Управление доступом

Управление доступом#

В Astra Automation управление доступом основано на объединенном интерфейсе и наборе инструментов, обеспечивающих аутентификацию, авторизацию и разграничение прав пользователей. Из единого интерфейса можно настраивать глобальные и системные параметры, включать различные механизмы контроля доступа и управлять интеграцией с внешними сервисами идентификации. Система построена на ролевой модели доступа и поддерживает администрирование как через графический интерфейс, так и через REST API.

Основные механизмы и инструменты#

Модель управления доступом в Astra Automation строится на следующих механизмах:

  • Ролевая модель доступа (RBAC).

    Роли определяют, какие действия могут выполнять пользователи и команды. С их помощью регулируется доступ к объектам платформы: запуск заданий, редактирование проектов, управление инвентарями и учетными данными.

  • Аутентификация пользователей.

    Поддерживаются как локальные учетные записи, так и интеграция с внешними провайдерами (LDAP, SAML и другие). Для внешних приложений и сервисов применяется аутентификация по токенам (OAuth 2.0).

  • Карты аутентификаторов и отображение атрибутов (Authenticator Maps).

    Система отображения атрибутов позволяет автоматически назначать роли и привилегии пользователям на основании данных, получаемых от внешнего провайдера (например, групп LDAP или утверждений SAML).

  • Команды и организации.

    Пользователей можно объединять в команды и организации для централизованного управления доступом к рабочим областям и объектам платформы. Администратор системы может делегировать полномочия по управлению этими командами или организациями.

  • Авторизация по токенам (OAuth 2.0).

    Для интеграции со сторонними системами и инструментами DevOps применяются токены доступа. Они позволяют безопасно делегировать права и ограничивать доступ заданными разрешениями.

Возможности управления доступом в UI#

Графический интерфейс (UI) предоставляет удобный способ настройки и администрирования доступа. Через UI администратор может выполнять следующие действия:

  • управлять пользователями, командами и организациями;

  • назначать и отзывать роли;

  • создавать и настраивать методы аутентификации (LDAP, SAML, локальные и другие);

  • задавать правила отображения (mapping rules) для автоматического назначения прав на основании атрибутов и групп.

Управление через API#

Помимо графического интерфейса администрировать доступ можно с помощью REST API.

API предоставляет полный набор операций для управления доступом: создание, удаление и редактирование пользователей, ролей, организаций и карт аутентификаторов. Это позволяет интегрировать платформу с внешними системами IAM, CI/CD и другими инструментами DevOps.

Пример структуры управления доступом#

Модель управления доступом в Astra Automation строится по иерархическому принципу и может быть представлена следующим образом:

  • Организация → Команды → Пользователи.

  • Каждой сущности назначаются роли через UI или API.

  • Для сторонних приложений и сервисов настраиваются токены доступа OAuth 2.0.