Глава 16: Администрирование пользователей и прав доступа¶
Аудитория: DevOps, системные администраторы
Панель администрирования (/admin)¶
Панель администрирования доступна только пользователям с флагом is_sudo. Она предоставляет управление пользователями, конфигурацию системы и журнал аудита.
Управление пользователями (/admin/users)¶
Создание пользователей¶
Два способа:
| Способ | Когда использовать |
|---|---|
| Локальная учётная запись | Для пользователей, которые будут входить по email и паролю. Вы задаёте начальный пароль. |
| Предварительное создание OAuth | Для пользователей, которые будут входить через Google OAuth. Предварительное создание записи позволяет назначить права до первого входа. |
Поля: email (обязательно), отображаемое имя, роль, метод аутентификации, пароль (только для локальных).
Роли и права доступа¶
Глобальные права определяют, что пользователь может делать на уровне всей системы:
- Стандартный пользователь: доступ к основным функциям
- Ограниченный пользователь: сокращённая боковая панель (без разделов настроек, администрирования и QPS)
- Администратор (is_sudo): полный доступ, включая панель администрирования
Права на уровне мест определяют, какие аккаунты байеров доступны пользователю:
- Предоставление доступа к определённым значениям buyer_account_id
- Уровень доступа может различаться для каждого места
- Пользователь без прав на места не видит данные
Управление правами¶
- Перейдите в
/admin/users - Выберите пользователя
- В разделе «Seat Permissions»: предоставьте или отзовите доступ к местам байера
- В разделе «Global Permissions»: предоставьте или отзовите права на уровне системы
- Изменения вступают в силу при следующей загрузке страницы пользователем
Деактивация пользователей¶
Деактивация пользователя сохраняет его запись (для журнала аудита), но блокирует вход. Данные и права не удаляются; пользователя можно активировать повторно.
Сервисные аккаунты (/settings/accounts)¶
Сервисные аккаунты представляют учётные данные GCP, которые позволяют Cat-Scan взаимодействовать с API Google.
Загрузка учётных данных¶
- Перейдите в
/settings/accounts> вкладка API Connection - Загрузите JSON-файл ключа сервисного аккаунта GCP
- Cat-Scan проверит учётные данные и покажет статус подключения
Примечание по безопасности: Добавляйте JSON-ключ сервисного аккаунта только в конце настройки, чтобы минимизировать риск утечки.
Что открывают сервисные аккаунты¶
- Обнаружение мест: поиск аккаунтов байеров, связанных с учётными данными
- Синхронизация претаргетинга: получение текущего состояния конфигурации из Google
- Синхронизация RTB-эндпоинтов: обнаружение эндпоинтов биддера
- Сбор креативов: получение метаданных креативов
Журнал аудита (/admin/audit-log)¶
Каждое значимое действие записывается в журнал:
| Действие | Что его вызывает |
|---|---|
login |
Успешная аутентификация |
login_failed |
Неудачная попытка аутентификации |
login_blocked |
Вход отклонён (деактивированный пользователь и т. д.) |
create_user |
Создание нового пользователя |
update_user |
Изменение профиля пользователя |
deactivate_user |
Деактивация пользователя |
reset_password |
Сброс пароля |
change_password |
Смена пароля |
grant_permission |
Предоставление прав |
revoke_permission |
Отзыв прав |
update_setting |
Изменение системной настройки |
create_initial_admin |
Создание первого администратора при настройке |
Фильтры: по пользователю, типу действия, типу ресурса, временному окну (дни), с пагинацией.
Конфигурация системы (/admin/configuration)¶
Глобальные настройки в формате «ключ-значение», управляющие поведением системы. Редактируются администраторами. Изменения записываются в журнал аудита.
Связанные разделы¶
- Вход в систему: пользовательский опыт аутентификации
- Обзор архитектуры: детали цепочки доверия аутентификации