מדריך לבקרות מנהל: ניהול משתמשים, תפקידים והרשאות

מנהלי IT צריכים לנהל משתמשים, תפקידים והרשאות כדי שהאנשים הנכונים יקבלו את הגישה הנכונה. הדרכה זו מכסה את בקרות הניהול העיקריות ב-DigitalMeet - החל מהקצאת משתמשים ועד להקצאת תפקידים, הגדרת SSO ומדיניות אבטחה.

למה בקרות ניהול חשובות

בכל פריסה ארגונית, ניהול גישה הוא הבסיס לאבטחה ולתאימות. הרשאות שגויות מובילות לחשיפת נתונים, הקלטות לא מורשות וכשלים בביקורת. DigitalMeet מספקת מערכת בקרת ניהול שכבתית המאפשרת לצוותי IT לנהל את מחזור חיי המשתמש, להגדיר תפקידים מפורטים, לאכוף מדיניות זהות ולבקר גישה - הכל מקונסולה אחת. בין אם יש לכם 50 משתמשים או 50,000, בקרות אלו ניתנות להרחבה עם הארגון שלכם.

שלב 1: גישה למסוף הניהול

היכנס באמצעות חשבון מנהל מערכת בכתובת ה-URL של DigitalMeet של הארגון שלך. ניתן לגשת למסוף הניהול מסרגל הצד השמאלי תחת ניהול . מכאן ניתן לנהל את הגדרות הארגון, משתמשים, קבוצות, תפקידים, ספקי זהויות ומדיניות אבטחה.

טיפ: הוסף את כתובת ה-URL של מסוף הניהול למועדפים והגבל את חשבונות המנהל לקבוצה קטנה. השתמש בחשבונות מנהל נפרדים מחשבונות לשימוש יומיומי כדי להפחית את הסיכון לשינויים מקריים.

שלב 2: הקצאת משתמשים

DigitalMeet תומך במספר שיטות הקצאה כדי להתאים לתשתית הזהות של הארגון שלך.

השוואת שיטות הקצאה

1. נווט אל מסוף ניהול > משתמשים > הוסף משתמשים .
2. בחר את שיטת ההקצאה שלך.
3. עבור הקצאה ידנית, הזן כתובת דוא"ל, שם ותפקיד. עבור SSO/SCIM, הגדר את ספק הזהויות שלך (ראה שלב 4).
4. הקצאת משתמשים לקבוצות או לצוותים לפי הצורך.
5. סקור ואשר את רשימת המשתמשים.

כאשר עובדים עוזבים או משנים תפקידים, יש להשבית או לעדכן את חשבונותיהם באופן מיידי. ארגונים המחוברים ל-SCIM נהנים מביטול הקצאה אוטומטי כאשר משתמשים מושבתים ב-IdP - אין צורך בניקוי ידני.

שלב 3: תפקידים והרשאות

DigitalMeet משתמש במודל בקרת גישה מבוסס תפקידים (RBAC). לכל משתמש מוקצה תפקיד אחד או יותר שקובעים מה הוא יכול לראות ולעשות ברחבי הפלטפורמה.

מטריצת הרשאות תפקידים

1. נווט אל מסוף ניהול > תפקידים .
2. סקור את תפקידי ברירת המחדל (מנהל, מארח, חבר, אורח) ואת ההרשאות שלהם.
3. כדי להתאים אישית, שכפל תפקיד קיים ושנה הרשאות ספציפיות.
4. הקצאת תפקידים למשתמשים בודדים או לקבוצות לצורך הקצאה בכמות גדולה.
5. יש ליישם את עקרון ההרשאות הנמוכות ביותר: לתת למשתמשים רק את ההרשאות הדרושות להם לתפקידם.

חשוב: תפקידים מותאמים אישית מאפשרים לך ליצור קבוצות הרשאות מיוחדות - לדוגמה, תפקיד "מבקר תאימות" עם גישת קריאה להקלטות ויומני ביקורת אך ללא יכולת ליצור פגישות או לנהל משתמשים.

שלב 4: הגדרת SSO וספק זהויות

כניסה יחידה (SEO) מרכזת את האימות, משפרת את האבטחה ומפחיתה את עייפות הסיסמאות. DigitalMeet תומך בפרוטוקולי הפדרציה העיקריים ובספקי הזהויות.

1. נווט אל מסוף ניהול > אבטחה > ספקי זהויות .
2. לחץ על "הוסף ספק זהויות" ובחר את הפרוטוקול שלך (SAML 2.0 או OpenID Connect).
3. הזן את כתובת האתר של המטא-דאטה של ספק המידע שלך או העלה את קובץ ה-XML של המטא-דאטה (עבור SAML).
4. הגדר מיפוי מאפיינים: דוא"ל, שם תצוגה, קבוצות ותפקיד.
5. הפעל הקצאת משאבים בזמן אמת אם ברצונך שייווצרו משתמשים בכניסה הראשונה.
6. בדוק את זרימת ה-SSO עם חשבון שאינו מנהל מערכת לפני אכיפת SSO עבור הארגון.
7. לאחר האימות, ניתן לאכוף כניסה באמצעות SSO בלבד (להשבית אימות סיסמה).

ספקי זהויות נתמכים כוללים את Okta, Azure Active Directory, Google Workspace, OneLogin, Ping Identity וכל ספק תואם SAML 2.0 או OIDC. לקבלת שיטות עבודה מומלצות לאבטחה, ראה אבטחת ועידות וידאו ארגוניות .

שלב 5: מדיניות אבטחה ושימוש

מעבר לתפקידים וזהות, DigitalMeet מספק בקרות מדיניות המסדירות את אופן השימוש בפלטפורמה ברחבי הארגון.

• מדיניות הקלטה - דרישה, מתן אפשרות או השבתה של הקלטה לפי סוג פגישה
• מדיניות שמירת נתונים - מחיקה אוטומטית של הקלטות ותמלילים לאחר תקופה מוגדרת
• מיקום נתונים - הגבלת אחסון ועיבוד לאזורים שאושרו (ראה הגדרת מיקום נתונים )
• שימוש מקובל - הגדר את תנאי השימוש המוצגים למשתמשים בעת הכניסה
• פסק זמן לסשן - יציאה אוטומטית לאחר תקופת חוסר פעילות
• רשימת היתרי IP - הגבלת גישה למסוף הניהול לרשתות מאושרות
• רישום ביקורת - כל פעולות המנהל, כניסות המשתמשים ושינויי ההרשאות נרשמים עם חותמות זמן וזהות השחקן.

סקור יומני ביקורת באופן קבוע. ייצא אותם ל-SIEM שלך באמצעות שילוב syslog או OTLP המתואר ב- Enterprise Observability .

שלב 6: אימות ובקרה של התצורה שלך

1. צור משתמש ניסיון עם כל תפקיד וודא שהוא יכול לגשת רק למה שהתפקיד שלו מתיר.
2. בדיקת כניסה ל-SSO אישור מיפוי מאפיינים (שם, דוא"ל, קבוצה, תפקיד).
3. נסה לבצע פעולה מחוץ להרשאות של משתמש הבדיקה וודא שהיא חסומה.
4. סקור את יומן הביקורת כדי לוודא שכל פעולות הבדיקה מתועדות.
5. הפעל את דוח סקירת הגישה המובנה כדי לזהות משתמשים עם הרשאות חריגות.

שאלות נפוצות

האם נוכל להשתמש בספק SSO משלנו?

כן. DigitalMeet תומך ב-SAML 2.0 וב-OpenID Connect עם כל ספק זהויות תואם, כולל Okta, Azure AD, Google Workspace, OneLogin ו-Ping Identity.

איך נסיר משתמש?

השבת או מחק את המשתמש במסוף הניהול. אם SCIM מוגדר, ביטול המשתמש ב-IdP שלך יבטל אותו אוטומטית ב-DigitalMeet. הגישה מבוטלת באופן מיידי.

אילו תפקידים זמינים?

תפקידי ברירת מחדל כוללים מנהל, מארח, חבר ואורח. ניתן ליצור תפקידים מותאמים אישית על ידי שכפול תפקיד ברירת מחדל והתאמת הרשאות ספציפיות כך שיתאימו לצורכי הארגון שלך.

האם ניתן להקצות תפקידים לכל קבוצה?

כן. הקצאת תפקידים לקבוצות לצורך ניהול בכמות גדולה. משתמשים יורשים את ההרשאות של כל הקבוצות אליהן הם שייכים. הקצאת תפקידים ברמת הקבוצה מפשטת את תהליך הקליטה והסרה.

כיצד פועלת הקצאת מזון בזמן (Just-in-Time)?

כאשר JIT מופעל, חשבון משתמש נוצר אוטומטית בפעם הראשונה שמישהו מתחבר באמצעות SSO. החשבון יורש הקצאות תפקידים וקבוצות על סמך מיפוי מאפייני IdP.

האם ניתן להגביל את גישת המנהל לפי IP?

כן. הגדר רשימת היתרי IP תחת אבטחה > רשת כדי להגביל את הגישה למסוף הניהול לרשתות ארגוניות או טווחי VPN שאושרו.

כיצד נשמרים יומני ביקורת?

יומני ביקורת נשמרים כברירת מחדל למשך שנה. יש לייצא אותם לאחסון חיצוני או ל-SIEM לשמירה ממושכת יותר. כל פעולות המנהל, כניסות המשתמשים ושינויי ההרשאות נלכדים.

מה קורה אם ה-SSO מושבת?

DigitalMeet תומך בחשבון מנהל מערכת מסוג "שבור זכוכית" שיכול לאמת באמצעות סיסמה גם כאשר נאכף SSO. יש לשמור על חשבון זה מאובטח ועל אישורי הגישה שלו מאוחסנים בכספת.

למידע נוסף על תחילת העבודה עם DigitalMeet, ראו תחילת העבודה ואבטחה ופרטיות .