Перейти к содержанию

Настройка аккаунтов тенантов в Консоли управления

Опция мультиарендности позволяет использовать несколько связанных аккаунтов в Консоли управления Вебмониторэкс. Каждый аккаунт — отдельная учетная запись в Консоли управления, выделенная для одной независимой организации или изолированной среды. Такая учетная запись называется аккаунт тенанта.

  • Аккаунты тенантов привязываются к одному глобальному аккаунту. Это позволяет идентифицировать принадлежность тенантов партнеру или клиенту и обеспечивает корректную группировку аккаунтов в Консоли управления.

  • Каждый аккаунт тенанта имеет отдельный список пользователей, у которых есть доступ к действиям с аккаунтом и нодой.

  • Данные каждого аккаунта тенанта изолированы и доступны только его пользователям.

  • Пользователи с глобальными ролями могут смотреть и изменять данные всех аккаунтов, а также создавать новые аккаунты. Конкретный набор прав зависит от глобальной роли: Глобальный администратор / Глобальный аналитик / Только чтение глобально.

Для корректной настройки аккаунтов тенантов используйте эту инструкцию.

Термин "партнерский клиент"

В предыдущей версии документации для обозначения "тенанта" использовался термин "партнерский клиент". В дальнейшем будет использоваться термин "тенант".

Структура аккаунтов тенантов

Аккаунты тенантов создаются согласно следующей структуре:

Схема аккаунтов тенантов

  • Глобальный аккаунт используется только для группировки аккаунтов тенантов по принадлежности партнеру или клиенту.

  • Аккаунт технического тенанта используется для настройки доступов глобальных пользователей к аккаунтам тенантов. Обычно глобальные пользователи — это сотрудники компании-партнера Вебмониторэкс или клиента Вебмониторэкс, который использует мультиарендность для изолированных сред.

  • Аккаунты тенантов используется для:

    • Доступа тенантов к информации об обнаруженных атаках и управлению настройками фильтрации трафика.
    • Добавления пользователей, которые будут иметь доступ к данным в рамках аккаунта.

Глобальные пользователи могут переключаться между аккаунтами в Консоли управления:

Выбор тенантов в Консоли управления

  • Technical tenant — аккаунт технического тенанта

  • Tenant 1 и Tenant 2 — аккаунты тенантов

Настройка аккаунтов тенантов

Чтобы настроить аккаунты тенантов:

  1. Зарегистрируйтесь в Консоли управления Вебмониторэкс и отправьте запрос в техническую поддержку Вебмониторэкс для включения мультиарендности для вашего аккаунта.

  2. Получите от технической поддержки Вебмониторэкс доступ к созданию тенантов.

  3. Создайте аккаунт тенанта.

  4. Свяжите трафик с тенантом.

Шаг 1: Зарегистрируйтесь и отправьте запрос на включение мультиарендности

  1. Заполните и подтвердите форму регистрации в Консоли управления Вебмониторэкс.

    Форма регистрации

    Корпоративная почта

    При регистрации необходимо использовать корпоративный email.

  2. Перейдите к вашему email и активируйте аккаунт Вебмониторэкс по ссылке из полученного письма.

  3. Отправьте запрос в техническую поддержку Вебмониторэкс для включения опции мультиарендности для вашего аккаунта. С запросом отправьте следующие данные:

    • Название Вычислительного кластера Вебмониторэкс, в котором вы зарегистрировались: RU‑облако.
    • Название для глобального аккаунта и для аккаунта технического тенанта.
    • Адреса email сотрудников, которые должны иметь доступ к будущим аккаунтам тенантов. После включения опции мультиарендности вы сможете добавлять сотрудников самостоятельно.
    • Логотип для брендированной Консоли управления.
    • Язык для интерфейса Консоли управления (английский или русский).
    • Домен для размещения Консоли управления, сертификат и ключ шифрования для домена.
    • Адрес вашей технической поддержки.

Шаг 2: Получите доступ к созданию тенанта

После получения запроса сотрудники технической поддержки Вебмониторэкс:

  1. Создадут в системе Вебмониторэкс глобальный аккаунт и аккаунт технического тенанта.

  2. Предоставят вам доступ Глобального администратора. Ваш пользователь будет добавлен на уровне технического тенанта.

  3. Если вы передавали email ваших сотрудников, добавят сотрудников в список пользователей аккаунта технического клиента с ролями Только чтение глобально.

    Если сотрудники еще не зарегистрированы в Консоли управления Вебмониторэкс, они получат письма с сообщением о необходимости установить новый пароль для доступа к аккаунту технического клиента.

  4. Отправят вам UUID основного тенанта (партнера или клиента, который использует мультиарендность для защиты изолированных сред).

Шаг 3: Создайте тенанта

  • Перейдите в раздел Тенанты.

  • В блоке со списком тенантов нажмите Добавить тенант.

  • В открывшемся окне введите название тенанта и префикс уязвимости. Префикс уязвимости будет использоваться для обозначения уязвимостей, обнаруженных в системе тенанта. Префикс должен состоять из четырех заглавных букв или цифр и соотноситься с названием тенанта. Например, для тенанта TenantTNT.

  • При необходимости смените язык интерфейса. По умолчанию — язык, который вы указали в запросе к технической поддержке.

  • Нажмите Сохранить – тенант будет создан и появится в списке.

  • Скопируйте значение параметра UUID. Параметр понадобится на следующем шаге.

Аккаунт тенанта - создание

Шаг 4: Свяжите трафик с тенантом

Когда необходимо выполнить этот шаг?

Этот шаг выполняется во время установки ноды и только если вы используете или планируете использовать одну ноду Вебмониторэкс для обработки трафика всех тенантов.

Если для каждого тенанта установлена или будет установлена отдельная нода, пропустите этот шаг и перейдите к установке и настройке ноды.

В Вычислительный кластер Вебмониторэкс необходимо передать информацию о том, какой трафик отображать в аккаунте тенанта. Для этого в соответствующем блоке конфигурационного файла NGINX задайте UUID тенанта в качестве значения директивы wallarm_partner_client_uuid. Например:

server {
  server_name  tenant1.com;
  wallarm_partner_client_uuid 11111111-1111-1111-1111-111111111111;
  ...
}

В приведенной конфигурации трафик с tenant1.com будет связан с клиентом 11111111-1111-1111-1111-111111111111.

Настройка доступов к аккаунтам

  • На уровне технического тенанта вы можете добавлять глобальных и обычных пользователей.

    Глобальные пользователи будут иметь доступ к аккаунтам всех привязанных тенантов.

    Обычные пользователи будут иметь доступ только к аккаунту технического тенанта.

  • На уровне аккаунтов отдельных тенантов вы можете добавлять обычных пользователей.

    Пользователи смогут отслеживать заблокированные запросы, анализировать обнаруженные уязвимости и выполнять дополнительную настройку в рамках конкретного аккаунта. Пользователи смогут добавлять друг друга самостоятельно, если роли позволяют выполнять это действие.

Перейти к установке и настройке ноды с опцией мультиарендности →

Редактирование аккаунтов тенантов

Для пользователей с ролью Глобальный администратор доступно редактирование аккаунтов теннатов:

  • Перейдите в раздел Тенанты.

  • В блоке со списком тенантов нажмите на нужный тенант.

  • В открывшемся окне внесите изменения, например, укажите новое название тенанта или смените язык интерфейса.

  • Нажмите Сохранить – параметры для тенанта будут обновлены.

Аккаунт тенанта - редактирование

Деактивация и активация аккаунтов тенантов

Пользователь с ролью Глобальный администратор может деактивировать аккаунты тенантов. После деактивации аккаунта тенанта:

  • Пользователи этого аккаунта не будут иметь доступа к Консоли управления Вебмониторэкс.

  • Фильтрующие ноды, установленные на уровне данного аккаунта, перестанут обрабатывать трафик.

Деактивированные аккаунты не удаляются и могут быть снова активированы.

Для деактивации аккаунта тенанта:

  • В окне редактирования тенанта отключите параметр Активирован.

  • Подтвердите деактивацию тенанта – аккаунт тенанта будет деактивирован и скрыт в списке тенантов.

    Аккаунт тенанта - деактивация

Для повторной активации аккаунта в окне редактирования тенанта включите параметр Активирован и сохраните изменения – тенант снова появится в списке.