Аккаунты

Введение

Системный каталог Аккаунты содержит записи всех пользователей, зарегистрированных в системе Бипиум. Аккаунт представляет собой учетную запись пользователя, которая связывает его с одной или несколькими компаниями и обеспечивает доступ к системе.

Каталог Аккаунты доступен администраторам серверной версии Бипиум и позволяет управлять всеми пользователями системы.

Назначение каталога

Каталог Аккаунты используется для:

• Управления пользователями: создание, редактирование и удаление учетных записей пользователей

• Связи с компаниями: каждый аккаунт может быть связан с одной или несколькими компаниями, что позволяет пользователю работать в разных рабочих пространствах

• Аутентификации: хранение учетных данных (email, пароль) для входа в систему

• Мониторинга активности: отслеживание последнего входа и активности пользователей

• Управления безопасностью: настройка лимитов запросов и контроль доступа

Доступ к каталогу

Каталог Аккаунты находится в разделе Система и доступен только администраторам сервера Бипиум.

Как открыть каталог:

1. Войдите в систему с правами администратора

2. Перейдите в раздел Система (в главном меню)

3. Выберите каталог Аккаунты

Поля каталога

Поля в каталоге отображаются в следующем порядке:

Примечание: Служебные поля (хэш пароля, соль) отображаются в интерфейсе и заполняются автоматически, когда пользователь задает пароль при регистрации или смене пароля. При входе через SSO эти поля остаются пустыми, так как аутентификация происходит через внешний сервис.

Практические сценарии

Связь аккаунта с компанией

Каждый аккаунт может быть связан с одной или несколькими компаниями через поле Компании. Это позволяет пользователю:

• Переключаться между разными рабочими пространствами

• Иметь разные права доступа в разных компаниях

• Работать с данными разных компаний

Как добавить компанию к аккаунту:

1. Откройте запись аккаунта в каталоге Аккаунты

2. Найдите поле Компании

3. Выберите компанию из списка (можно выбрать несколько)

4. Сохраните изменения

Важно: Пользователь сможет переключаться между компаниями только после того, как он будет привязан к ним через поле Компании и получит соответствующие права доступа в каждой компании.

Сброс пароля пользователя

Если пользователь забыл пароль, он может самостоятельно восстановить его через форму входа на странице авторизации (кнопка "Восстановить пароль").

Процесс сброса пароля:

1. Пользователь вводит свой email на странице восстановления пароля

2. Система отправляет письмо с уникальной ссылкой на email пользователя

3. Пользователь переходит по ссылке из письма и устанавливает новый пароль

4. После установки нового пароля все существующие сессии пользователя автоматически завершаются

Примечание: Администратор не может напрямую инициировать сброс пароля через каталог. Это делается пользователем самостоятельно через форму входа. Также администратор не может увидеть или изменить пароль пользователя — он хранится в зашифрованном виде.

Управление лимитами запросов

Поля Лимит числа запросов и Интервал лимита числа запросов позволяют ограничить нагрузку на систему со стороны конкретного пользователя.

Пример:

• Лимит числа запросов: 1000

• Интервал лимита числа запросов: 60000 (1 минута)

Это означает, что пользователь может выполнить не более 1000 запросов за минуту.

Как настроить лимиты:

1. Откройте запись аккаунта в каталоге Аккаунты

2. Найдите поля Лимит числа запросов и Интервал лимита числа запросов

3. Укажите нужные значения

4. Сохраните изменения

Примечание: Если лимит не установлен (поле пустое), используются значения по умолчанию из конфигурации системы (LIMIT_USER_MAX_REQUESTS и LIMIT_USER_REQUEST_DURATION, по умолчанию 100 запросов за 30 секунд). Индивидуальные лимиты применяются только если поля заполнены.

Принудительное завершение всех сессий

Поле Начало новых сессий позволяет принудительно завершить все существующие сессии пользователя. Все сессии, созданные ранее указанной даты, станут недействительными, и пользователю потребуется войти в систему заново.

Как завершить все сессии пользователя:

1. Откройте запись аккаунта в каталоге Аккаунты

2. Найдите поле Начало новых сессий

3. Установите текущую дату и время

4. Сохраните изменения

После этого все существующие сессии пользователя, созданные до указанной даты, будут недействительными при следующем запросе к системе. Пользователю потребуется войти в систему заново.

Важная информация

Создание аккаунта

Важно: Аккаунт нельзя создать простым созданием записи в каталоге через интерфейс. Создание аккаунта — это процесс, который включает создание хэша пароля (если требуется) и связь с компаниями.

Аккаунты создаются следующими способами:

1. При регистрации пользователя через форму регистрации с инвайтом (приглашением). Подробности см. в документации по регистрации пользователей.

2. Автоматически при первом входе через OAuth/SSO — если пользователя с таким email еще нет в системе, аккаунт создается автоматически без пароля (так как аутентификация происходит через внешний сервис).

3. При входе через LDAP — если пользователя нет в системе, аккаунт создается автоматически только при наличии активного инвайта (приглашения) для этого email. Без инвайта вход через LDAP будет заблокирован.

Как удалить аккаунт?

Удаление аккаунта — критическая операция, которая удаляет учетную запись пользователя и его связь со всеми компаниями.

Внимание: Удаление аккаунта необратимо. Пользователь потеряет доступ ко всем компаниям, с которыми был связан. Все данные аккаунта будут удалены из системы.

Если вам необходимо удалить аккаунт, вы можете сделать это через интерфейс каталога (кнопка удаления записи), однако рекомендуется сначала убедиться, что это действительно необходимо, так как операция необратима.

Что делать, если пользователь не может войти в систему?

Если пользователь не может войти в систему, проверьте:

1. Email в поле "email - login": убедитесь, что email указан правильно

2. Поле "Попытки входа": если количество попыток превышает допустимое значение, учетная запись блокируется до разблокировки администратором

3. Поле "Начало новых сессий": проверьте, не установлена ли дата в будущем, что может блокировать вход

4. Связь с компаниями: убедитесь, что пользователь связан хотя бы с одной компанией через поле Компании

Можно ли изменить email пользователя?

Email пользователя можно изменить через редактирование записи аккаунта. Однако следует помнить:

• Email должен быть уникальным в системе

• После изменения email пользователю потребуется использовать новый email для входа

• Убедитесь, что новый email доступен пользователю

Как посмотреть активность пользователя?

Активность пользователя можно отследить через поле Последняя активность в записи аккаунта. Это поле автоматически обновляется системой при действиях пользователя.

Что означает поле "Попытки входа"?

Поле Попытки входа показывает количество неудачных попыток авторизации пользователя. Это поле используется системой безопасности для защиты от подбора паролей.

Как работает защита:

• При каждой неудачной попытке входа счетчик увеличивается на 1

• При успешном входе счетчик автоматически обнуляется

• Система увеличивает интервал между попытками входа при каждой неудачной попытке (экспоненциальная задержка), что замедляет процесс подбора пароля

• Максимальный интервал между попытками ограничен значением LOGIN_LIMIT_MAX_AUTH_INTERVAL (по умолчанию 300000 мс = 5 минут)

• Если количество попыток достигает максимального значения (настраивается через переменную окружения LOGIN_LIMIT_MAX_AUTH_ATTEMPTS), дальнейшие попытки входа блокируются с сообщением "Account locked due to too many failed login attempts"

Настройка защиты:

Защита от подбора паролей настраивается через переменные окружения:

• LOGIN_LIMIT_ENABLED — включить/выключить защиту (по умолчанию true)

• LOGIN_LIMIT_MAX_AUTH_ATTEMPTS — максимальное количество попыток входа (по умолчанию Infinity, то есть отключено)

• LOGIN_LIMIT_MAX_AUTH_INTERVAL — максимальный интервал между попытками входа в миллисекундах (по умолчанию 300000 мс = 5 минут)

• LOGIN_LIMIT_SPEED — базовый интервал для расчета задержки (по умолчанию 200 мс)

Как разблокировать аккаунт:

Если аккаунт заблокирован из-за превышения лимита попыток, администратор может разблокировать его, обнулив поле Попытки входа в записи аккаунта.

Примечание: По умолчанию ограничение на количество попыток отключено (LOGIN_LIMIT_MAX_AUTH_ATTEMPTS = Infinity), но механизм увеличения интервала между попытками работает (если LOGIN_LIMIT_ENABLED = true). Для полного контроля защиты необходимо настроить переменные окружения.

Связи с другими каталогами

Каталог Аккаунты связан с другими системными каталогами:

• Компании — аккаунты связаны с компаниями через поле Компании. Подробнее см. в документации по каталогу Компании

• Сотрудники — в каждой компании создается запись в каталоге Сотрудники, которая связывается с аккаунтом и определяет права доступа в конкретной компании

Поддержка

Если у вас возникли вопросы или проблемы при работе с каталогом Аккаунты, обратитесь к технической поддержке Бипиум [email protected], предоставив:

• Версию Бипиум

• Описание проблемы или вопроса

• Лицензию (серийный номер)

• Скриншоты (если применимо)

Дополнительные ресурсы

• Документация по каталогу Компании

• Документация по каталогу Сотрудники