Правила доступа к облачным ресурсам

Администратор корпоративного поставщика удостоверений управляет удостоверениями и разрешениями для федеративных пользователей. Правило преобразования удостоверений позволяет настроить удостоверения и доступы к облачным ресурсам. Облачная платформа использует это правило для определения, какие операции федеративные пользователи могут выполнять и к каким ресурсам у них есть доступ.

Для создания и настройки правила:

  1. Зайдите в консоль как администратор безопасности.

  2. В панели слева выберите Identity Providers и нажмите Modify в строке с нужным IdP.

  3. В блоке Identity Conversion Rules нажмите Create Rule.

    Примечание

    После создания IdP в облачной платформе есть преднастроенное правило. Это правило преобразует логины федеративных пользователей в FederationUser и предоставляет доступ к некоторым ресурсам. Если это правило вам не подходит, нажмите Edit Rule и отредактируйте его.

    • Username — имя пользователя, которое отображается в облачной платформе после входа федеративного пользователя. Рекомендуем начинать имя пользователя с FederationUser_, чтобы отличать пользователей облачной платформы от федеративных пользователей.

    • User Group — группа, которой принадлежит федеративный пользователь после входа на облачную платформу. Права пользователя определяются разрешениями группы, в которую он входит.

    • Rule Conditions — условия, при которых федеративный пользователь получает разрешения выбранных групп. Когда условия выполняются, федеративный пользователь наследует разрешения от группы. Если условия не выполняются, правило не применяется и пользователь не получает доступ к облачной платформе.

      Пример правила для корпоративного системного администратора:

      • Username: FederationUser_admin

      • User Group: admin

      • Rule Conditions: Attribute_NAMEID_, Conditionany_one_of, ValueID1;ID2;ID3. Правило сработает только, если ID пользователя соответствует одному из указанных.

        Примечание

        • Можно добавить несколько условий. Правило сработает, если любое из этих условий выполняется.

        • Можно добавить несколько правил для IdP. Правила проверяются одновременно. Если ни одно из правил не выполняется, федеративный пользователь не получит доступ к облачной платформе.

  4. Нажмите OK в области Create Rule area.

  5. Нажмите OK на странице Identity Providers, чтобы изменения вступили в силу.