J3qx

information archive

Инструкция №0011-IT – Права доступ в Confluence и Jira

Posted by j3qx на Апрель 2, 2016

Инструкция №0011-IT – Права доступ в Confluence и Jira

 

Модель выдачи прав в Confluence и Jira будет одинакова.  На данный момент Confluence полностью переведен на авторизацию AD. Соответственно данное руководство относится к нему в полном объеме. Jira будет полностью переведенна на AD в ближайшее время. При этом важно учесть и понимать, что новые сотрудники в Jire уже заводятся через авторизацию AD, как следствие изложенное ниже применимо и к ним в полном объеме.

 

Настройки синхронизации

На данный момент и в Jira и Confluence настроена синхронизация с AD, при этом каталог авторизации AD является вторым по очереди. Что подразумевает – сначала пользователь ищется во внутреннем каталоги авторизации, потом в AD. На уровне настройки каталога – доступ в AD – READ ONLY, на уровне учетной записи от имени которой проходит синхронизации – у нее тоже доступ только на чтение. Отсюда важное следствие – учетные записи использующие AD авторизацию, не могут и не должны  состоять во внутренних группах (Jira или Confluence), тоже самое верно и наоборот, локальные учетные записи  Jira (Confluence) не могут состоять в доменных группах.

Права доступа

При выдачи прав необходимо придерживаться правила сложения прав. То есть, на каждый space/project — своя группа в AD, которая дает доступ только на этот space/project и только нужного уровня. Соответственно выдача прав для пользователя производится — выдача базовой группы, плюс группы нужных проектов

 

Например сотруднику Иванову Ивану нужен полный доступ на space project1, соответственно Иванов Иван должен быть добавлен в g_confluence_users — она даст ему возможность входить в confluence с базовыми правами, а так же он должен быть добавлен в группу g_confluence_prj1_full — которая даст ему полные права на space project1.  Аналогично работает схема прав и в Jira

 

Порядок выдачи прав в Jira и Confluence

  1. HD получает заявку с запросом предоставить права в проект/space для сотрудника.
    1. HD уточняет в случае необходимости имя проекта/space и уровень доступа
  2. HD проверяет – есть ли данный пользователь в AD, если есть то проверяет наличия базового доступа для Jira – g_jira_users; Confluence – g_confluence_users. Так же для сотрудника проверяется, находится ли он в OU=offices либо ниже по структуре этой OU
    1. Если сотрудника нет в AD
      1. Для confluence – создается учетная запись в AD
      2. Для Jira – проверяется, есть ли у него учетная запись внутри Jira
  • Если в Jira учетная запись есть, то информация передается Ольге Николаевой
  1. Если учетная запись в Jira нет, заводится новая и выдаются базовые права
  1. После проверки базовых прав, проверяется наличия в AD нужных групп проектов, группы Jira и Confluenca находятся в OU=Jira-Confluence, OU=GroupsAll. В description у каждой группы добавлено описание подчиняющееся следующим правилам – Имя системы. Название проекта. Уровень доступа. Пример Confluence. Project LEOS.Express Full access
  1. Если сотрудник есть в AD, состоит в базовой группе, но для него нет подходящей группы проекта/space – сотрудник HD назначит заявку на Ольгу Николаеву с комментарием: логин сотрудника и что нет подходящей групп в AD.
  2. Ольга – проверяет на уровне проекта/space есть ли подходящая AD группа
    1. Если есть, заявка возвращается в HD с комментарием в какую группу добавить сотрудника
    2. Если нет – заявка возвращается с комментарием: код проекта, полное название проекта, уровень доступа
  3. Сотрудник HD либо добавляет сотрудника в нужную группу, либо создает ее
    1. Если группа создается то именовать группу согласна текущей схеме g_имя_системы_код-проекта_уровень-доступа, пример g_confluence_leos_full. Дескрпишен пишется подчиняясь правилу описанному выше
    2. После создания группы и добавления в нее нужного сотрудника, сотрудник HD назначает заявку на Ольгу Николаеву, с просьбой выдать в нужный проект/space доступ указанной группе
  4. Ольга – проверяет наличия групп в разделе администрирования групп, если группы нет – проводит принудительную синхронизацию и снова проверяет наличие группы
    1. Выдает на уровне space/project нужный уровень доступа
  5. Заявка закрывается

 

 

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: