tocdepth

2

Добавление пользователей

Вы можете добавлять неограниченное количество пользователей в проекты. Каждому пользователю необходимо выдать одну или несколько ролей, которые будут определять уровни доступа к облаку.

Типы пользователей:

  • локальные — авторизуются в личном кабинете с помощью email и пароля.

  • федеративные — авторизуются в личном кабинете по технологии единого входа (SSO) по корпоративным учетным данным.

Добавить локального пользователя

Добавить локального пользователя можно:

через личный кабинет

  1. В разделе Пользователи откройте вкладку Локальные пользователи.

  2. В правом верхнем углу нажмите Добавить пользователя.

  3. Введите email и контактные данные пользователя.

    Если пользователь с таким email уже существует в другом проекте, то вам будет предложено выбрать его из списка совпадений. Фамилия и имя в таком случае заполнятся автоматически.

  4. Назначьте пользователю права.

    Примечание

    При назначении прав действует принцип иерархии: вы можете назначить только те роли, которые находятся на одном уровне с вашей, либо ниже ее. Назначить себе или другому пользователю роль выше нельзя.

    На организацию и проект

    Вы можете выбрать одну из доступных ролей на организацию. Эти роли определяют, какие действия и разделы будут доступны пользователю внутри всего личного кабинета.

    ../_images/screen__employees_org.svg

    Если пользователи будут работать только с платформами и сервисами, назначать права на организацию необязательно. Для них достаточно выбрать соответствующую роль на проект.

    Вы можете выбрать одну из доступных ролей на проект. Эти роли определяют, какие действия будут доступны пользователю внутри конкретного проекта.

    ../_images/screen__employees_project.svg
    На сервисы

    Роли в блоке Сервисы определяют, какие действия будут доступны пользователю внутри конкретных сервисов. Если на уровне проекта пользователю была выдана роль «Администратор проекта», то на сервисы наследуются административные роли и изменить их нельзя. Настроить роли на сервисы вручную можно для ролей «Администратор пользователей», «Пользователь сервисов» и «Пользователь проекта».

    На платформы

    Для каждой подключенной в проекте платформы необходимо назначить пользователю роль.

    Если в проекте есть подключенная платформа Evolution, то можно назначить пользователю роли на сервисы этой платформы.

    Evolution Object Storage

    В рамках сервиса можно назначить одну общую роль, которая будет действовать для всех бакетов, либо выбрать роли для определенных бакетов.

    Роли на бакеты влияют на то, какие действия с объектами в них будут доступны пользователю.

    ../_images/screen__employees_evo_object_storage.svg

    Artifact Registry

    В рамках сервиса можно назначить одну общую роль, которая будет действовать для всех реестров, либо выбрать роли для определенных реестров.

    ../_images/screen__employees_artifact_registry.svg

  5. Нажмите Добавить и завершить.

    Если вы хотите добавить текущего пользователя и сразу перейти к созданию следующего, нажмите Добавить еще пользователя.

через cURL

  1. Создайте пользователя:

    curl --location 'https://iam.api.cloud.ru/api/v1/customers/<customerId>/users' \
     --header 'accept: application/json' \
     --header 'Content-Type: application/json' \
     --header 'Authorization: Bearer <аутентификационный токен>' \
     --data-raw '{
       "userName": "ivanovivan@gmail.com",
       "firstName": "Иван",
       "lastName": "Иванов",
       "middleName": "Иванович",
       "email": "ivanovivan@gmail.com",
       "accountType": "USER_ACCOUNT_TYPE_LOCAL"
     }'

    Где:

    • customerId — Идентификатор организации. Должен быть в формате uuid. idpId должен быть в формате uuid. Если пользователь локальный, но в запросе указан idpId, появится ошибка.

    • body — Содержит параметры:

      • userName — Может содержать латинские буквы (A-Z, a-z), цифры (0-9) и символы (., _, -, , @, + // -). Минимальное количество символов — два, макксимальное — 255.

      • firstName, lastName, middleName — Может содержать буквы unicode в разных регистрах, цифры и пробелы. Минимальное количество символов — два, макксимальное — 255.

      • email.

    • accountType — Будут выведены только локальные пользователи.

    Пример ответа

    В теле ответа вернется ID созданного локального пользователя. Этот ID будет необходим для назначения пользователю ролей.

    {
  "user_id": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx"
}

    Коды ошибок

    400 Bad Request

    firstname, lastname и middlename``не содержат допустимых символов ``\"^[-a-zA-Z0-9@._+ ]{2,255}$\".

    {
  "code": 3,
  "message": "invalid AddUserRequest.Username: value does not match regex pattern \"^[-a-zA-Z0-9@._+ ]{2,255}$\"",
  "details": []
}

  2. Назначьте роль, используя id пользователя из предыдущего шага.

    curl --location 'https://iam.api.cloud.ru/api/v1/permissions' \
     --header 'accept: application/json' \
     --header 'Content-Type: application/json' \
     --header 'Authorization: Bearer <аутентификационный токен>' \
     --data '{
       "role": "s3e.admin",
       "objectId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx",
       "objectType": "resource",
       "subjectId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx",
       "subjectType": "user",
       "expiresAt": "2025-05-28T07:19:34.563Z",
     }'

    Где:

    • roleроль, выдаваемая пользователю, сервисному аккаунту или группе;

    • objectId — идентификатор ресурса, на уровень которого выдается роль;

    • objectType — при заполении этого параметра выберите customer или resource:

      • customer — если роль выдается на организацию;

      • resource — если на любой ресурс.

    • subjectId — идентификатор субъекта, которому выдается роль;

    • subjectType — тип субъекта, которому выдается роль:

      • user — если роль выдается пользователю.

    • expiresAt - 2025-05-28 — дата, после которой роль будет удалена.

Добавленный пользователь получит письмо на email с приглашением присоединиться к вашей организации.

Добавить федеративного пользователя

Федеративные пользователи получают доступ к облачным ресурсам Cloud.ru по технологии единого входа (SSО) с помощью федерации удостоверений. Они отличаются от локальных пользователей только способом входа в личный кабинет. Федеративным пользователям назначаются такие же роли, как и локальным.

См.также

Подробнее смотрите в статье Управление федерациями.

Чтобы создать федеративного пользователя:

  1. В разделе Пользователи откройте вкладку Федеративные пользователи.

  2. В правом верхнем углу нажмите Добавить пользователя федерации.

  3. Выберите федерацию, в которую нужно включить пользователя.

  4. Укажите email сотрудника. Можно добавить сразу несколько пользователей, если ввести их email через запятую или пробел.

  5. Наделите пользователя необходимыми правами на проекты и платформы. Подробнее о логике ролей смотрите в статье Роли пользователей Cloud.ru.

  6. Нажмите Добавить.

    Профиль пользователя появится на вкладке Федеративные пользователи.

    Пользователю также будет автоматически отправлено письмо со ссылкой на вход, ID федерации и инструкцией по входу.

  7. Перейдите в раздел Администрирование, на вкладку Федерации.

  8. Скопируйте ID федерации в строке с нужной федерацией. Передайте его пользователям, чтобы они смогли войти в личный кабинет.

Повторное добавление пользователя в организацию

Если пользователь не успел принять приглашение в организацию или по ошибке отклонил его, то можно отправить повторное приглашение.

Выполните запрос:

curl --location 'https://iam.api.cloud.ru/api/v1/customers/<customerId>/users/reinvite' \
     --header 'accept: application/json' \
     --header 'Content-Type: application/json' \
     --header 'Authorization: Bearer <аутентификационный токен>' \
     --data '{
       "userId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx"
     }'

Где:

  • customerId — идентификатор организации;

  • userId — идентификатор пользователя.

Запустили Evolution free tier
для Dev & Test
Получить