LDAP. Как обеспечить доступ на редактирование дашбордов

amikhailovsky · 02.Февраль.2023 09:30:36

У пользователей LDAP: доступ к дашбордам есть, но не ясно как управлять типом доступа (чтение, редактирование,…).
Например, не ясно как получить доступ к self-services (нет кнопки в UI). Пользователь с признаком “админ”, так же не может редактировать дашборды.
Видимо через LDAP доступ только на просмотр.

nvavilov · 03.Февраль.2023 09:07:05

Добрый день!

Только у пользователя с ролью “admin” присутствует возможность редактировать дэшборды.
Пользователи с ролью “usual” имеют доступ только к просмотру.

Для назначения роли “админ” при работе с LDAP необходимо изменить строку в таблице “rbac.domain_group_admin_maps” с указанием группы и домена пользователей, которым необходимо предоставить роль “admin”.
Пример:
update rbac.domain_group_admin_maps set user_group=‘AD-AUTH3’;

Для добавления в таблицу “rbac.domain_group_admin_maps” дополнительных пользователей со статусом admin, необходимо добавить строку со столбцами “user_domain”, “user_group” и “access_level”.
Пример:
INSERT INTO rbac.domain_group_admin_maps (user_domain, user_group, access_level, config, updated, created) VALUES(‘DOMAIN1’, ‘AD-AUTH3’, ‘admin’, ‘{}’::jsonb, statement_timestamp(), statement_timestamp());

amikhailovsky · 03.Февраль.2023 09:35:41

Скажите пожалуйста, а adm.users править не надо.
Там access_level сам установится нужный?

nvavilov · 03.Февраль.2023 10:02:18

При работе по LDAP в adm.users править access_level не требуется, так как поступившая информация для проверки пользователя через AD перезапишет указанную вами информацию.
Необходимо настраивать роль “admin” только в таблице rbac.domain_group_admin_maps.

amikhailovsky · 03.Февраль.2023 11:57:08

Хорошо. Спасибо.
Коллеги, лучше конечно чтобы можно было подобные настройки делать в интерфейсе пользователя.

И конечно, нужно планировать доработку, чтобы редактировать дашборды могли не только админы.

nvavilov · 03.Февраль.2023 12:17:36

Спасибо.
В настоящее время мы работаем над улучшением функционала.

amikhailovsky · 03.Февраль.2023 13:03:59

Коллеги, еще вопрос по разделению доступа предложенным выше образом.
Почему группа что назначена в настройках админом получает полный доступ, а не только в рамках настроенных в RBAC дашбордах?
Сейчас получается выдача админских прав, делает бесмысленной настройку для этой группы прав в RBAC.
Верно?

получается хитрее. датасеты видны все, а дашборды, только что включены в RBAC

nvavilov · 06.Февраль.2023 12:18:09

При работе с включенным RBAC роль “admin” из группы rbac.domain_group_admin_maps является приоритетнее выставленных прав в разделе rbac.
Подскажите, находится ли в данной таблице пользователь, на которого действуют права(rbac) из вашего вопроса ?

amikhailovsky · 06.Февраль.2023 13:52:24

Да. пользователь из этой группы админов.

nvavilov · 07.Февраль.2023 08:38:11

Как я и писал ранее, на пользователя с ролью “админ” не влияют ограничения со стороны rbac.
Для того чтобы Админу выставить абсолютные права необходимо в таблице rbac.rules добавить строку с группой и доменом админа, например, командой:
INSERT INTO rbac.rules (user_domain, user_group) VALUES(‘GROUPS’, ‘DOMAIN’);

nvavilov · 08.Февраль.2023 09:18:05

Если подытожить:

Для добавления роли “админ” пользователю в рамках “группы” и “домена” при работе с LDAP:

– добавить внешнюю группу для админов:
INSERT INTO rbac.ext_groups (group_name) VALUES (‘VIRTUAL_ADMINS’);
– добавить внешний домен для админов:
INSERT INTO rbac.ext_domains (domain_name) VALUES (‘<AD_DOMAIN>’);
– добавить админские права группе в домене:
INSERT INTO rbac.domain_group_admin_maps (user_domain, user_group, access_level) VALUES (‘<AD_DOMAIN>’, ‘VIRTUAL_ADMINS’, ‘admin’);
– добавить правила, которые будут применяться к админам:
INSERT INTO rbac.rules (user_domain, user_group) VALUES (‘<AD_DOMAIN>’, ‘VIRTUAL_ADMINS’);