База знаний
Войти

Управление доступом в СУСВ интегрированном с внешним Keycloak

После подключения интеграции Keycloak становится единственным механизмом идентификации пользователей и управления доступом в СУСВ.

Механизм единого входа Keycloak дает возможность пользователям войти в Портал ВМ, Портал администрирования или Портал мониторинга без повторного ввода пароля. Данные учетной записи для аутентификации получаются с сервера Keycloak.

Примечание — При активированном едином входе на Портал ВМ невозможен единый вход в виртуальные машины. При активированном едином входе на Портал ВМ в пароле нет необходимости, поэтому невозможно передать этот пароль для входа в Систему на ВМ.

Для обеспечения доступа пользователя в СУСВ необходимо в Keycloak создать учетные записи. Пользователи и группы создаются в интерфейсе Keycloak, затем в Портале администрирования СУСВ необходимо назначить им соответствующие права доступа.

Примечание — Ранее созданные в СУСВ локальные аккаунты, в том числе учетная запись admin@internal, имеющая полные административные права в СУСВ, становятся недоступными. Но в случае отката интеграции все ранее настроенные аккаунты будут доступны и работоспособны.

В режиме интеграции подключение служб каталогов к СУСВ не поддерживается (рисунок 163), поэтому необходимо использовать функционал федерации внешних баз данных пользователей Keycloak для взаимодействия со службами каталогов.

Рисунок 163 – Ограничение работы с LDAP

Управление пользователями в Keycloak

Группы

Группы в Keycloak управляют общим набором атрибутов для каждого пользователя. Пользователи могут быть членами любого количества групп и наследовать атрибуты, назначенные каждой группе.

Группы являются иерархическими. Группа может иметь несколько подгрупп, но у группы может быть только один родитель.

Управление группами осуществляется в разделе "Groups".

На странице в списке отображаются только группы верхнего уровня. Для просмотра и выполнения операций с дочерними группами, нужно выделить родительскую группу и открыть вкладку "Child groups". В дополнительном меню (вертикальное многоточие) дочерних групп доступны те же операции, что и в дополнительном меню родительских.

Для создания новой группы в разделе "Groups" необходимо нажать New, и ввести наименование группы (рисунок 164). Ввод подтвердить нажатием кнопки Save.

Рисунок 164 – Создать группу

Пользователи

Управление пользователями в Keycloak производится в разделе "Users" (рисунок 165).

Для создания учетной записи пользователя необходимо нажать Add user.

Рисунок 165 – Пользователи в Keycloak

В оснастке добавления пользователя указать необходимые параметры (рисунок 166):

  • Required user actions — (опционально) необходимые действия пользователя при входе в систему;
  • Username — (обязательно) имя пользователя, используемое для аутентификации (логин);
  • Email — (опционально) адрес электронной почты пользователя;
  • Email verified — (опционально) при включении опции "Email verified" пользователю на указанный email придет письмо с инструкцией по активации аккаунта;
  • First name — (опционально) имя пользователя;
  • Last name — (опционально) фамилия пользователя;
  • Groups — (опционально) при нажатии на Join Groups позволяет добавить пользователя в группы.

Рисунок 166 – Создать пользователя

Ввод подтвердить нажатием кнопки Save.

Во вкладке "Users/Credentials" задать пользователю пароль нажатием кнопки Set password. Включенный переключатель Temporary указывает, что при первом входе пользователю необходимо будет изменить пароль (рисунок 167). Ввод подтвердить нажатием кнопки Save.

Рисунок 167 – Установка пароля пользователя в Keycloak

Импорт пользователей и групп в СУСВ

После создания пользователей и групп в Keycloak их нужно импортировать в СУСВ и назначить им роли. Возможны два способа импорта:

  • Автоимпорт. Эта функция запускается при авторизации пользователей на Портале администрирования. При этом для успешного автоимпорта должны быть соблюдены следующие условия:
    • Пользователь должен быть добавлен в группу, которая уже есть в СУСВ. По умолчанию, такой группой является группа ovirt-administrator;
    • Импортированной группе должна быть назначена какая-либо административная или пользовательская роль. Например, группе ovirt-administrator назначена роль SuperUser;
    • Пользователь должен успешно авторизоваться на Портале администрирования в соответствии с ролью группы.
  • Ручной импорт. Требует вмешательства администратора для импорта пользователей и групп из Keycloak в СУСВ. Порядок действий для выполнения этой операции:
  1. Идентифицироваться на портале администрирования с учетной записью, имеющей достаточные права для управления пользователями (по умолчанию admin@ovirt).
  2. Перейти в раздел "Администрирование/Пользователи" (рисунок 168).

Рисунок 168 – Раздел Пользователи в СУСВ

  1. Нажать кнопку Добавить.
  2. В открывшейся оснастке (рисунок 169):
  • Если необходимо импортировать пользователей:
    • Убедиться, что активна опция "Пользователь";
    • Выбрать поиск в openidchttp (openidc-authz);
    • Нажать Поиск;
    • Отметить нужных пользователей и нажать Добавить или  Добавить и закрыть.
  • Если необходимо импортировать группы:
    • Убедиться, что активна опция "Группа";
    • Выбрать поиск в openidchttp (openidc-authz);
    • Нажать Поиск;
    • Отметить нужные группы и нажать Добавить или Добавить и закрыть.

Назначить импортированным пользователям/группам необходимые роли администратора или пользователя ресурсов, в соответствии с документом .

Рисунок 169 – Импорт Пользователя в СУСВ