Перейти к содержанию

Настройка аккаунтов тенантов в Консоли управления

Опция мультиарендности позволяет использовать несколько связанных аккаунтов в Консоли управления Вебмониторэкс. Каждый аккаунт — отдельная учетная запись в Консоли управления, выделенная для одной независимой организации или изолированной среды. Такая учетная запись называется аккаунт тенанта.

  • Аккаунты тенантов привязываются к одному глобальному аккаунту. Это позволяет идентифицировать принадлежность тенантов партнеру или клиенту и обеспечивает корректную группировку аккаунтов в Консоли управления.

  • Каждый аккаунт тенанта имеет отдельный список пользователей, у которых есть доступ к действиям с аккаунтом и нодой.

  • Данные каждого аккаунта тенанта изолированы и доступны только его пользователям.

  • Пользователи с глобальными ролями могут смотреть и изменять данные всех аккаунтов, а также создавать новые аккаунты. Конкретный набор прав зависит от глобальной роли: Глобальный администратор / Глобальный аналитик / Только чтение глобально.

Для корректной настройки аккаунтов тенантов используйте эту инструкцию.

Термин "партнерский клиент"

В предыдущей версии документации для обозначения "тенанта" использовался термин "партнерский клиент". В дальнейшем будет использоваться термин "тенант".

Структура аккаунтов тенантов

Аккаунты тенантов создаются согласно следующей структуре:

Схема аккаунтов тенантов

  • Глобальный аккаунт используется только для группировки аккаунтов тенантов по принадлежности партнеру или клиенту.

  • Аккаунт технического тенанта используется для настройки доступов глобальных пользователей к аккаунтам тенантов. Обычно глобальные пользователи — это сотрудники компании-партнера Вебмониторэкс или клиента Вебмониторэкс, который использует мультиарендность для изолированных сред.

  • Аккаунты тенантов используется для:

    • Доступа тенантов к информации об обнаруженных атаках и управлению настройками фильтрации трафика.
    • Добавления пользователей, которые будут иметь доступ к данным в рамках аккаунта.

Глобальные пользователи могут переключаться между аккаунтами в Консоли управления:

Селектор тенантов в Консоли управления

  • Technical tenant — аккаунт технического тенанта

  • Tenant 1 и Tenant 2 — аккаунты тенантов

Настройка аккаунтов тенантов

Чтобы настроить аккаунты тенантов:

  1. Зарегистрируйтесь в Консоли управления Вебмониторэкс и отправьте запрос в техническую поддержку Вебмониторэкс для включения мультиарендности для вашего аккаунта.

  2. Получите от технической поддержки Вебмониторэкс доступ к созданию тенантов.

  3. Создайте аккаунт тенанта.

  4. Свяжите трафик с тенантом.

Шаг 1: Зарегистрируйтесь и отправьте запрос на включение мультиарендности

  1. Заполните и подтвердите форму регистрации в Консоли управления Вебмониторэкс.

    Форма регистрации

    Корпоративная почта

    При регистрации необходимо использовать корпоративный email.

  2. Перейдите к вашему email и активируйте аккаунт Вебмониторэкс по ссылке из полученного письма.

  3. Отправьте запрос в техническую поддержку Вебмониторэкс для включения опции мультиарендности для вашего аккаунта. С запросом отправьте следующие данные:

    • Название Вычислительного кластера Вебмониторэкс, в котором вы зарегистрировались: RU‑облако.
    • Название для глобального аккаунта и для аккаунта технического тенанта.
    • Адреса email сотрудников, которые должны иметь доступ к будущим аккаунтам тенантов. После включения опции мультиарендности вы сможете добавлять сотрудников самостоятельно.
    • Логотип для брендированной Консоли управления.
    • Язык для интерфейса Консоли управления (английский или русский).
    • Домен для размещения Консоли управления, сертификат и ключ шифрования для домена.
    • Адрес вашей технической поддержки.

Шаг 2: Получите доступ к созданию тенанта

После получения запроса сотрудники технической поддержки Вебмониторэкс:

  1. Создадут в системе Вебмониторэкс глобальный аккаунт и аккаунт технического тенанта.

  2. Предоставят вам доступ Глобального администратора. Ваш пользователь будет добавлен на уровне технического тенанта.

  3. Если вы передавали email ваших сотрудников, добавят сотрудников в список пользователей аккаунта технического клиента с ролями Только чтение глобально.

    Если сотрудники еще не зарегистрированы в Консоли управления Вебмониторэкс, они получат письма с сообщением о необходимости установить новый пароль для доступа к аккаунту технического клиента.

  4. Отправят вам UUID основного тенанта (партнера или клиента, который использует мультиарендность для защиты изолированных сред).

    Полученный UUID потребуется при выполнении следующих шагов.

Шаг 3: Создайте тенанта через Вебмониторэкс API

Чтобы создать тенанта и привязать к нему приложения, необходимо отправить запросы к Вебмониторэкс API с собственного клиента или из интерфейса справочника API. В запросах к Вебмониторэкс API необходимо передать параметры аутентификации:

  • При отправке запроса из интерфейса справочника API, необходимо предварительно войти в аккаунт Глобального администратора и обновить справочник API.

  • При отправке запроса с собственного клиента, необходимо передать в запросе API Токен пользователя с ролью глобального администратора.

На этом шаге в системе Вебмониторэкс будет создан аккаунт тенанта, привязанный к глобальному аккаунту.

  1. Отправьте POST‑запрос на роут /v1/objects/client/create со следующими параметрами:

    Параметр Описание Часть запроса Обязательный?
    name Название тенанта. Тело Да
    vuln_prefix Префикс уязвимости, который будет использоваться для обозначения уязвимостей, обнаруженных в системе тенанта. Префикс должен состоять из четырех заглавных букв или цифр и соотноситься с названием тенанта. Например, для тенанта TenantTNNT. Тело Да
    partner_uuid UUID основного тенанта. Тело Да
    language Язык интерфейса Консоли управления Вебмониторэкс для тенанта: en или ru. По умолчанию — язык, который вы указали в запросе к технической поддержке. Тело Нет
    X-WallarmApi-Token Ключ для получения доступа к API с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    Показать пример запроса для отправки с собственного клиента
    curl -v -X POST "https://api.wallarm.ru/v1/objects/client/create" -H "accept: application/json" -H "Content-Type: application/json" -H "X-WallarmApi-Token: {ВАШ API ТОКЕН}" -d "{ \"name\": \"Tenant\", \"vuln_prefix\": \"TNNT\", \"partner_uuid\": \"YOUR_PARTNER_UUID\"}"
    Показать пример ответа
    {
"status":200,
"body": {
    "id":10110,
    "name":"Tenant 1",
    "components":["waf"],
    "vuln_prefix":"TNTST",
    ...
    "uuid":"11111111-1111-1111-1111-111111111111",
    ...
    }
}

  2. Скопируйте значения параметра uuid из ответа на запрос. Параметр понадобится на следующем шаге.

Для глобальных пользователей созданные тенанты будут доступны в Консоли управления в селекторе тенантов. Например, Tenant 1 и Tenant 2:

Селектор тенантов в Консоли управления

Шаг 4: Свяжите трафик с тенантом

Когда необходимо выполнить этот шаг?

Этот шаг выполняется во время установки ноды и только если вы используете или планируете использовать одну ноду Вебмониторэкс для обработки трафика всех тенантов.

Если для каждого тенанта установлена или будет установлена отдельная нода, пропустите этот шаг и перейдите к установке и настройке ноды.

В Вычислительный кластер Вебмониторэкс необходимо передать информацию о том, какой трафик отображать в аккаунте тенанта. Для этого в соответствующем блоке конфигурационного файла NGINX задайте UUID тенанта в качестве значения директивы wallarm_partner_client_uuid. Например:

server {
  server_name  tenant1.com;
  wallarm_partner_client_uuid 11111111-1111-1111-1111-111111111111;
  ...
}

В приведенной конфигурации трафик с tenant1.com будет связан с клиентом 11111111-1111-1111-1111-111111111111.

Настройка доступов к аккаунтам

  • На уровне технического тенанта вы можете добавлять глобальных и обычных пользователей.

    Глобальные пользователи будут иметь доступ к аккаунтам всех привязанных тенантов.

    Обычные пользователи будут иметь доступ только к аккаунту технического тенанта.

  • На уровне аккаунтов отдельных тенантов вы можете добавлять обычных пользователей.

    Пользователи смогут отслеживать заблокированные запросы, анализировать обнаруженные уязвимости и выполнять дополнительную настройку в рамках конкретного аккаунта. Пользователи смогут добавлять друг друга самостоятельно, если роли позволяют выполнять это действие.

Перейти к установке и настройке ноды с опцией мультиарендности →

Деактивация и активация аккаунтов тенантов

Пользователь с ролью Глобальный администратор может деактивировать аккаунты тенантов. После деактивации аккаунта тенанта:

  • Пользователи этого аккаунта не будут иметь доступа к Консоли управления Вебмониторэкс.

  • Фильтрующие ноды, установленные на уровне данного аккаунта, перестанут обрабатывать трафик.

Деактивированные аккаунты не удаляются и могут быть снова активированы.

Для деактивации аккаунта тенанта в селекторе тенантов, из меню тенанта выберите Деактивировать. Аккаунт тенанта будет деактивирован и скрыт в списке тенантов.

Аккаунт тенанта - деактивация

Для повторной активации аккаунта в селекторе тенантов выберите Показать деактивированных тенантов, затем из меню тенанта выберите Активировать.