Розділ 16: Адміністрування користувачів та дозволів¶
Аудиторія: DevOps, системні адміністратори
Панель адміністратора (/admin)¶
Панель адміністратора доступна лише користувачам з прапорцем is_sudo. Вона надає управління користувачами, конфігурацію системи та журнал аудиту.
Управління користувачами (/admin/users)¶
Створення користувачів¶
Два методи:
| Метод | Коли використовувати |
|---|---|
| Локальний обліковий запис | Для користувачів, які входитимуть за допомогою електронної пошти та пароля. Ви встановлюєте початковий пароль. |
| Попереднє створення OAuth | Для користувачів, які входитимуть через Google OAuth. Попереднє створення запису дозволяє призначити дозволи до їхнього першого входу. |
Поля: електронна пошта (обов'язково), ім'я для відображення, роль, метод автентифікації, пароль (лише для локальних).
Ролі та дозволи¶
Глобальні дозволи визначають, що користувач може робити на рівні всієї системи:
- Стандартний користувач: доступ до основних функцій
- Обмежений користувач: обмежена бічна панель (без розділів налаштувань, адміністрування та QPS)
- Адміністратор (is_sudo): повний доступ, включаючи панель адміністратора
Дозволи для окремих місць визначають, які облікові записи покупців може бачити користувач:
- Надання доступу до конкретних значень buyer_account_id
- Рівні доступу можуть відрізнятися для кожного місця
- Користувач без дозволів на місця не бачить жодних даних
Управління дозволами¶
- Перейдіть до
/admin/users - Виберіть користувача
- У розділі "Seat Permissions": надайте або відкличте доступ до місць покупців
- У розділі "Global Permissions": надайте або відкличте доступ на рівні системи
- Зміни набувають чинності при наступному завантаженні сторінки користувачем
Деактивація користувачів¶
Деактивація користувача зберігає його запис (для журналу аудиту), але запобігає входу в систему. Вона не видаляє дані чи дозволи користувача; його можна повторно активувати.
Сервісні облікові записи (/settings/accounts)¶
Сервісні облікові записи представляють облікові дані GCP, що дозволяють Cat-Scan взаємодіяти з API Google.
Завантаження облікових даних¶
- Перейдіть до
/settings/accounts> вкладка API Connection - Завантажте JSON-файл ключа сервісного облікового запису GCP
- Cat-Scan перевірить облікові дані та покаже стан підключення
Примітка щодо безпеки: Додавайте JSON-ключ сервісного облікового запису лише наприкінці налаштування, щоб мінімізувати ризик компрометації.
Що розблоковують сервісні облікові записи¶
- Виявлення місць: пошук облікових записів покупців, пов'язаних з обліковими даними
- Синхронізація претаргетингу: отримання поточного стану конфігурації з Google
- Синхронізація ендпоінтів RTB: виявлення ендпоінтів біддера
- Збір креативів: отримання метаданих креативів
Журнал аудиту (/admin/audit-log)¶
Кожна значна дія записується в журнал:
| Дія | Що її активує |
|---|---|
login |
Успішна автентифікація |
login_failed |
Невдала спроба автентифікації |
login_blocked |
Вхід відхилено (деактивований користувач тощо) |
create_user |
Створено нового користувача |
update_user |
Змінено профіль користувача |
deactivate_user |
Деактивовано користувача |
reset_password |
Скинуто пароль |
change_password |
Змінено пароль |
grant_permission |
Надано дозвіл |
revoke_permission |
Відкликано дозвіл |
update_setting |
Змінено системне налаштування |
create_initial_admin |
Створено першого адміністратора під час налаштування |
Фільтри: за користувачем, типом дії, типом ресурсу, часовим вікном (у днях), з пагінацією.
Конфігурація системи (/admin/configuration)¶
Глобальні налаштування типу ключ-значення, що контролюють поведінку системи. Редагуються адміністраторами. Зміни записуються в журнал аудиту.
Пов'язані розділи¶
- Вхід у систему: досвід автентифікації з боку користувача
- Огляд архітектури: деталі ланцюжка довіри автентифікації