Управление пользователями¶
Раздел Администрирование → Пользователи предназначен для просмотра учётных записей платформы, изменения назначенной роли и блокировки пользователей.
Источник учётных записей
Учётные записи пользователей синхронизируются из внешнего провайдера идентификации (Keycloak). Создание учётных записей, смена пароля и управление группами выполняются на стороне Keycloak. В платформе AppSec.GenAI доступны действия по управлению ролью и блокировке пользователя.
Список пользователей¶
Для просмотра списка пользователей перейдите в раздел Администрирование > Пользователи.
Каждый пользователь отображается в виде строки таблицы со следующими данными:
| Поле | Описание |
|---|---|
| Логин | Идентификатор пользователя для входа в систему |
| Имя | Полное имя пользователя |
| Адрес электронной почты | |
| Роль | Назначенная роль (Наблюдатель, Пользователь, Продвинутый, Администратор) |
| Статус | Текущее состояние учётной записи (например, Активен) |
| Последний вход | Дата и время последней авторизации |
В правой части строки доступна кнопка Заблокировать для запрета входа выбранному пользователю.
Для поиска нужного пользователя используйте поле Поиск... над таблицей.
Просмотр информации о пользователе¶
Для просмотра подробной информации о пользователе нажмите на строку с его именем — откроется диалог Информация о пользователе.
В диалоге отображаются:
| Поле | Описание |
|---|---|
| Логин | Идентификатор пользователя |
| Полное имя | Имя и фамилия |
| Адрес электронной почты | |
| Роль | Эффективная роль в платформе. При наличии локального переопределения отображается с пометкой (override, базовая: <название>) |
| Статус | Текущее состояние учётной записи |
| Источник | Источник учётной записи (например, keycloak_local) |
| Последний вход | Дата и время последней авторизации |
| Создан | Дата создания учётной записи |
В блоке Управление ролью доступно изменение роли пользователя — см. раздел «Изменение роли пользователя».
Ролевая модель¶
В AppSec.GenAI определены четыре роли с различными уровнями доступа.
Описание ролей¶
Полный доступ ко всем функциям системы, включая управление пользователями, лицензией и настройками.
Типичный пользователь: ИТ-администратор, ответственный за эксплуатацию платформы.
Доступ к управлению сканированиями и просмотру отчётов. Не может создавать или удалять модели.
Типичный пользователь: руководитель направления ИБ, менеджер проекта.
Основная рабочая роль: регистрация моделей, настройка профилей, запуск атак, анализ результатов.
Типичный пользователь: инженер по безопасности, пентестер AI/ML.
Только просмотр результатов сканирований и отчётов. Не может запускать атаки или изменять конфигурации.
Типичный пользователь: разработчик ML-моделей, аналитик.
Матрица прав доступа¶
| Действие | Администратор | Продвинутый | Пользователь | Наблюдатель |
|---|---|---|---|---|
| Модели | ||||
| Просмотр списка моделей | ✅ | ✅ | ✅ | ✅ |
| Регистрация новой модели | ✅ | - | ✅ | - |
| Редактирование модели | ✅ | - | ✅ | - |
| Удаление модели | ✅ | - | - | - |
| Проверка модели | ✅ | ✅ | ✅ | - |
| Профили сканирования | ||||
| Просмотр профилей | ✅ | ✅ | ✅ | ✅ |
| Создание профиля | ✅ | - | ✅ | - |
| Редактирование профиля | ✅ | - | ✅ | - |
| Удаление профиля | ✅ | - | - | - |
| Сканирования | ||||
| Просмотр списка сканирований | ✅ | ✅ | ✅ | ✅ |
| Запуск сканирования | ✅ | ✅ | ✅ | - |
| Отмена сканирования | ✅ | ✅ | ✅ | - |
| Результаты | ||||
| Просмотр результатов | ✅ | ✅ | ✅ | ✅ |
| Скачивание отчётов | ✅ | ✅ | ✅ | ✅ |
| Удаление результатов | ✅ | - | - | - |
| Администрирование | ||||
| Управление пользователями | ✅ | - | - | - |
| Просмотр журнала аудита | ✅ | - | - | - |
| Управление лицензией | ✅ | - | - | - |
Примеры практического применения ролей¶
Ниже описаны типичные сценарии использования каждой роли в повседневной работе с платформой.
- Управление учётными записями: блокировка пользователей и изменение ролей.
- Регистрация моделей и удаление устаревших записей.
- Запуск сканирований и полный контроль жизненного цикла.
- Просмотр журнала аудита и мониторинг действий пользователей.
- Управление лицензией платформы.
Сценарий
Администратор развернул платформу, активировал лицензию, передал команде безопасности контакты для получения доступа через Keycloak, зарегистрировал модели для тестирования и настроил роли подключившимся пользователям.
- Создание и настройка профилей сканирования для команды.
- Запуск сканирований по подготовленным профилям.
- Просмотр результатов и скачивание отчётов.
- Контроль прогресса тестирования и распределение задач.
Сценарий
Руководитель направления ИБ создал профиль сканирования с набором jailbreak-атак, запустил тестирование продуктовой LLM-модели и передал отчёт с результатами команде разработки.
- Регистрация новых моделей и настройка API-контрактов.
- Создание профилей с детальной конфигурацией атак и трансформаций.
- Запуск сканирований и анализ найденных уязвимостей.
- Проверка модели перед запуском тестов.
Сценарий
Пентестер зарегистрировал внутреннюю LLM-модель, настроил профиль с multi-stage пайплайном трансформаций (obfuscation → encoding → roleplay), запустил сканирование, проанализировал обнаруженные уязвимости и подготовил рекомендации по устранению.
- Просмотр списков моделей, профилей и сканирований.
- Изучение результатов сканирований и найденных уязвимостей.
- Скачивание отчётов для анализа и устранения проблем.
Сценарий
ML-инженер, разрабатывающий модель, открыл список сканирований и увидел, что тестирование его модели завершено. Он просмотрел обнаруженные уязвимости, скачал детальный отчёт и использовал его для доработки механизмов защиты модели.
Изменение роли пользователя¶
Базовая роль пользователя определяется на основе его групп в Keycloak. В платформе AppSec.GenAI администратор может локально переопределить эту роль (override) — например, временно повысить или понизить уровень доступа.
-
Откройте раздел Администрирование → Пользователи.
-
Нажмите на строку нужного пользователя — откроется диалог Информация о пользователе.
-
В блоке Управление ролью нажмите кнопку Изменить роль.
-
Выберите роль в выпадающем списке (Наблюдатель / Пользователь / Продвинутый / Администратор).
-
Нажмите Применить — переопределённая роль вступит в силу.
Для возврата к базовой роли из Keycloak используйте кнопку Сбросить override — она снимает локальное переопределение, и эффективная роль снова станет равна базовой.
Override и базовая роль
После применения override в карточке пользователя отображается пометка (override, базовая: <название_базовой_роли>). Это позволяет видеть исходную роль из Keycloak независимо от локального переопределения в платформе.
Блокировка пользователя¶
Для запрета входа пользователю в платформу:
-
Откройте раздел Администрирование → Пользователи.
-
В строке нужного пользователя нажмите кнопку Заблокировать.
Заблокированный пользователь не сможет войти в платформу до снятия блокировки.
Журнал аудита¶
Все действия пользователей в системе автоматически записываются в Журнал аудита. Доступ к журналу имеют пользователи с ролью Администратор.
Просмотр журнала аудита¶
-
Перейдите в раздел Администрирование → Журнал аудита.
-
Для поиска конкретной записи используйте поле Поиск... над таблицей.
Структура записи журнала¶
| Поле | Описание | Пример |
|---|---|---|
| Событие | Тип действия | user_login |
| Пользователь | Логин пользователя, чьё действие зафиксировано | genai-admin |
| Кем | Инициатор действия (если выполнено от имени другого пользователя) | --- |
| IP адрес | IP-адрес клиента | 10.233.71.10 |
| Детали | Дополнительные данные о событии в формате «ключ: значение» | source: keycloak_local, status: active, baseRole: admin, effectiveRole: admin |
| Дата | Относительное время события | только что, 6 мин назад |
Создание учётных записей и управление паролями¶
Создание пользователей, смена и сброс пароля, управление группами и политикой паролей выполняются на стороне внешнего провайдера идентификации (Keycloak).
Для выполнения этих действий обратитесь к администратору Keycloak.