Перейти к содержанию

Настройка аккаунтов тенантов в Консоли управления

Опция мультиарендности позволяет использовать несколько связанных аккаунтов в Консоли управления Вебмониторэкс. Каждый аккаунт — отдельная учетная запись в Консоли управления, выделенная для одной независимой организации или изолированной среды. Такая учетная запись называется аккаунт тенанта.

  • Аккаунты тенантов привязываются к одному глобальному аккаунту. Это позволяет идентифицировать принадлежность тенантов партнеру или клиенту и обеспечивает корректную группировку аккаунтов в Консоли управления.

  • Каждый аккаунт тенанта имеет отдельный список пользователей, у которых есть доступ к действиям с аккаунтом и нодой.

  • Данные каждого аккаунта тенанта изолированы и доступны только его пользователям.

  • Пользователи с глобальными ролями могут смотреть и изменять данные всех аккаунтов, а также создавать новые аккаунты. Конкретный набор прав зависит от глобальной роли: Глобальный администратор / Глобальный аналитик / Только чтение глобально.

Для корректной настройки аккаунтов тенантов используйте эту инструкцию.

Термин "партнерский клиент"

В предыдущей версии документации для обозначения "тенанта" использовался термин "партнерский клиент". В дальнейшем будет использоваться термин "тенант".

Структура аккаунтов тенантов

Аккаунты тенантов создаются согласно следующей структуре:

Схема аккаунтов тенантов

  • Глобальный аккаунт используется только для группировки аккаунтов тенантов по принадлежности партнеру или клиенту.

  • Аккаунт технического тенанта используется для настройки доступов глобальных пользователей к аккаунтам тенантов. Обычно глобальные пользователи — это сотрудники компании-партнера Вебмониторэкс или клиента Вебмониторэкс, который использует мультиарендность для изолированных сред.

  • Аккаунты тенантов используется для:

    • Доступа тенантов к информации об обнаруженных атаках и управлению настройками фильтрации трафика.
    • Добавления пользователей, которые будут иметь доступ к данным в рамках аккаунта.

Глобальные пользователи могут переключаться между аккаунтами в Консоли управления:

Селектор тенантов в Консоли управления

  • Technical tenant — аккаунт технического тенанта

  • Tenant 1 и Tenant 2 — аккаунты тенантов

Настройка аккаунтов тенантов

Чтобы настроить аккаунты тенантов:

  1. Зарегистрируйтесь в Консоли управления Вебмониторэкс и отправьте запрос в техническую поддержку Вебмониторэкс для включения мультиарендности для вашего аккаунта.

  2. Получите от технической поддержки Вебмониторэкс доступ к созданию тенантов.

  3. Создайте аккаунт тенанта.

  4. Привяжите приложение тенанта к его аккаунту.

Шаг 1: Зарегистрируйтесь и отправьте запрос на включение мультиарендности

  1. Заполните и подтвердите форму регистрации в Консоли управления Вебмониторэкс.

    Форма регистрации

    Корпоративная почта

    При регистрации необходимо использовать корпоративный email.

  2. Перейдите к вашему email и активируйте аккаунт Вебмониторэкс по ссылке из полученного письма.

  3. Отправьте запрос в техническую поддержку Вебмониторэкс для включения опции мультиарендности для вашего аккаунта. С запросом отправьте следующие данные:

    • Название Вычислительного кластера Вебмониторэкс, в котором вы зарегистрировались: RU‑облако.
    • Название для глобального аккаунта и для аккаунта технического тенанта.
    • Адреса email сотрудников, которые должны иметь доступ к будущим аккаунтам тенантов. После включения опции мультиарендности вы сможете добавлять сотрудников самостоятельно.
    • Логотип для брендированной Консоли управления.
    • Язык для интерфейса Консоли управления (английский или русский).
    • Домен для размещения Консоли управления, сертификат и ключ шифрования для домена.
    • Адрес вашей технической поддержки.

Шаг 2: Получите доступ к созданию тенанта

После получения запроса сотрудники технической поддержки Вебмониторэкс:

  1. Создадут в системе Вебмониторэкс глобальный аккаунт и аккаунт технического тенанта.

  2. Предоставят вам доступ Глобального администратора. Ваш пользователь будет добавлен на уровне технического тенанта.

  3. Если вы передавали email ваших сотрудников, добавят сотрудников в список пользователей аккаунта технического клиента с ролями Только чтение глобально.

    Если сотрудники еще не зарегистрированы в Консоли управления Вебмониторэкс, они получат письма с сообщением о необходимости установить новый пароль для доступа к аккаунту технического клиента.

  4. Отправят вам UUID основного тенанта (партнера или клиента, который использует мультиарендность для защиты изолированных сред).

    Полученный UUID потребуется при выполнении следующих шагов.

Шаг 3: Создайте тенанта через Вебмониторэкс API

Чтобы создать тенанта и привязать к нему приложения, необходимо отправить запросы к Вебмониторэкс API с собственного клиента или из интерфейса справочника API. В запросах к Вебмониторэкс API необходимо передать параметры аутентификации:

  • При отправке запроса из интерфейса справочника API, необходимо предварительно войти в аккаунт Глобального администратора и обновить справочник API.

  • При отправке запроса с собственного клиента, необходимо передать в запросе UUID и секретный ключ пользователя с ролью глобального администратора.

На этом шаге в системе Вебмониторэкс будет создан аккаунт тенанта, привязанный к глобальному аккаунту.

  1. Отправьте POST‑запрос на роут /v1/objects/client/create со следующими параметрами:

    Параметр Описание Часть запроса Обязательный?
    name Название тенанта. Тело Да
    vuln_prefix Префикс уязвимости, который будет использоваться для обозначения уязвимостей, обнаруженных в системе тенанта. Префикс должен состоять из четырех заглавных букв или цифр и соотноситься с названием тенанта. Например, для тенанта TenantTNNT. Тело Да
    partner_uuid UUID основного тенанта. Тело Да
    language Язык интерфейса Консоли управления Вебмониторэкс для тенанта: en или ru. По умолчанию — язык, который вы указали в запросе к технической поддержке. Тело Нет
    X-ВебмониторэксAPI-UUID UUID пользователя с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    X-ВебмониторэксAPI-Secret Секретный ключ пользователя с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    Показать пример запроса для отправки с собственного клиента
    curl -v -X POST "https://api.wallarm.ru/v1/objects/client/create" -H "X-ВебмониторэксAPI-UUID: YOUR_UUID" -H "X-ВебмониторэксAPI-Secret: YOUR_SECRET_KEY" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"name\": \"Tenant\", \"vuln_prefix\": \"TNNT\", \"partner_uuid\": \"YOUR_PARTNER_UUID\"}"

  2. Скопируйте значения параметров id и partnerid из ответа на запрос. Параметры понадобятся на следующем шаге.

Для глобальных пользователей созданные тенанты будут доступны в Консоли управления в селекторе тенантов. Например, Tenant 1 и Tenant 2:

Селектор тенантов в Консоли управления

Шаг 4: Привяжите приложения тенанта к его аккаунту через Вебмониторэкс API

В каком случае необходимо выполнить этот шаг?

Если вы используете или планируете использовать одну ноду Вебмониторэкс для обработки трафика всех тенантов, необходимо выполнить этот шаг.

Если для каждого тенанта установлена или будет установлена отдельная нода, пропустите этот шаг и перейдите к установке и настройке ноды.

В данном случае под приложением подразумевается любое сетевое приложение тенанта, которое защищает нода Вебмониторэкс. Приложений может быть как одно, так и несколько.

Каждое приложение необходимо привязать к аккаунту соответствующего тенанта в Вычислительном кластере Вебмониторэкс. Для этого необходимо выполнить специальный запрос к Вебмониторэкс API и затем соответствующим образом задать директиву wallarm_application в настройках ноды:

  1. Определите количество приложений на основе структуры приложений тенанта и требований к управлению событиями через Консоль управления.

    Вы можете определить, что приложение одно. Например: нода защищает один домен тенанта и разделять трафик по эндпоинтам не требуется. В этом случае также необходимо выполнить шаги, приведенные ниже.

  2. Для каждого приложения отправьте POST‑запрос на роут /v2/partner/<partnerid>/partner_client со следующими параметрами:

    Параметр Описание Часть запроса Обязательный?
    partnerid Значение partnerid, полученное после создания тенанта. Путь Да
    clientid ID тенанта, полученный после создания тенанта (id). Тело Да
    id Уникальный ID для связи между аккаунтом и приложением тенанта. Может быть произвольное целое положительное число. Тело Да
    X-ВебмониторэксAPI-UUID UUID пользователя с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    X-ВебмониторэксAPI-Secret Секретный ключ пользователя с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    Показать пример запроса для отправки с собственного клиента
    curl -v -X POST "https://api.wallarm.ru/v2/partner/111/partner_client" -H "X-ВебмониторэксAPI-UUID: YOUR_UUID" -H "X-ВебмониторэксAPI-Secret: YOUR_SECRET_KEY" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"clientid\": 888, \"id\": \"14\"}"

  3. Скопируйте и сохраните значение каждого id, который вы передали в запросах. Параметр будет использоваться позже в настройках NGINX (wallarm_application) для разделения трафика по приложениям тенантов.

Если вы — партнер и нода защищает трафик нескольких клиентов, повторите шаги для каждого клиента.

Когда на ресурс тенанта поступит трафик, созданные id отобразятся в Консоли управления Вебмониторэкс → НастройкиПриложения в соответствующем аккаунте тенанта.

Настройка доступов к аккаунтам

  • На уровне технического тенанта вы можете добавлять глобальных и обычных пользователей.

    Глобальные пользователи будут иметь доступ к аккаунтам всех привязанных тенантов.

    Обычные пользователи будут иметь доступ только к аккаунту технического тенанта.

  • На уровне аккаунтов отдельных тенантов вы можете добавлять обычных пользователей.

    Пользователи смогут отслеживать заблокированные запросы, анализировать обнаруженные уязвимости и выполнять дополнительную настройку в рамках конкретного аккаунта. Пользователи смогут добавлять друг друга самостоятельно, если роли позволяют выполнять это действие.

Перейти к установке и настройке ноды с опцией мультиарендности →

Деактивация и активация аккаунтов тенантов

Пользователь с ролью Глобальный администратор может деактивировать аккаунты тенантов. После деактивации аккаунта тенанта:

  • Пользователи этого аккаунта не будут иметь доступа к Консоли управления Вебмониторэкс.

  • Фильтрующие ноды, установленные на уровне данного аккаунта, перестанут обрабатывать трафик.

Деактивированные аккаунты не удаляются и могут быть снова активированы.

Для деактивации аккаунта тенанта в селекторе тенантов, из меню тенанта выберите Деактивировать. Аккаунт тенанта будет деактивирован и скрыт в списке тенантов.

Аккаунт тенанта - деактивация

Для повторной активации аккаунта в селекторе тенантов выберите Показать деактивированных тенантов, затем из меню тенанта выберите Активировать.