База знаний
Войти

Учетные записи служб

Можно использовать учетную запись службы для запуска автоматизированных рабочих процессов в Подсистеме, таких как подготовка панели мониторинга, настройка или создание отчетов. Также можно создавать учетные записи служб и токены для аутентификации приложений, таких как Terraform, с помощью API Подсистемы.

Примечание – Учетные записи служб заменяют ключи API в качестве основного способа аутентификации приложений, взаимодействующих с Подсистемой.

Обычно служебные учетные записи создаются для выполнения автоматизированных или запускаемых по расписанию задач. Служебные учетные записи можно использовать для:

  • планирования отчетов для конкретных панелей мониторинга, которые будут предоставляться ежедневно/еженедельно/ежемесячно;
  • определения оповещения для использования в Подсистеме;
  • настройки внешнего поставщика проверки подлинности SAML;
  • взаимодействия с Подсистемой без входа в качестве пользователя.

Токены учетной записи службы

Токен учетной записи службы – это сгенерированная случайная строка, которая служит альтернативой паролю при аутентификации с помощью HTTP API Подсистемы.

При создании учетной записи службы можно связать с ней один или несколько токенов доступа. Можно использовать токены доступа к службе так же, как и ключи API, например для программного доступа к HTTP API Подсистемы.

Можно создать несколько токенов для одной и той же учетной записи службы. Это может понадобиться, если:

  • несколько приложений используют одни и те же разрешения, но требуется отслеживать или управлять их действиями по отдельности;
  • необходимо сменить скомпрометированный токен.

Токены доступа к учетной записи службы наследуют разрешения от учетной записи службы.

Преимущества учетной записи службы

Дополнительные преимущества учетных записей служб по отношению к ключам API включают:

  • учетные записи служб похожи на пользователей Подсистемы и могут быть включены/отключены, им могут быть предоставлены определенные разрешения, и они будут оставаться активными до тех пор, пока не будут удалены или отключены. Ключи API же действительны только до истечения срока их действия;
  • учетные записи служб могут быть связаны с несколькими токенами;
  • в отличие от ключей API, токены учетных записей служб не связаны с конкретным пользователем, а значит приложения могут проходить аутентификацию, даже если пользователь Подсистемы удален;
  • можно предоставить подробные разрешения учетным записям служб, используя управление доступом на основе ролей.

Создание учетной записи службы

Учетная запись службы может использоваться для запуска автоматизированных рабочих процессов в Подсистеме, таких как подготовка панели мониторинга, настройка или создание отчетов.

Следует обратить внимание, что пользователь, создавший учетную запись службы, также сможет читать, обновлять и удалять созданную им учетную запись службы, а также разрешения, связанные с этой учетной записью службы.

Предварительно следует убедиться, что есть разрешение на создание и редактирование учетных записей служб. По умолчанию для создания и редактирования учетных записей служб требуется роль администратора организации.

Чтобы создать учетную запись службы, нужно выполнить следующие действия:

  1. войти в Подсистему и нажать "Administration (Администрирование)" в меню слева;
  2. выбрать "Users and access (Пользователи и доступ)";
  3. выбрать "Service accounts (Учетные записи служб)";
  4. нажать Add service account (Добавить учетную запись службы);
  5. ввести "Display name (Отображаемое имя)"; отображаемое имя должно быть уникальным, так как оно определяет идентификатор, связанный с учетной записью службы:
  • рекомендуется использовать единообразные имена при именовании учетных записей служб для масштабирования и поддержки учетных записей служб в будущем;
  • можно изменить отображаемое имя в любое время;
  1. выбрать "Role (Роль)";
  2. нажать Create (Создать).

Добавление токена к учетной записи службы

Можно создать токен учетной записи службы с помощью пользовательского интерфейса Подсистемы или API.

Предварительно следует убедиться, что есть разрешение на создание и редактирование учетных записей служб. По умолчанию для создания и редактирования учетных записей служб требуется роль администратора организации.

По умолчанию срок действия токенов учетных записей служб не ограничен. Но если token_expiration_day_limit установлено в значение больше 0, Подсистема ограничивает срок действия новых токенов заданным значением в днях.

Чтобы добавить токен в учетную запись службы, нужно выполнить следующие действия:

  1. войти в Подсистему и выбрать "Administration (Администрирование)" в меню слева;
  2. выбрать "Users and access (Пользователи и доступ)";
  3. выбрать "Service accounts (Учетные записи служб)";
  4. в строке учетной записи службы, к которой требуется добавить токен нажать Add token (Добавить токен);
  5. ввести имя для токена;
  6. (рекомендуется) выбрать "Set expiration date (Установить срок действия)" и ввести срок действия токена с учетом того, что:
  • дата истечения срока действия указывает, как долго требуется, чтобы ключ был действителен;
  • если нет уверенности в сроке действия токена, установить срок действия токена на короткое время, например несколько часов или меньше – это снизит риск, связанный с токеном, действительным в течение длительного времени;
  1. нажать Generate token (Сгенерировать токен) и скопировать токен в буфер обмена.

Назначение ролей учетной записи службы

Можно назначить роли организации (Viewer, Editor, Admin) учетной записи службы Подсистемы, чтобы контролировать доступ к связанным с ней токенам учетной записи службы. Можно назначить роли организации учетной записи службы с помощью пользовательского интерфейса Подсистемы или API.

Предварительно следует убедиться, что есть разрешение на обновление ролей учетных записей служб. По умолчанию для обновления разрешений учетных записей служб требуется роль администратора организации.

Чтобы назначить роль учетной записи службы, нужно выполнить следующие действия:

  1. войти в Подсистему и нажать "Administration (Администрирование)" в меню слева;
  2. нажать "Users and access (Пользователи и доступ)";
  3. выбрать "Service accounts (Учетные записи служб)";
  4. в строке требуемой учетной записи службы в столбце "Roles (Роли)" выбрать роль из раскрывающегося списка.

Управление разрешениями пользователей и команд для учетной записи службы

Чтобы контролировать, что и кто может делать с помощью учетной записи службы, можно назначать разрешения непосредственно пользователям и командам. Можно назначать разрешения с помощью пользовательского интерфейса Подсистемы.

Предварительно следует убедиться, что:

  • есть разрешение на обновление разрешений пользователей и групп для учетных записей служб; по умолчанию для обновления разрешений пользователей и команд для учетной записи службы требуется роль администратора организации;
  • есть разрешение на чтение команд.

Можно назначить одно из следующих разрешений конкретному пользователю или команде пользователей:

  • Edit – пользователь или команда с этим разрешением могут просматривать, редактировать, включать и отключать учетную запись службы, а также добавлять или удалять токены учетной записи службы;
  • Admin – пользователь или группа с этим разрешением смогут выполнять все действия с разрешением "Edit", а также управлять разрешениями пользователей и команд для учетной записи службы.

Чтобы обновить разрешения команды для учетной записи службы, нужно выполнить следующие действия:

  1. войти в Подсистему и нажать "Administration (Администрирование)" в меню слева;
  2. нажать "Users and access (Пользователи и доступ)";
  3. выбрать "Service accounts (Учетные записи служб)";
  4. выбрать учетную запись службы, для которой требуется обновить права команды на роль;
  5. в секции "Permissions (Разрешения)" внизу нажать Add permission (Добавить разрешение);
  6. выбрать "Team (Команда)" в раскрывающемся списке и выбрать желаемую команду;
  7. выбрать роль View, Edit или Admin в раскрывающемся списке и нажать Save (Сохранить).

Чтобы обновить разрешения пользователя для учетной записи службы, нужно выполнить следующие действия:

  1. войти в Подсистему и нажать "Administration (Администрирование)" в меню слева;
  2. нажать "Users and access (Пользователи и доступ)";
  3. выбрать "Service accounts (Учетные записи служб)";
  4. выбрать учетную запись службы, для которой требуется обновить права группы на роль;
  5. в секции "Permissions (Разрешения)" внизу нажать Add permission (Добавить разрешение);
  6. выбрать "User (Пользователь)" в раскрывающемся списке и выбрать желаемого пользователя;
  7. выбрать роль View, Edit или Admin в раскрывающемся списке и нажать Save (Сохранить).