При включенном RBAC локальные пользователи не работают в полном объеме. Если пользователь админ, то Админка доступна. Но как пользователю работать нельзя - даже админы (не видят дашборды). Допустимо ли совмещение этих режимов?
Добрый день!
Да, работа с локальными пользователями при включенном RBAC - возможна.
- В adm.users необходимо добавить в поле sys_config данные о виртуальных группах для локального пользователя:
-
– добавить конкретному пользователю внешние группы и домен:
UPDATE adm.users SET sys_config = ‘{“ext_domain”: “<AD_DOMAIN>”, “ext_groups”: [“<VIRTUAL_GROUP_NAME>,<VIRTUAL_GROUP_NAME_2>”]}’ WHERE username = ; -
– добавить внешнюю группу для пользователей:
INSERT INTO rbac.ext_groups (group_name) VALUES (‘<VIRTUAL_GROUP_NAME>’), (‘<VIRTUAL_GROUP_NAME_2>’); -
– добавить внешний домен для пользователей:
INSERT INTO rbac.ext_domains (domain_name) VALUES (‘<AD_DOMAIN>’);
После этого виртуальные группы появляются в интерфейсе Права доступа → Rbac, где их можно настроить.
Авторизация локальных пользователей с включенным SSO:
http:///#?no-sso
Если требуется добавить группу для локальных админов.
-
– добавить локальному пользователю внешние домен и группу:
UPDATE adm.users SET sys_config = ‘{“ext_domain”: “<AD_DOMAIN>”, “ext_groups”: [“VIRTUAL_ADMINS”]}’::JSONB where username = ‘adm’; -
– добавить внешнюю группу для админов:
INSERT INTO rbac.ext_groups (group_name) VALUES (‘VIRTUAL_ADMINS’); -
– добавить внешний домен для админов:
INSERT INTO rbac.ext_domains (domain_name) VALUES (‘<AD_DOMAIN>’); -
– добавить админские права группе в домене:
INSERT INTO rbac.domain_group_admin_maps (user_domain, user_group, access_level) VALUES (‘<AD_DOMAIN>’, ‘VIRTUAL_ADMINS’, ‘admin’); -
– добавить правила, которые будут применяться к локальным админам:
INSERT INTO rbac.rules (user_domain, user_group) VALUES (‘<AD_DOMAIN>’, ‘VIRTUAL_ADMINS’);
Доступ к административному интерфейсу:
http://{luxmsbi-host}/admin.html#/?no-sso