База Знаний #CloudMTS

База знаний #CloudMTS / Диск #CloudMTS / Руководство администратора организации Диск #CloudMTS / Компания

Компания

Чтобы перейти к настройкам компании, откройте вкладку Компания.

Настройки компании осуществляются в нескольких пунктах. Чтобы перейти в необходимый:

перейдите на соответствующую вкладку
требуемые настройки откроются в основном рабочем пространстве

Компания

Возможно изменить следующую информацию о компании:

название компании
Email технической поддержки
имя и фамилию администратора компании
номер телефона администратора компании
Email администратора компании; поле не может быть пустым

После внесения изменений нажмите на кнопку [Сохранить].

Увеличить

Домен компании изменить невозможно.

Название заглавной организационной группы пользователей совпадает с доменом.

Политики

Политика - совокупность правил и принципов. определяющих поведение сервиса Диск #CloudMTS касательно пользователя, группы пользователей или объекта.

Политики могут назначаться по умолчанию или администратором на Группу пользователей - это упрощает задачи администрирования и позволяет создавать гибкие настройки для нужд конкретной организации, отдела или решения общей задачи.

По умолчанию в сервисе определена только одна политика. Далее политики создаются администратором.

Создание политики

Чтобы создать новую политику:

нажмите на кнопку [Новая политика]

Увеличить

на странице "Новая политика":
- введите название политики
- введите описание политики, если это необходимо
- включите необходимые настройки и введите значения там, где это требуется
- нажмите на кнопку [Создать]

Увеличить

Редактирование политики

Чтобы изменить политику:

в меню управления политикой нажмите на кнопку [Изменить]
на странице "Редактирование политики":
- внесите необходимые изменения
- нажмите на кнопку [Сохранить]

Увеличить

Удаление политики

Чтобы удалить политику:

в меню управления политикой нажмите на кнопку [Удалить]
в окне "Подтвердите действие" нажмите на кнопку [Удалить]

Увеличить

Области доступа

Работа с зонами и уровнями доступа основана на принципах Мандатной модели. Настоятельно рекомендуем ознакомиться с ними.

Мандатный доступ

Сервис применяет механизм Мандатного управления доступом (Mandatory access control, MAC) - разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допусков) субъектам на обращение к информации такого уровня конфиденциальности.

Данный механизм основан на Модели Белла-Лападулы.
Каждому субъекту (например, лицу, работающему с документами) и объекту (например, документам) присваивается метка конфиденциальности, начиная от самой высокой («особой важности»), заканчивая самой низкой («несекретный» или «общедоступный»). Субъект, которому разрешён доступ только к объектам с более низкой меткой конфиденциальности, не может получить доступ к объекту с более высокой меткой конфиденциальности. Кроме того, субъекту запрещается запись информации в объекты с более низким уровнем безопасности.

Для определения, имеет ли субъект права на получение определенного вида доступа к объекту, уровень секретности субъекта сравнивается с уровнем секретности объекта. На основе этого сравнения решается вопрос, предоставить или нет запрашиваемый доступ.

Увеличить

Модель MAC по своей сути является «электронной» реализацией типового бумажного «секретного» документооборота. В MAC имеются следующие сущности:

иерархия уровней доступа, которые обрабатываются в системе; для удобства могут задаваться в виде чисел (от 0 до значения, ограниченного реализацией) или простых, интуитивно понятных терминов (например, "Начальник"/"Подчиненный", военное звание "Рядовой"/"Офицер"/"Командир" или иное, соответствующее структуре организации)
объект с уровнем секретности - любой файл или каталог; объекту присваивается любое значение из иерархии уровней доступа (например, "общедоступное"/"для служебного пользования"/"секретное"); для объекта допускается повышение уровня
секретности (изменение до большего значения уровня, чем текущий), понижение уровня секретности категорически не допускается
субъект с уровнем доступа; метка уровня доступа наследуется от субъекта всеми создаваемыми данным субъектом объектами

Значение уровня доступа субъекта или уровня секретности объекта называют мандатным уровнем, мандатной меткой или меткой. Проверка полномочий осуществляется при каждом факте доступа субъекта к объекту, защищаемому MAC. При проверке правомочности доступа субъекта к объекту, согласно Мандатной модели, возможны следующие комбинации:

мандатная метка субъекта равна мандатной метке объекта; в этом случае субъекту разрешено читать и изменять объект
мандатная метка субъекта выше мандатной метки объекта; субъекту разрешено только читать объект: он его видит, но не может изменить
мандатная метка субъекта ниже мандатной метки объекта; субъекту формально разрешено создать объект с более высокой мандатной меткой (повышение уровня секретности объекта); на практике у субъекта нет технической возможности для выполнения данной операции (он «не видит» изменяемый объект, например, файл или каталог с файлами).

Добавление зон и уровней происходит только последовательно. Самый первый добавленный уровень (или зона) будут иметь самый высокий приоритет. Следующий по очереди уровень (или зона) будут иметь меньший приоритет. Чем ниже по списку находится уровень доступа (или зона), тем ниже будет его приоритет в Мандатной модели разграничения прав.

Поменять порядок и соответственно приоритет Уровней и Зон невозможно. Вследствие этого сначала необходимо создать самый высокий уровень, далее более низкий, еще более низкий и так далее до самого нижнего уровня.

Когда данные уровни и зоны будут применены к файлам и пользователям, поменять что–либо в настройках и структуре модели станет невозможным.⁠

Когда данные уровни и зоны будут применены к файлам и пользователям, поменять что–либо в настройках и структуре модели станет невозможным.

Зоны доступа

Существующие зоны доступа отображаются в иерархической последовательности. В начале работы с сервисом их нет.

Создание зоны доступа

Чтобы создать новую зону доступа:

нажмите на кнопку [Создать новую]
в окне "Новая зона доступа":
- введите имя новой зоны доступа
- нажмите на кнопку [Создать]

Увеличить

Редактирование зоны доступа

Изменить порядок зон доступа невозможно. Изменению подлежит только наименование зоны доступа.

Чтобы отредактировать зону доступа:

в меню управления зоной доступа нажмите на кнопку [Изменить]
в окне "Редактировать зону доступа":
- измените имя зоны доступа
- нажмите на кнопку [Сохранить]

Увеличить

Удаление зоны доступа

Чтобы удалить зону доступа:

в меню управления зоной доступа нажмите на кнопку [Удалить]
в окне "Подтвердите действие" нажмите на кнопку [Удалить]

Увеличить

Уровни доступа

Существующие уровни доступа отображаются в иерархической последовательности. В начале работы с сервисом их нет.

Создание уровня доступа

Чтобы создать новый уровень доступа:

нажмите на кнопку [Создать новый]
в окне "Новый уровень доступа":
- введите имя нового уровня доступа
- введите описание, если это необходимо
- нажмите на кнопку [Создать]

Увеличить

Редактирование уровня доступа

Изменить порядок уровней доступа невозможно. Изменению подлежат только наименование и описание уровня доступа.

Чтобы отредактировать уровень доступа:

в меню управления уровнем доступа нажмите на кнопку [Редактировать]
в окне "Редактировать уровень доступа":
- измените имя уровня доступа
- измените описание
- нажмите на кнопку [Сохранить]

Увеличить

Удаление уровня доступа

в меню управления уровнем доступа нажмите на кнопку [Удалить]
в окне "Подтвердите действие" нажмите на кнопку [Удалить]

Увеличить

Применение Мандатного управления доступом

Уровни доступа присущи пользователям. Уровень доступа пользователя определяется при приглашении его к регистрации (Добавление нового пользователя) или при редактировании профиля пользователя.

Увеличить

Объект файлового хранилища, загруженный пользователем, наследует уровень доступа данного пользователя. Понижение уровня доступа пользователя может сделать загруженные им объекты недоступными для него.

Примеры использования Мандатного управления доступом:

В организациях, имеющих военную или правоохранительную организационную структуру, возможна ситуация, когда рабочие группы состоят из сотрудников, имеющих различное звание или различный порядок доступа к тем или иным документам. В данном случае документ, к которому предоставлен доступ группе, будет доступен только тем сотрудникам, кому позволяет его видеть звание или допуск к сведениям данного типа.
Кроме того, документ, загруженный сотрудником с определенным званием и допуском к информационным ресурсам, будет доступен только сотрудникам с таким же уровнем допуска или выше.
Возможно, что в одной организации часть сотрудников имеет допуск и к производственным, и к финансовым или управленческим процессам (например: в одной группе могут находиться одновременно наемные сотрудники и партнеры). Мандатный доступ нежелательно использовать в совокупности с механизмами предоставления доступа к информационным ресурсам внешним незарегистрированным лицам по публичной ссылке, так как внешние лица не могут иметь метки Мандатного доступа и находятся в самом низшем положении в иерархии субъектов мандатной модели. Таким образом, все документы, имеющие Мандатную метку будут для них недоступны.⁠

Службы каталогов

Данный раздел предназначен для управления учетной записью Active Directory. Взаимодействие с сервисом Active Directory позволяет упросить интеграцию сервиса в инфраструктуру вашей организации. Интеграция с Active Directory дает возможность использования внешнего каталога пользователей.

При подключении сервиса и Active Directory необходимо, чтобы при авторизации пользователь включил опцию "Использовать Active Directory" - сервис проверит пользователя в Active Directory. Если авторизация прошла успешно, пользователь будет автоматически заведен в базе сервисе. Импорт пользователей в Active Directory происходит по мере авторизации пользователей.

Настройка данной опции доступна администратору компании. При первичном запуске сервиса раздел будет пуст. Далее он будет отображать список используемых учетных записей Active Directory: их названия, описание и статус активности.

Сервис Диск #CloudMTS позволяет подключать и управлять подключением множества каталогов LDAP. Подключение каталога упрощает заведение новых пользователей и является необходимым шагом для интеграции с системами единой аутентификации Single Sign-on (SSO). Предусмотрено два механизм авторизации пользователей:

пара логин/пароль
Single Sign-on (SSO) для персонального компьютера в домене Windows

Чтобы создать новую запись ActiveDirectory:

нажмите на кнопку [Новая служба] - откроется страница настроек записи Active Directory

Увеличить

заполните поля согласно данным, приведенным в таблице

Настройки подключения пользователей к серверу LDAP
Название	Обязательное поле	Назначение	Пример
Наименование сервиса	+	Задание имени LDAP каталога	TEST LDAP
Описание		Комментарий к подключению	Подключен TEST LDAP
Адрес отправителя	+	URL адрес хоста	ldap://localhost:389
Тип авторизации	+	транспорт общения с ldap	simple, sasl, ssl
Bind DN	+	DN учётной записи, из под которой будет выполняться поиск по AD	bind_dn
Пароль	+	Пароль для получения доступа к LDAP	bind_password
База поиска пользователей	+	base DN до каталога с пользователями	OU=?? Dn=?? Dc=??
База поиска групп	+	base DN до каталога с группами	OU=?? Dn=?? Dc=??
Класс пользователя	+	базовый класс для объектов типа "пользователь"	person_class_name (user)
Класс группы	+	базовый класс для объектов типа "группа"	group_class_name (group)

Пользовательские настройки
Название	Обязательное поле	Назначение	Пример
Атрибут поиска пользователя	+	задается поле значения "Login" в AD	userPrincipalName или login
Атрибут поиска группы	+	задается поле значения "Group"	cn
Имя	+	задается поле значения "Name"	givenName
Фамилия	+	задается поле значения "Surname"	sn
Email	+	задается поле значения "Mail"	mail
Телефон	+	задается поле значения "Phone"	telephoneNumber
Департамент		задается поле значения "Department"	department

нажмите на кнопку [Создать]
перейдите на вкладку Другие настройки
- включите опцию "Импорт пользователя из внешнего источника аутентификации"
вернитесь на вкладку Службы каталогов
- активируйте соответствующий каталог

Пользователи не синхронизируются с каталогом в проактивном режиме. Синхронизация происходит только в момент авторизации пользователя.

Для корректного импорта пользователей из Active Directory:

перейдите на вкладку Другие настройки
- включите опцию "Использовать роль по умолчанию"
- из выпадающего списка "Роль по умолчанию" выберите роль, присваиваемую пользователю по умолчанию

Пользователи, не имеющие ролей, не будут авторизованы.

SMTP

Данный раздел необходим для настройки почтовой службы сервиса.

SMTP (Simple Mail Transfer Protocol) - простой протокол передачи почты.

Для функционирования почтовой службы:

укажите сервер и порт; данные поля обязательны к заполнению
если необходимо включить аутентификацию:
- включите опцию "Включить аутентификацию"
- укажите имя пользователя почтового сервера
- укажите пароль пользователя почтового сервера
если необходимо разрешить автоматическое использование TLS (transport layer security — протокол защиты транспортного уровня):
- включите опцию "Автоматически использовать TLS"
- укажите адрес отправителя; данное поле опционально
- укажите имя отправителя; данное поле опционально; по умолчанию его значение - Диск CloudMTS
- укажите адрес получателя
нажмите на кнопку [Применить настройки]

При включенном разрешении автоматически использовать TLS в полях Адрес отправителя, Имя отправителя, Получатель возможно использовать, например, корпоративный бренд.

Увеличить

Шаблоны писем

Шаблоны писем настраиваются для автоматической отправки писем пользователю при наступлении определенных событий.

Диск #CloudMTS представляет возможность настраивать шаблоны для следующих событий:

Обновление пароля	Password renewal template
Создание новой учетной записи технического администратора	TechAdmin created template
Создание новой компании (тенанта)	New tenant template
Отправление публичной ссылки, доступной внешним пользователям, не зарегистрированным в сервисе	Send public-link template
Приглашение установить пароль для нового зарегистрированного пользователя	New user invitation template
Предоставление другому пользователю доступа к данным	Share template

Редактирование шаблона

Чтобы изменить шаблон:

в меню управления шаблоном нажмите на кнопку [Изменить]
внесите изменения в шаблоны на русском и английском языках
нажмите на кнопку [Сохранить]

Увеличить

Сбрасывание шаблона

Чтобы сбросить шаблон:

в меню управления шаблоном нажмите на кнопку [Сбросить]

Увеличить

Брендирование

Просмотр темы

Просмотр возможен для темы, поставляемой в сервисе по умолчанию.

Чтобы просмотреть настройки темы:

в меню управления темой нажмите на кнопку [Просмотр]

Увеличить

На странице с настройками темы возможно переключаться между настройками:

имени
цветовых решений
логотипов
текста

Демонстрация выбранных настроек представлена несколькими примерами страниц.

Увеличить

Дублирование темы

Дублирование темы - создание идентичной темы с новым названием.

Чтобы продублировать тему:

в меню управления темой нажмите на кнопку [Дублировать]
в окне "Дублирование темы":
- введите имя новой темы
- нажмите на кнопку [Дублировать] - новая тема отобразится в списке

Увеличить

Редактирование темы

Тему, установленную для вашей компании по умолчанию, изменить невозможно, но возможно отредактировать ее копию.

Чтобы редактировать тему:

в меню управления темой нажмите на кнопку [Редактировать]

Увеличить

в окне редактирования:
- переименуйте тему
- переключаясь между вкладками настроек:
  - выберите цветовые решения темы
  - загрузите варианты логотипа для различных форм интерфейса
  - выберите шрифты для заголовков, основного и брендированного текстов
- демонстрация выбранных настроек представлена несколькими примерами страниц
- нажмите на кнопку [Сохранить]

Увеличить

Установка темы по умолчанию

Чтобы установить тему по умолчанию:

в меню управления темой нажмите на кнопку [Сделать по умолчанию]

Увеличить

Блокировка и разблокировка темы

Чтобы блокировать тему:

в меню управления темой нажмите на кнопку [Заблокировать] - напротив темы отобразится знак замка, тему станет невозможно установить по умолчанию

Увеличить

Чтобы разблокировать тему:

в меню управления темой нажмите на кнопку [Разблокировать] - возможность установить тему по умолчанию возобновится

Увеличить

Тему, установленную по умолчанию, заблокировать невозможно.

Водяной знак

Водяные знаки предназначены для защиты документов. Водяные знаки отображаются в полупрозрачной форме на документах, просматриваемых в рабочем пространстве файлового хранилища.

Настройки водяных знаков распространяются на все документы, отображаемые при просмотре во всех экземплярах интерфейса компании у всех пользователей.

Чтобы настроить водяной знак:

выберите:
- шрифт текста
- стиль шрифта: нормальный, полужирный, курсив, полужирный курсив
- размер шрифта
- наклон: горизонтально, по диагонали сверху вниз, по диагонали снизу вверх
- цвет; далее нажмите на кнопку [Применить цвет]
ознакомьтесь с демонстрационным вариантом
нажмите на кнопку [Сохранить]

Чтобы включить или отключить применение водяного знака, воспользуйтесь соответствующим переключателем.

Увеличить

Другие настройки

Публичные ссылки

Помимо индивидуальных настроек доступа и прав для каждого пользователя, администратор имеет возможность задать настройки для использования публичных ссылок для всех пользователей сервиса:

чтобы разрешить всем использование публичных ссылок:
- включите опцию "Разрешить использование публичных ссылок"
чтобы обязать каждого пользователя устанавливать пароль для публичной ссылки:
- включите опцию "Требовать защиту публичных ссылок паролем"
нажмите на кнопку [Сохранить]

Увеличить

Журнал записей

Настройки журнала записей позволяют указать:

тип события, которое необходимо внести в журнал событий
- регистрация событий аутентификации
- регистрация событий доступа к данным
- регистрация событий изменения ПРД (прав пользователей)
срок хранения записей данного типа в журнале событий
- дни или недели
- количество дней или недель

Чтобы настроить алгоритм хранения записей в журнале событий:

включите соответствующую опцию
укажите срок хранения записей данного типа

Увеличить

Аутентификация

Чтобы установить Время жизни токена доступа:

выберите размерность срока: секунды, минуты или часы
укажите числовое значение

Увеличить

Токен - метка, передаваемая между модулями, составляющими сервис, для информирования одних модулей о произошедших событиях в других модулях. Эта метка имеет срок жизни с момента создания в одном из модулей. По истечении этого срока она не сможет влиять на операции и состояния других модулей.

Время жизни токена доступа - время, за которое вход пользователя в сервис в штатных условиях должен быть выполнен корректно.

Чтобы установить Время жизни сессионного ключа:

укажите количество часов

Увеличить

Время жизни сессионного ключа - максимальная длительность сессии пользователя.

Чтобы Пролонгировать токен обновления:

включите соответствующую опцию

Увеличить

Данный токен отвечает за взаимодействие клиента с сервером.

Импорт пользователей

Если пользователи импортируются в каталоги сервиса с использованием Active Directory:

включите опцию "Импорт пользователя из внешнего источника аутентификации"
чтобы при создании или аутентификации присвоить пользователю роль по умолчанию:
- включите опцию "Использовать роль по умолчанию"
- выберите роль из списка

Увеличить

Использование Kerberos

Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. В протоколе учтено, что начальный обмен информацией между клиентом и сервером происходит в незащищенной среде, а передаваемые пакеты могут быть перехвачены и модифицированы.

Чтобы разрешить использование протокола Kerberos:

включите соответствующую опцию
в поле Путь к файлу krb5.conf введите путь к конфигу Kerberos
в поле Имя принципала сервиса введите учетную запись, от имени которой будут выполняться авторизации пользователя

Данные настройки протокола используются для прозрачного входа (SSO - Single Sign-on с учётными данными Active Directory).

Увеличить

Онлайн редактор

Чтобы разрешить пользователям редактировать содержание документов в файловом хранилище:

включите опцию "Разрешить использование онлайн редактора"
укажите ссылку на редактор, который будет использоваться

Увеличить

Другое

Чтобы разрешить пользователям самостоятельно редактировать их профили:

включите опцию "Пользователям разрешено редактировать свой профиль"

Увеличить

В данном случае FQDN (Fully Qualified Domain Name) используется в качестве базового домена для формирования внешних ссылок на файлы.

Поле Плагин трансформации определяет какой плагин для шифрования будет использоваться.⁠

Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки support@cloud.mts.ru