"Доступ пользователей" не равен "Доступу к моделям"

Эта страница посвящена группам пользователей и доступу, который включает:

• Лицензии пользователей, разрешения и членство в группах
• Управление доступом на основе ролей для проектов и сред
• Единый вход и безопасная аутентификация

"Группы моделей и доступ" — это функция, специфичная для моделей и их доступности в разных проектах. Обратитесь к Доступ к моделям для получения дополнительной информации о том, что это значит для ваших проектов dbt.

О доступе пользователей

Вы можете регулировать доступ к dbt Cloud различными способами, включая лицензии, группы, разрешения и управление доступом на основе ролей (RBAC). Чтобы понять возможные подходы к доступу пользователей к функциям и возможностям dbt Cloud, сначала нужно понять, как мы подходим к пользователям и группам.

Пользователи

Индивидуальные пользователи в dbt Cloud могут быть людьми, которых вы приглашаете вручную или предоставляете доступ через внешнего поставщика удостоверений (IdP), такого как Microsoft Entra ID, Okta или Google Workspace.

В любом из этих случаев, когда вы добавляете пользователя в dbt Cloud, ему назначается лицензия. Вы назначаете лицензии на уровне индивидуального пользователя или группы. Когда вы вручную приглашаете пользователя, вы назначаете лицензию в окне приглашения.

Пример выпадающего списка лицензий в окне приглашения пользователя.

Вы можете изменить лицензию существующего пользователя, перейдя в раздел Пользователи в Настройках аккаунта, нажав на пользователя и выбрав Редактировать в панели пользователя. Удалите пользователей из этого же окна, чтобы освободить лицензии для новых пользователей.

Пример окна информации о пользователе в каталоге пользователей

Группы

Группы в dbt Cloud служат той же цели, что и в традиционных инструментах каталогов — собирать индивидуальных пользователей вместе, чтобы упростить массовое назначение разрешений. Администраторы используют группы в dbt Cloud для назначения лицензий и разрешений. Разрешения более детализированы, чем лицензии, и вы назначаете их только на уровне группы; вы не можете назначать разрешения на уровне пользователя. Каждый пользователь в dbt Cloud должен быть назначен хотя бы в одну группу.

Сразу после создания вашего аккаунта dbt Cloud доступны три группы по умолчанию (человек, создавший аккаунт, автоматически добавляется во все три):

• Владелец: Эта группа предназначена для лиц, ответственных за весь аккаунт, и предоставляет им повышенные привилегии администратора аккаунта. Вы не можете изменить разрешения.
• Участник: Эта группа предназначена для общих членов вашей организации, которые также будут иметь полный доступ к аккаунту. Вы не можете изменить разрешения. По умолчанию dbt Cloud добавляет новых пользователей в эту группу.
• Все: Общая группа для всех членов вашей организации. Настройте разрешения в соответствии с потребностями вашей организации. По умолчанию dbt Cloud добавляет новых пользователей в эту группу.

Мы рекомендуем удалить группы по умолчанию Владелец, Участник и Все перед развертыванием и заменить их на ваши организационные группы. Это предотвращает получение пользователями более высоких привилегий, чем они должны, и помогает администраторам убедиться, что они правильно размещены.

Создайте новые группы в разделе Группы и лицензии в Настройках аккаунта. Если вы используете внешний IdP для SSO, вы можете синхронизировать эти группы SSO с dbt Cloud из панели Детали группы при создании или редактировании существующих групп.

Пример новой панели группы в настройках аккаунта.

important

Если пользователю назначены лицензии и разрешения из нескольких групп, группа, предоставляющая наибольший доступ, будет иметь приоритет. Вы должны назначить набор разрешений для любых групп, созданных сверх трех по умолчанию, иначе пользователи, назначенные в них, не будут иметь доступа к функциям, кроме их пользовательского профиля.

SSO сопоставления

SSO сопоставления связывают членство в группе поставщика удостоверений (IdP) с группой dbt Cloud. Когда пользователи входят в dbt Cloud через поддерживаемого поставщика удостоверений, их членство в группах IdP синхронизируется с dbt Cloud. После успешного входа в систему членство пользователя в группах (и разрешения) автоматически корректируются в dbt Cloud.

Создание SSO сопоставлений

Хотя dbt Cloud поддерживает сопоставление нескольких групп IdP с одной группой dbt Cloud, мы рекомендуем использовать сопоставление 1:1, чтобы упростить администрирование. Используйте одинаковые названия для ваших групп dbt Cloud и групп IdP.

Создайте SSO сопоставление в представлении группы:

1. Откройте существующую группу для редактирования или создайте новую группу.
2. В разделе SSO на экране группы введите название группы SSO точно так, как оно указано в IdP. Если название не совпадает, пользователи не будут правильно размещены в группе.
3. В разделе Пользователи убедитесь, что опция Добавить всех пользователей по умолчанию отключена.
4. Сохраните конфигурацию группы. Новые пользователи SSO будут добавлены в группу при входе, а существующие пользователи будут добавлены в группу при следующем входе.

Пример группы SSO, сопоставленной с группой dbt Cloud.

Обратитесь к управлению доступом на основе ролей для получения дополнительной информации о сопоставлении групп SSO для назначения пользователей в группы dbt Cloud.

Предоставление доступа

Пользователи dbt Cloud имеют как лицензию (назначенную индивидуальному пользователю или через членство в группе), так и разрешения (только через членство в группе), которые определяют, какие действия они могут выполнять. Лицензии действуют на уровне аккаунта, а разрешения предоставляют более детализированный доступ или ограничения к конкретным функциям.

Лицензии

Каждому пользователю в dbt Cloud назначается лицензия. Лицензии потребляют "места", что влияет на то, как ваш аккаунт выставляется на оплату, в зависимости от вашего тарифного плана.

В dbt Cloud есть три типа лицензий:

• Разработчик — Пользователю могут быть предоставлены любые разрешения.
• Только для чтения — Пользователь имеет разрешения только для чтения, применяемые ко всем ресурсам dbt Cloud, независимо от назначенных ему разрешений на основе ролей.
• ИТ — Пользователь имеет разрешения администратора безопасности и администратора выставления счетов permissions, независимо от назначенных разрешений группы.

Лицензии разработчиков составляют большинство пользователей в вашей среде и оказывают наибольшее влияние на выставление счетов, поэтому важно следить за их количеством в любой момент времени.

Для получения дополнительной информации о этих типах лицензий см. Места и пользователи

Разрешения

Разрешения определяют, что пользователь с лицензией разработчика может делать в вашем аккаунте dbt Cloud. По умолчанию члены групп Владелец и Участник имеют полный доступ ко всем областям и функциям. Когда вы хотите ограничить доступ к функциям, назначайте пользователей в группы с более строгими наборами разрешений. Имейте в виду, что если пользователь принадлежит нескольким группам, наиболее разрешительная группа будет иметь приоритет.

Доступные разрешения зависят от того, находитесь ли вы на Enterprise или самообслуживаемом Team плане. Учетные записи разработчиков имеют только одного пользователя, поэтому разрешения не применяются.

Пример выпадающего списка разрешений при редактировании существующей группы.

Некоторые разрешения (те, которые не предоставляют полный доступ, как администраторы) позволяют группам быть "назначенными" только для конкретных проектов и сред. Прочтите о разрешениях на уровне среды для получения дополнительной информации об ограничении доступа к средам.

Пример управления доступом к среде для группы с назначенным администратором Git.

Управление доступом на основе ролей enterprise

Управление доступом на основе ролей (RBAC) позволяет предоставлять пользователям доступ к функциям и возможностям на основе их членства в группах. С помощью этого метода вы можете предоставлять пользователям различные уровни доступа к различным проектам и средам. Вы можете поднять доступ и безопасность на новый уровень, интегрировав dbt Cloud с поставщиком удостоверений третьей стороны (IdP), чтобы предоставлять пользователям доступ, когда они аутентифицируются с помощью вашего SSO или OAuth сервиса.

Есть несколько вещей, которые вам нужно знать, прежде чем настраивать RBAC для пользователей SSO:

• Новые пользователи SSO присоединяются к любым группам с включенной опцией Добавить всех новых пользователей по умолчанию. По умолчанию группы Все и Участник имеют эту опцию включенной. Отключите эту опцию во всех группах для лучшего опыта RBAC.
• Вы должны иметь соответствующие группы SSO, настроенные в разделе SSO деталей группы. Если название группы SSO не совпадает точно, пользователи не будут правильно размещены в группе.
  Раздел SSO деталей группы с настроенной группой.
• dbt Labs рекомендует, чтобы названия ваших групп dbt Cloud совпадали с названиями групп IdP.

Предположим, у вас есть новый сотрудник, который проходит процесс адаптации в вашей организации, используя Okta в качестве IdP и группы dbt Cloud с сопоставлениями SSO. В этом сценарии пользователи работают над Большим проектом, и новый аналитик по имени Эвклид Иан присоединяется к группе.

Ознакомьтесь с следующими примерами конфигураций, чтобы получить представление о том, как вы можете реализовать RBAC для вашей организации (эти примеры предполагают, что вы уже настроили SSO):

 Конфигурация Okta

Вы и ваша команда IdP добавляете Эвклида Иана в вашу среду Okta и назначаете его в приложение SSO dbt Cloud через группу под названием Большой проект.

Пользователь в группе в Okta.

Настройте атрибуты группы в приложении dbt Cloud в Okta. Атрибуты группы в следующем примере установлены на точное название группы (Большой проект), но ваша конфигурация, вероятно, будет более широкой. Компании часто используют один и тот же префикс для всех групп dbt в своем IdP. Например, DBT_GROUP_

Атрибуты группы, установленные в приложении dbt Cloud SAML 2.0 в Okta.

 Конфигурация dbt Cloud

Вы и ваша команда администраторов dbt Cloud настраиваете группы в настройках вашего аккаунта:

1. Перейдите в Настройки аккаунта и нажмите Группы и лицензии в левом меню.
2. Нажмите Создать группу или выберите существующую группу и нажмите Редактировать.
3. Введите название группы в поле SSO.
4. Настройте поля Доступ и разрешения в соответствии с вашими потребностями. Выберите набор разрешений, проект, к которому они могут получить доступ, и доступ на уровне среды.

Конфигурация группы с заполненным полем SSO в dbt Cloud.

Эвклид ограничен ролью Аналитик, проектом Jaffle Shop и средами Разработка, Тестирование и Общая этого проекта. Эвклид не имеет доступа к среде Производство в своей роли.

 Путь пользователя

Эвклид выполняет следующие шаги для входа в систему:

1. Доступ к URL SSO или приложению dbt Cloud в своей учетной записи Okta. URL можно найти на странице конфигурации Единого входа в Настройках аккаунта.

URL для входа через SSO в настройках аккаунта.

2. Вход с использованием своих учетных данных Okta.

Экран входа через SSO при использовании Okta в качестве поставщика удостоверений.

3. Поскольку это его первый вход через SSO, Эвклид Иан получает сообщение и не может продолжить, пока не проверит адрес электронной почты, связанный с его учетной записью Okta.

Экран, который видят пользователи после первого входа через SSO.

4. Теперь он открывает свою электронную почту и нажимает на ссылку, чтобы присоединиться к dbt Labs, что завершает процесс.

Электронное письмо, которое пользователь получает при первом входе через SSO.

Эвклид теперь вошел в свою учетную запись. У него есть доступ только к проекту Jaffle Shop, и опция выбора проекта полностью удалена из его интерфейса.

Главный экран с ограниченным доступом.

Теперь он может настроить учетные данные для разработки. Среда Производство видна, но она только для чтения, и у него есть полный доступ в среде Тестирование.

Страница среды Производство с доступом только для чтения.

Страница среды Тестирование с полным доступом.

С настроенным RBAC у вас теперь есть детализированный контроль над доступом пользователей к функциям в dbt Cloud.

Часто задаваемые вопросы

 Когда обновляются членства в группах IdP для групп, сопоставленных с SSO?

Членства в группах обновляются всякий раз, когда пользователь входит в dbt Cloud через поддерживаемого поставщика SSO. Если вы изменили членства в группах в вашем поставщике удостоверений или dbt Cloud, попросите ваших пользователей снова войти в dbt Cloud, чтобы синхронизировать эти членства в группах.

 Могу ли я настроить SSO без RBAC?

Да, см. документацию по Ручному назначению выше для получения дополнительной информации о использовании SSO без RBAC.

 Могу ли я настроить тип лицензии пользователя на основе атрибутов IdP?

Да, см. документацию по управлению типами лицензий для получения дополнительной информации.

 Почему я не могу редактировать членство пользователя в группе?

Не пытайтесь редактировать своего собственного пользователя, так как это не разрешено по соображениям безопасности. Вам потребуется другой пользователь, чтобы внести изменения в членство вашего собственного пользователя в группе.

 Как добавить или удалить пользователей?

Каждый план dbt Cloud имеет базовое количество лицензий Разработчика и Только для чтения. Вы можете добавить или удалить лицензии, изменив количество пользователей в настройках вашего аккаунта.

• Если вы находитесь на плане Enterprise и у вас есть соответствующие разрешения, вы можете добавить или удалить разработчиков, изменив количество мест для пользователей-разработчиков в Настройках аккаунта -> Пользователи.
• Если вы находитесь на плане Team и у вас есть соответствующие разрешения, вы можете добавить или удалить разработчиков, внеся два изменения: измените количество мест для пользователей-разработчиков И количество мест для выставления счетов разработчиков в Настройках аккаунта -> Пользователи, а затем в Настройках аккаунта -> Выставление счетов.

Для получения подробных шагов обратитесь к Пользователи и лицензии.