/*:/organizations/access-to-organization:allow
Пользователь /menu/my/tickets:/menu/allow:allow
/orgs/{org_id}:/organizations/allow-create-tickets-by-org:allow
⚠️ Применение изменений

После изменения прав пользователя в IAM необходимо, чтобы пользователь повторно вошел в систему INFRAX. Активные сессии не обновляют права автоматически в реальном времени.

Комбинирование ролей

Вы можете комбинировать предустановленные роли с индивидуальными правами для создания кастомизированных уровней доступа.

Примеры комбинаций

Пользователь с доступом к узлам
/menu/my/tickets:/menu/allow:allow
/orgs/1:/organizations/allow-create-tickets-by-org:allow
/objects/production/*:/objects/remoteConnect/rdp:allow
/objects/production/*:/objects/remoteConnect/ssh:allow

Обычный пользователь + возможность подключаться к серверам в папке production по RDP и SSH

Администратор Helpdesk с правами на мониторинг
/menu/support/tickets:/menu/allow:allow
/orgs/*:/organizations/access-to-organization:allow
/menu/dashboards/specialized/monitoring:/menu/allow:allow

Администратор Helpdesk + доступ к дашборду мониторинга для анализа проблем

Пользователь с ограниченным доступом к серверам (только SSH)
/menu/my/tickets:/menu/allow:allow
/orgs/5:/organizations/allow-create-tickets-by-org:allow
/objects/production/*:/objects/remoteConnect/ssh:allow

Доступ только к SSH-подключениям к серверам в папке production (без RDP/VNC)

Администратор сети (доступ к сетевому оборудованию)
/menu/support/tickets:/menu/allow:allow
/objects/network-devices/*:/objects/remoteConnect/ssh:allow
/objects/network-devices/*:/objects/remoteConnect/web:allow
/objects/network-devices/mikrotik/*:/objects/remoteConnect/winbox:allow

SSH и Web доступ ко всем сетевым устройствам + Winbox для MikroTik

Администратор виртуализации
/menu/dashboards/specialized/monitoring:/menu/allow:allow
/objects/virtual-hosts/proxmox/*:/objects/remoteConnect/proxmox:allow
/objects/virtual-hosts/vmware/*:/objects/remoteConnect/vmware:allow
/objects/virtual-hosts/*:/objects/remoteConnect/ssh:allow
/objects/virtual-hosts/*:/objects/remoteConnect/rdp:allow

Доступ к консолям Proxmox и VMware для управления виртуализацией + SSH/RDP к хостам

Аудитор (просмотр без подключения)
/menu/my/tickets:/menu/allow:allow
/objects/*:/objects/view:allow
/menu/dashboards/specialized/monitoring:/menu/allow:allow

Доступ к просмотру структуры узлов и мониторингу, но без возможности подключения или изменения

Рекомендации

Лучшие практики работы с ролями

1. Принцип минимальных привилегий

  • Начинайте с роли Пользователь и повышайте права по необходимости
  • Не назначайте роль Администратор без крайней необходимости
  • Используйте индивидуальные права для точной настройки доступа

2. Регулярный аудит

  • Периодически проверяйте список пользователей с административными правами
  • Удаляйте права уволенных сотрудников немедленно
  • Проверяйте, не превышают ли права фактические потребности пользователя

3. Документирование

  • Ведите учет, кому и зачем назначены повышенные права
  • Документируйте нестандартные комбинации прав
  • Сохраняйте историю изменений в правах доступа

4. Разделение обязанностей

  • Используйте роль Администратор Helpdesk для сотрудников поддержки
  • Не давайте полный административный доступ операторам поддержки
  • Создавайте отдельные учетные записи для различных ролей одного человека

5. Тестирование прав

  • После назначения роли проверьте доступность нужных функций
  • Убедитесь, что недоступные разделы действительно скрыты
  • Протестируйте граничные случаи (например, доступ к граничным папкам)
✅ Масштабирование

При росте организации рассмотрите создание дополнительных ролей на основе предустановленных. Например, "Старший инженер поддержки" (Администратор Helpdesk + права на некоторые узлы) или "Менеджер мониторинга" (доступ к мониторингу + ограниченный доступ к узлам).