Typowe scenariusze ról i wymagane uprawnienia

Macierz kontroli dostępu na poziomie zakładek

Ta sekcja zawiera szczegółowy przegląd uprawnień i/lub zdolności wymaganych do uzyskania dostępu i wykonywania operacji w poszczególnych częściach interfejsu użytkownika Fudo Enterprise.


Każda tabela odpowiada jednej z głównych zakładek w systemie. W zależności od złożoności zakładki, tabela może zawierać:

  • Podsekcja: zagnieżdżony komponent lub funkcja w zakładce (np. „Ogólne > Data i czas” w zakładce System).

  • Akcja: konkretna operacja (np. widoczna, tworzenie, konfiguracja) kontrolowana przez prawa dostępu.

  • Uprawnienia: wymagane przywileje, które umożliwiają użytkownikowi wykonanie danej akcji.

  • Zdolności: jeśli dotyczy, wymienione są dodatkowe wymagania dotyczące zdolności. W przypadku ich braku, kolumna zawiera Brak.

Kontrola dostępu w systemie jest egzekwowana na podstawie przypisanych ról użytkownika, które z kolei nadają odpowiednie przywileje i zdolności.

Uwaga

  • Przydzielone zdolności do konkretnych obiektów mogą powodować wyświetlanie się zakładek w interfejsie, nawet jeśli użytkownik nie ma odpowiednich uprawnień do wykonywania jakichkolwiek operacji w tych zakładkach.

  • Niektóre zaawansowane zakładki, jak Sejfy, wymagają więcej niż tylko własnych przywilejów (np. safe-read, safe-create). Aby w pełni utworzyć lub zarządzać sejfem, użytkownik musi mieć także uprawnienia do podglądu i wyboru zasobów powiązanych – takich jak konta, serwery, pule lub grupy – które są częścią konfiguracji sejfu.

Macierz uprawnień/zdolności: zakładka Dashboard

Akcja

Uprawnienia

Zdolności

read

dashboard

Brak
Macierz uprawnień/zdolności: zakładka Sesje

Akcja

Uprawnienia

Zdolności

read

session-read

Brak

backup

session-backup

Brak

delete

session-delete

Brak

download

session-file-download, session-movie-download

Brak

encode

session-encode

Brak

retention

session-modify

Brak
Macierz uprawnień/zdolności: zakładka Żądania

Akcja

Uprawnienia

Zdolności

read

access-request-read

Brak
Macierz uprawnień/zdolności: zakładka Role

Akcja

Uprawnienia

Zdolności

read

role-read

Brak

create

role-create

Brak

modify

role-modify

Brak

delete

role-delete

Brak
Macierz uprawnień/zdolności: zakładka Użytkownicy

Akcja

Uprawnienia

Zdolności

read

user-create, user-read

user

create

user-create

Brak
Macierz uprawnień/zdolności: zakładka Grupy

Akcja

Uprawnienia

Zdolności

read

group-create, group-read

group

create

group-create

Brak
Macierz uprawnień/zdolności: zakładka Serwery

Akcja

Uprawnienia

Zdolności

read

server-create, server-read

server

create

server-create

Brak
Macierz uprawnień/zdolności: zakładka Pule

Akcja

Uprawnienia

Zdolności

read

pool-create, pool-read

pool

create

pool-create

Brak
Macierz uprawnień/zdolności: zakładka Konta

Akcja

Uprawnienia

Zdolności

read

account-create, account-read

account

create

account-create

Brak
Macierz uprawnień/zdolności: zakładka Listenery

Akcja

Uprawnienia

Zdolności

read

listener-create, listener-read

Brak

create

listener-create

Brak

modify

listener-modify

Brak

delete

listener-delete

Brak
Macierz uprawnień/zdolności: zakładka Sejfy

Podsekcja

Akcja

Uprawnienia

Zdolności

Sejfy

read

safe-create, safe-read

safe

create

safe-create

Brak

Powiadomienia

read

notification-filter-read, notification-filter-create

Brak

create

notification-filter-create

Brak

delete

notification-filter-delete

Brak
Macierz uprawnień/zdolności: zakładka Discovery

Podsekcja

Akcja

Uprawnienia

Zdolności

Skanery

read

scanner-read

Brak

create

scanner-create

Brak

modify

scanner-modify

Brak

delete

scanner-delete

Brak

start

scanner-start

Brak

Reguły

read

discovery-rule-read

Brak

create

discovery-rule-create

Brak

modify

discovery-rule-modify

Brak

delete

discovery-rule-delete

Brak
Macierz uprawnień/zdolności: zakładka Modyfikatory haseł

Podsekcja

Akcja

Uprawnienia

Zdolności

Modyfikator haseł

read

password-changer-read

Brak

create

password-changer-create

Brak

modify

password-changer-modify

Brak

delete

password-changer-delete

Brak

Polityka haseł

read

password-change-policy-read

Brak

create

password-change-policy-create

Brak

modify

password-change-policy-modify

Brak

delete

password-change-policy-delete

Brak
Macierz uprawnień/zdolności: zakładka Aplikacje zdalne

Akcja

Uprawnienia

Zdolności

read

remoteapp-read

Brak

create

remoteapp-create

Brak

modify

remoteapp-modify

Brak

delete

remoteapp-delete

Brak
Macierz uprawnień/zdolności: zakładka Polityki

Podsekcja

Akcja

Uprawnienia

Zdolności

Polityka

read

policy-read

Brak

create

policy-create

Brak

modify

policy-modify

Brak

delete

policy-delete

Brak

Wyrażenia regularne

read

regexp-read

Brak

create

regexp-create

Brak

modify

regexp-modify

Brak

delete

regexp-delete

Brak
Macierz uprawnień/zdolności: zakładka Do pobrania

Podsekcja

Akcja

Uprawnienia

Zdolności

Pliki

read

session-file-read

Brak

download

session-file-download

Brak

delete

session-file-delete

Brak

Nagrania

read

session-movie-read

Brak

download

session-movie-download

Brak

delete

session-movie-delete

Brak
Macierz uprawnień/zdolności: zakładka Raporty

Akcja

Uprawnienia

Zdolności

read

report-read

Brak

create

report-create

Brak

modify

report-modify

Brak

delete

report-delete

Brak
Macierz uprawnień/zdolności: zakładka Produktywność

Akcja

Uprawnienia

Zdolności

read

productivity-read

Brak
Macierz uprawnień/zdolności: zakładka System

Podsekcja

Akcja

Uprawnienia

Zdolności

Ogólne > Data i czas

read

datetime-read

Brak

configure

datetime-modify

Brak

Ogólne > NTP

read

ntp-read

Brak

configure

ntp-modify

Brak

Ogólne > Certyfikaty

read

certificate-read

Brak

Ogólne > Certyfikaty > Panel administracyjny

read

certificate-read

Brak

configure

certificate-mgmt

Brak

Ogólne > Certyfikaty > Brama dostępu

read

certificate-read

Brak

configure

certificate-uag

Brak

Ogólne > Certyfikaty > CA użytkownika

read

certificate-read

Brak

configure

certificate-client

Brak

Ogólne > Nadzór konserwacyjny > Odrzuć nowe połączenia

read

maintenance-read

Brak

configure

deny-new-connections

Brak

Ogólne > Nadzór konserwacyjny > Dostęp pomocy technicznej

read

maintenance-read

Brak

configure

tech-support-access

Brak

Ogólne > Nadzór konserwacyjny > API healthcheck

read

maintenance-read

Brak

configure

healthcheck-api

Brak

Ogólne > Nadzór konserwacyjny > Callhome

read

maintenance-read

Brak

configure

callhome

Brak

Ogólne > Klucz główny

read

masterkey-read

Brak

eksport

masterkey-export

Brak

invalidate

masterkey-invalidate

Brak

Ogólne > SNMP

read

snmp-read

Brak

configure

snmp-modify

Brak

Ogólne > Podpis czasowy

read

timestamp-read

Brak

configure

timestamp-modify

Brak

Ogólne > Węzły modyfikatorów haseł

read

password-changer-node-read

Brak

configure

password-changer-node-modify

Brak

Ogólne > Discovery

read

discovery-node-read

Brak

configure

discovery-node-modify

Brak

Ogólne > Funkcje wrażliwe

read

sensitive-feature-read

Brak

configure

sensitive-feature-modify

Brak

Ogólne > HTTP Proxy

read

http-proxy-read

Brak

configure

http-proxy-modify

Brak

Aktualizacja

read

upgrade-read

Brak

upload

upgrade-upload

Brak

check

upgrade-check

Brak

install

upgrade-install

Brak

delete

upgrade-delete

Brak

usuń migawkę

upgrade-snapshot-delete

Brak

Hotfix

read

hotfix-read

Brak

upload

hotfix-upload

Brak

install

hotfix-install

Brak

delete

hotfix-delete

Brak

Licencja

read

license-read

Brak

configure

license-upload

Brak

Diagnostyka

read

diagnostic

Brak

Konfiguracja > Eksport

read

configuration-export

Brak

Konfiguracja > Import

read

configuration-import

Brak

Konfiguracja > Dane serwisowe

read

service-data

Brak
Macierz uprawnień/zdolności: zakładka Sieć

Podsekcja

Akcja

Uprawnienia

Zdolności

Interfejsy

read

network-read

Brak

configure

network-modify

Brak

DNS

read

network-read

Brak

configure

network-modify

Brak

Routing

read

network-read

Brak

configure

network-modify

Brak

ARP

read

network-read

Brak

configure

network-modify

Brak

Etykiety

read

label-read

Brak

configure

label-modify

Brak
Macierz uprawnień/zdolności: zakładka Zewnętrzne repozytoria

Akcja

Uprawnienia

Zdolności

read

external-storage-read

Brak

configure

external-storage-modify

Brak
Macierz uprawnień/zdolności: zakładka Powiadomienia

Akcja

Uprawnienia

Zdolności

read

smtp-read

Brak

configure

smtp-modify

Brak
Macierz uprawnień/zdolności: zakładka Sztuczna inteligencja

Akcja

Uprawnienia

Zdolności

read

ai-read

Brak

configure

ai-modify

Brak
Macierz uprawnień/zdolności: zakładka Uwierzytelnianie

Podsekcja

Akcja

Uprawnienia

Zdolności

Zewnętrzne

read

extauth-read

Brak

create

extauth-create

Brak

modify

extauth-modify

Brak

delete

extauth-delete

Brak

OpenID Connect

read

oidc-read

Brak

create

oidc-create

Brak

modify

oidc-modify

Brak

delete

oidc-delete

Brak

Globalne

read

authentication-read

Brak

configure

authentication-modify

Brak
Macierz uprawnień/zdolności: zakładka Repozytoria haseł

Akcja

Uprawnienia

Zdolności

read

passvn-read

Brak

create

passvn-create

Brak

modify

passvn-modify

Brak

delete

passvn-delete

Brak
Macierz uprawnień/zdolności: zakładka Zasoby

Podsekcja

Akcja

Uprawnienia

Zdolności

Protokoły

read

logo-read

Brak

configure

logo-modify

Brak

Portal użytkownika

read

logo-read

Brak

configure

logo-modify

Brak
Macierz uprawnień/zdolności: zakładka Kopie zapasowe i retencja

Podsekcja

Akcja

Uprawnienia

Zdolności

Kopia zapasowa

read

backup-read

Brak

create

backup-create

Brak

modify

backup-modify

Brak

delete

backup-delete

Brak

Retencja

read

retention-read

Brak

configure

retention-modify

Brak
Macierz uprawnień/zdolności: zakładka Cluster

Podsekcja

Akcja

Uprawnienia

Zdolności

Węzły

read

cluster-read

Brak

create

cluster-modify

Brak

modify

cluster-modify

Brak

delete

cluster-modify

Brak

cluster_create

cluster-modify

Brak

cluster_join

cluster-modify

Brak

Grupy nadmiarowości

read

cluster-read

Brak

create

cluster-modify

Brak

modify

cluster-modify

Brak

delete

cluster-modify

Brak

failover

cluster-failover

Brak
Macierz uprawnień/zdolności: zakładka Katalog użytkowników

Akcja

Uprawnienia

Zdolności

read

user-directory-read

Brak

create

user-directory-create

Brak

modify

user-directory-modify

Brak

delete

user-directory-delete

Brak
Macierz uprawnień/zdolności: zakładka Logi zdarzeń

Akcja

Uprawnienia

Zdolności

read

log-read

Brak
Macierz uprawnień/zdolności: zakładka Sieć Fudo

Akcja

Uprawnienia

Zdolności

read

fudo-network

Brak

Widoczność widżetów Dashboardu

Widoczność poszczególnych widżetów na Dashboardzie zależy od następujących uprawnień:

Wymagane uprawnienia do wyświetlenia wszystkich widżetów Dashboardu

Uprawnienie

Opis

Powiązany widżet

dashboard

Dostęp do zakładki Dashboard

Zakładka Dashboard

account-read

Podgląd listy kont i ich szczegółów

Alerty kont

user-read

Podgląd listy użytkowników i ich szczegółów

Aktywni użytkownicy

session-read

Podgląd listy sesji i ich szczegółów

Podejrzane sesje, Nowe sesje, Sesje równoczesne

configuration-read

Podgląd zakładki Konfiguracja

Licencja

log-read

Podgląd logów zdarzeń

Logi

cluster-read

Podgląd konfiguracji klastra

Węzeł

Jeśli użytkownik ma zdolność do jakiegokolwiek użytkownika lub konta oraz przywilej dashboard, zobaczy odpowiednio widżety Aktywni użytkownicyAlerty kont.

Uwaga

Jeśli rola użytkownika zostanie zmieniona, niektóre widżety mogą zniknąć z pulpitu i trafić do Marketu widżetów. Aby je przywrócić, należy dodać je ręcznie z Marketu do Dashboardu.

Uprawnienia do zakładki Sesje

Aby wyświetlić i korzystać z zakładki Sesje, użytkownik musi posiadać następujące przywileje:

  • session-view

  • session-read

Dodatkowo, aby zobaczyć konkretną sesję na liście, użytkownik musi mieć uprawnienia odczytu do wszystkich obiektów powiązanych z tą sesją:

  • użytkownika uczestniczącego w sesji,

  • serwera docelowego,

  • użytego konta,

  • powiązanego sejfu (jeśli dotyczy).

Odtwarzanie i podgląd

Aby wyświetlić lub odtworzyć sesję, wymagane są następujące uprawnienia:

  • user-session-view

  • session-view

  • session-read

  • uprawnienie odczytu do wszystkich obiektów powiązanych (użytkownik, serwer, konto, sejf)

Kopia zapasowa sesji

Uprawnienie session-backup umożliwia przesłanie sesji do kopii zapasowej. Działanie to nie modyfikuje sesji, dlatego ma dedykowane przywileje.

Zarządzanie sesjami

Uprawnienie session-modify umożliwia wykonywanie zaawansowanych operacji na sesjach. Użytkownicy z tym przywilejem mogą wykonywać następujące czynności dla sesji, do których mają dostęp:

  • przywracanie sesji z kopii zapasowej,

  • pobieranie plików przesłanych przez SCP lub SFTP,

  • zatwierdzanie lub odrzucanie sesji (jeśli sejf wymaga zatwierdzania),

  • przesyłanie sesji do innych węzłów,

  • cofanie udostępnienia sesji,

  • modyfikowanie edytowalnych atrybutów sesji,

  • modyfikowanie znaczników czasu sesji.

Uprawnienia do zakładki Pobieranie

Dostęp do zakładki Pobieranie, która pozwala użytkownikom na pobieranie plików powiązanych z sesjami (np. nagrania, przesłane pliki), jest kontrolowany przez następujące uprawnienia:

  • session-*

  • session-file-*

  • session-movie-*

Jednak same te przywileje nie zapewniają dostępu globalnego do wszystkich sesji. Aby użytkownik mógł zobaczyć i pobrać pliki z konkretnej sesji, musi również mieć prawa dostępu do wszystkich obiektów powiązanych z tą sesją:

  • użytkownika, który zainicjował sesję,

  • docelowego serwera,

  • użytego konta,

  • sejfu, w którym te obiekty się znajdują.

Prawa te można nadać poprzez globalne uprawnienia lub przypisanie odpowiednich zdolności.

Zarządzanie sejfami

Uwaga

Aby zarządzać kontami w sejfach, użytkownik musi mieć co najmniej uprawnienie listener-read, niezależnie od posiadanych uprawnień do samych kont.

Aby utworzyć sejf, wymagane są następujące minimalne uprawnienia:

  • safe-read

  • safe-create

  • safe-user-add

  • user-read

  • account-read

  • listener-read

Dodatkowe wymagania dla konkretnych operacji:

  • Aby przypisywać grupy do sejfu:

    • group-read

  • Aby zarządzać powiadomieniami:

    • notification-filter-read

    • notification-filter-create

    • notification-filter-delete

  • Aby przypisywać polityki:

    • policy-read

Uprawnienia do żądań dostępu

Aby głosować nad żądaniem dostępu, użytkownik musi spełniać następujące warunki:

  • posiadać uprawnienie access-request-read – umożliwia dostęp do zakładki Żądania,

  • posiadać uprawnienie access-request-vote – umożliwia oddanie głosu,

  • mieć uprawnienia odczytu do powiązanych obiektów:

    • Użytkownik – użytkownik wnioskujący,

    • Serwer/Pula - do którego wnioskowany jest dostęp.

    • Sejf – zawierający żądane konto,

    • Konto – którego dotyczy żądanie.

Do uczestnictwa w procesie zatwierdzania wymagane są poprawne konfiguracje uprawnień i zdolności.

Fudo Officer

Aby sparować lub odłączyć aplikację mobilną Fudo Officer z kontem, użytkownik musi mieć dostęp do Panelu administratora i posiadać zdolność modify do własnego konta.


Aby aplikacja Fudo Officer działała w pełni, użytkownik musi posiadać następujące uprawnienia:

  • user-read

  • server-read

  • listener-read

  • safe-read

  • account-read

  • access-request-vote

  • access-request-read

Uprawnienia do raportów

Uwaga

Tylko użytkownicy posiadający uprawnienia report-read oraz system-report-read mają dostęp do raportów systemowych, które są automatycznie generowane przez system. Takie raporty zawierają wszystkie dane z systemu, w tym dotyczące wszystkich obiektów.

report-create

  • Gwarantuje, że raport zostanie wygenerowany i pojawi się w zakładce Reports → Reports.

  • Umożliwia generowanie raportów z poziomu zakładki Sessions.

report-read

  • Wymagane do przeglądania jakichkolwiek raportów.

  • Użytkownicy nie mogą przeglądać raportów wygenerowanych przez innych użytkowników.

  • Umożliwia przeglądanie raportów zgodnie z istniejącymi subskrypcjami, raportów historycznych oraz tych wygenerowanych z zakładki Sessions.

report-modify

  • Umożliwia zarządzanie subskrypcjami raportów z poziomu zakładki Reports → Settings.

  • Administrator może dodać subskrypcję na dowolny typ raportu.

  • Dane w wygenerowanym raporcie są ograniczone do obiektów i informacji, do których użytkownik ma uprawnienia.

Uwaga

Dane zawarte w wygenerowanym raporcie są ograniczone do obiektów oraz innych informacji, do których użytkownik ma dostęp.

report-delete

  • Użytkownicy mogą usuwać wyłącznie swoje własne raporty.

system-report-read

  • Zapewnia dostęp do treści raportów systemowych, niezależnie od przyznanych capabilities lub uprawnień.

  • Musi być połączone z uprawnieniem report-read, aby raporty systemowe oraz zakładka Reports były widoczne.

  • To uprawnienie jest przeznaczone wyłącznie dla użytkowników z rolą superadmin.

Zobacz także: