Створення окремого користувача та надання прав доступу

🌐 Цей документ доступний українською та англійською мовами. Використовуйте перемикач у правому верхньому куті, щоб змінити версію.

1. Створення користувача у системі

Щоб створити нового користувача (посадову особу) у Keycloak, необхідно виконати наступні кроки:

  1. Перейдіть до realm -officer-portal відповідного реєстру:

    • На вкладці Users натисніть View all users.

    • Натисніть кнопку Add user.

      user management 04

  2. У відкритому вікні введіть дані користувача:

    • Username (обов’язковий) — системне ім’я користувача у Keycloak. Не впливає на автентифікацію користувачів.

      Може використовуватися як виключення для входу до внутрішніх системних сервісів, які передбачають автентифікацію за логіном та паролем.

    • First Name (не обов’язковий) — ім’я користувача.

    • Last Name (не обов’язковий) — прізвище користувача.

    • User Enabled (увімкнено за замовчуванням) — позначка, що користувач активований у системі (якщо вона не активна, доступ такого користувача до систем буде обмежено).

    • Email Verified (не обов’язковий) — активується у разі необхідності підтвердження електронної пошти.

    user management 33

  3. Натисніть кнопку Save.

  4. Перейдіть до вкладки Credentials.

  5. Введіть пароль у полі Password та підтвердьте його в полі Password Confirmation.
    Активуйте позначку Temporary, щоб згенерувати тимчасовий пароль.

    З метою безпеки необхідно змінити тимчасовий пароль при першій авторизації в системі.

    user management 34

  6. Натисніть кнопку Set Password.

    0

  7. Перейдіть на вкладку Role Mappings та призначте необхідні ролі користувачу. Натисніть кнопку Add selected.

    Переконайтеся, що користувач має обов’язкову роль officer — вона надає доступ до Кабінету посадової особи.

    Ви можете також призначати додаткові ролі, передбачені логікою вашого реєстру.

    user management 36

  8. Надані ролі будуть показані в секції Assigned Roles.

    user management 37

  9. Перейдіть на вкладку Attributes та встановіть значення для ключів параметрів drfo, edrpou, fullName, які є обов’язковими для автентифікації через кваліфікований електронний підпис (КЕП) користувача (детальніше — див. Автентифікація користувачів реєстру), а також KATOTTG (опціонально — для використання ієрархічної рольової моделі за територіальною ознакою). Новий параметр додається після натискання кнопки Add.

    • drfo — особистий реєстраційний номер облікової картки платника податків (РНОКПП) посадової особи. Якщо через релігійні переконання особа не отримувала РНОКПП, необхідно вказати серію та номер паспорта або номер ID-картки.

    • edrpou — унікальний ідентифікаційний номер юридичної особи в Єдиному державному реєстрі підприємств та організацій України (8 цифр).

    • fullName — прізвище, ім’я, по батькові (за наявності).

      У разі невідповідності значень атрибутів до значень, заданих у КЕП, користувач не матиме можливості увійти до Кабінету посадової особи та підписувати задачі КЕП.

    • hierarchy_code — сурогатний ключ для доступу до об’єктів відповідно до ієрархічної структури. Наприклад, 101.202.303. Обов’язковий до заповнення для реєстрів, які використовують ієрархічну рольову модель управління.

      Детальніше про ієрархічну модель читайте на сторінці Ієрархічна модель.

    • KATOTTG (до заповнення для реєстрів, які використовують рольову модель за територіальною ознакою) — перелік кодів з Кодифікатора адміністративно-територіальних одиниць та територій територіальних громад. Після визначення коду KATOTTG для до Keycloak потрібно записати скорочене значення коду. Користувач Кабінету посадової особи матиме доступ до записів саме тієї області/району/територіальної громади тощо, код якої буде вказано.

      Рівні КАТОТТГ відповідно кодифікатора територіальної прив’язки та приклади використання.

      Для перегляду значення коду KATOTTG перейдіть за посиланням.

      Знайдіть найактуальніший файл «Кодифікатор». Для зручності використовуйте додаткове фільтрування по колонці «Категорія об’єкта» файлу, яка містить наступні значення:

      Рівень

      Значення

      Перший рівень

      «O» – Автономна Республіка Крим, області

      «K» – міста, що мають спеціальний статус

      Другий рівень

      «P» – райони в областях та Автономній Республіці Крим

      Третій рівень

      «H» – території територіальних громад (назви територіальних громад) в областях, територіальні громади Автономної Республіки Крим

      Четвертий рівень

      «M» – міста

      «T» – селища міського типу

      «C» – села

      «X» – селища

      Додатковий рівень

      «B» – райони в містах
      Приклад 1:

      Необхідно надати доступ користувачу до Кабінету посадової особи на рівні Миргородської територіальної громади (Третій рівень) Полтавської області. Для цього:

      • в колонці «Категорія об’єкта» виберіть значення «Н».

      • в колонці «Назва об’єкта» введіть в пошуку назву територіальної громади «Миргородська».

      • скопіюйте з колонки «Третій рівень» код значення територіальної одиниці (UA53060230000098362).

      • згідно з розшифровкою нижче визначте який з блоків є останнім ненульовим, видаліть всі нульові блоки разом з системним номером і заповніть до Keycloak тільки це значення. В прикладі 1 до Keycloak потрібно занести UA5306023 (блоки до рівня територіальної громади є ненульовими).

        user management 41

      Приклад 2:

      Необхідно надати доступ користувачу до Кабінету посадової особи на рівні Шевченківського району м. Полтава (Додатковий рівень). Для цього:

      • спочатку в колонці «Категорія об’єкта» виберіть значення «О».

      • в колонці «Назва об’єкта» введіть в пошуку назву області «Полтавська».

      • скопіюйте з колонки «Перший рівень» код значення області (UA53000000000028050).

      • за допомогою фільтра залиште лише ті значення, які в колонці «Перший рівень» містять значення UA53000000000028050.

      • в колонці «Категорія об’єкта» виберіть значення «В».

      • в колонці «Назва об’єкта» введіть в пошуку назву району «Шевченківський».

      • скопіюйте з колонки «Додатковий рівень» код значення територіальної одиниці (UA53080370010339303).

      • згідно з прикладом 1 визначте який з блоків є останнім ненульовим, видаліть усі нульові блоки разом з системним номером і заповніть до Keycloak тільки це значення. В прикладі 2 до Keycloak потрібно занести UA530803700103 (блоки до рівня районів у містах є ненульовими).

      Якщо користувач матиме доступ до декількох територіальних одиниць, їх коди вносяться до Keycloak з роздільником ##. Максимально можлива кількість значень для одного кристувача – 16.

      У випадку надання користувачу доступу до записів всієї України в значенні KATOTTG потрібно вказати тільки два символи – UA.

      Детальніше про рольову модель за територіальною прив’язкою див. на сторінці Рольова модель за територіальною прив’язкою (КАТОТТГ).

    • додатково будь-який інший атрибут з довільною назвою та значенням за потреби (наприклад, назва організації, область, район, населений пункт тощо), якщо надалі буде необхідність будувати на основі нього статистику щодо створених користувачів. Заборонено включати до значення спеціальні символи ([, ], {, }, \, "), а також значення, які містять понад 255 символів. Назва кожного додаткового атрибута обов’язково повинна бути однаковою для всіх користувачів реєстру і мати унікальну назву серед інших параметрів.

    user management 42

  10. Натисніть кнопку Save.

Користувача успішно створено.

2. Видалення ролі користувачу

Щоб видалити надані користувачу ролі, виконайте наступні кроки:

  1. Оберіть необхідного користувача. Для цього оберіть відповідний realm, перейдіть до розділу Users, натисніть View all users та оберіть користувача зі списку.

    user management 40

  2. Виберіть зі списку ролі, що необхідно видалити та натисніть Remove selected.

    user management 38

  3. Видалені ролі стануть доступними та будуть показані в секції Available Roles.

    user management 39