IVA ДОКУМЕНТАЦИЯ
ОБНОВЛЕНИЯ

Права доступа

В сервере телефонии IVA CS предусмотрено несколько уровней пользовательских прав для управления соответствующими типами объектов системы через веб-интерфейс. Настройка пользовательских возможностей на каждом уровне осуществляется администратором IVA CS.

Учетная запись пользователя создается в определенном домене. В зависимости от уровня пользовательских прав, доступ пользователя может ограничиваться данными своего домена и данными нижестоящих вложенных доменов (поддоменов), при этом доступ к данным доменов верхнего уровня может быть ограничен.

Пользователям назначаются роли, которые представляют собой набор прав для управления определенными типами объектов системы в веб-интерфейсе. Набор прав для каждого типа объекта системы определяет, какие запросы пользователь может выполнять в отношении этого типа объекта.

Разграничение прав пользователей осуществляется через назначение ролей, которые администратор IVA CS настраивает в зависимости от необходимых прав доступа и предоставляемых услуг.

Минимальный набор типов прав доступа:

  • Пользователь — имеет доступ к пользовательскому веб-интерфейсу и может конфигурировать пользовательские сервисы. Включает доступ к настройкам своего профиля, а также к пользовательским сервисам

  • Администратор — права администратора определяются в зависимости от его роли. Администратор имеет возможность управлять всеми функциями IVA CS в рамках своего домена в соответствии с назначенной ролевой моделью

Присвоение пользователю какой-либо созданной роли с набором прав должно осуществляться администратором системы с использованием веб-интерфейса IVA CS

Роли

Во вкладке Роли создаются пользовательские роли и настраиваются права доступа к информации и предоставляемым услугам.

Для перехода во вкладку: раздел Права доступа → вкладка Роли

Список ролей

По умолчанию созданы два типа ролей:

  • роль администратора — root admin

    Администратор имеет полные права. По умолчанию, любая новая функция в рамках веб-интерфейса доступна в рамках данной роли

  • роль пользователя — root user

Веб-интерфейс пользователя с ролью root user:

Веб-интерфейс простого пользователя

Права пользователя с ролью root user

Пользователь с ролью root user по умолчанию имеет следующие права доступа в системе.

CDR

  • просмотр только собственных звонков

  • прослушивание только собственных записей разговоров

Список абонентов

Переход в карточку другого абонента и просмотр его настроек недоступен

Пользователь может зайти в собственную карточку, где видит все настройки — группы доступа, шлюзы и прочее.

Изменение собственных групп доступа и шлюзов недоступно для пользователя

Мониторинг

  • Активные регистрации: отображаются только терминалы самого пользователя

  • Активные вызовы: отображаются только вызовы самого пользователя

Настройки

Пользователь имеет доступ только к разделу Аудиофайлы.

В разделе Аудиофайлы пользователю доступно:

  • добавление и удаление только собственных загруженных аудиофайлов

  • отображение и прослушивание общих аудиофайлов, без возможности их удаления

Пользователи

  • Пользователь видит в списке пользователей только себя

  • Изменение собственных настроек недоступно

Абонентские функции

  • Пользователь может просматривать настройки сервисных кодов

  • Изменение сервисных кодов недоступно

Права доступа

Доступно отображение прав, назначенных пользователю в соответствии с его ролью.

Добавление роли

Для добавления роли необходимо:

  1. раздел Права доступа → вкладка Роли → нажать кнопку Добавить → окно Добавить роль

    Добавить роль

  2. указать параметры роли:

    • поле Имя: название добавляемой роли

    • поле Описание: описание добавляемой роли

    • секция Права: выбрать права и в соответствующих полях установить необходимые уровни прав Кнопка Выбрать

      Подробнее

      Доступны следующие уровни прав:

      • чтение

      • запись

      • чтение (домен)

      • запись (домен)

      • просмотр

        Уровни прав чтение (домен) и запись (домен) распространяются на весь домен: родительский домен и нижестоящие вложенные домены.
        Уровни прав чтение и запись распространяют свое действие на сущности текущего пользователя

  3. нажать кнопку Сохранить

Новая роль будет добавлена в список ролей.

При первичной установке системы все доступные на момент установки права автоматически назначаются Администратору с ролью root admin.
При обновлении сервера телефонии IVA CS с предыдущих версий на новую в системе могут появляться новые функции, а вместе с ними — новые права. Эти права активируются по умолчанию для Администратора — роль root admin, но не активируются по умолчанию для пользователей с ролью root user. Администратор IVA CS должен вручную назначить пользователям необходимые права на использование новых функций

Удаление роли

Для удаления роли:
Раздел Права доступа → Вкладка Роли → Выбрать роль Кнопка Выбрать → Нажать кнопку Удалить → Подтвердить удаление, нажав кнопку Да

Выбранная роль будет удалена из списка ролей.

Группы доступа

Управление доступом к маршрутам, голосовым сервисам, а также звонкам между абонентами осуществляется с помощью групп доступа.

С помощью групп доступа при маршрутизации можно обеспечить запрет исходящей связи для абонентов, например, абонентам из разных групп доступа могут быть недоступны определенные маршруты.

Во вкладке Группы доступа отображается информация о пользовательских группах доступа.

Для перехода во вкладку: раздел Права доступа → вкладка Группы доступа

Группы доступа

Группа доступа может объединять абонентов, маршруты и шлюзы.
Для совершения вызовов все абоненты, маршруты и шлюзы должны находиться в одной группе доступа внутри одного домена. Системная группа доступа ALL по умолчанию присваивается всем абонентам, маршрутам и шлюзам.

Для абонентов доступна опция Скрытое участие в группе.
Абонент, у которого включена данная опция, может совершать вызовы всем абонентам, входящим в данную группу доступа, но совершить ответный вызов в сторону абонента нельзя.

Скрытая группа
Пример

Если у руководителя активирована опция Скрытое участие в группе, а у подчиненных отключена, и при этом все они находятся в одной группе доступа, то руководитель может совершать звонки любым сотрудникам, а звонки от сотрудников руководителю невозможны

Добавление группы доступа

Для добавления группы доступа необходимо:

  1. раздел Права доступа → вкладка Группы доступа → нажать кнопку Добавить → окно Добавить группу доступа

    Добавить группу доступа

  2. в поле Имя указать название группы доступа

  3. нажать кнопку Сохранить

Созданная группа доступа отобразится в списке групп доступа.

Удаление группы доступа

Удаление системной группы доступа ALL запрещено

Для удаления группы доступа:
Раздел Права доступа → Вкладка Группы доступа → Выбрать группу доступа Кнопка Выбрать → Нажать кнопку Удалить → Подтвердить удаление, нажав кнопку Да

Выбранная группа доступа будет удалена из списка групп.

Источники авторизации

Во вкладке Источники авторизации можно настроить синхронизацию IVA CS с LDAP-серверами и IVA ID.

Через LDAP-сервер осуществляется интеграция между IVA CS и IVA MCU

Данный сервис позволяет автоматически синхронизировать список пользователей из LDAP-сервера и IVA ID, а также используется для аутентификации пользователей через LDAP-сервер и IVA ID.

Для перехода во вкладку: раздел Права доступа → вкладка Источники авторизации

Источники авторизации
Использовать источник авторизации для входа в систему можно лишь когда источник авторизации находится в состоянии Активный / Включен Кнопка ON

Особенности синхронизация пользователей между источниками авторизации и IVA CS:

  • учетные записи, ранее импортированные в список пользователей IVA CS из источника авторизации, но отсутствующие в источнике авторизации в настоящий момент, удаляются из списка пользователей IVA CS при очередном импорте пользователей

  • пользователям, импортированным через LDAP или IVA ID, по умолчанию присваивается роль user

  • ранее импортированные учетные записи пользователей теперь сохраняются в базе данных IVA CS, а не перезаписываются заново при повторной синхронизации

Добавление источника авторизации

Для добавления источника авторизации необходимо:

  1. раздел Права доступа → вкладка Источники авторизации → нажать кнопку Добавить → окно Добавить источник авторизации

    Добавить источник авторизации

  2. настроить параметры источника авторизации:

    • поле Тип источника: выбрать тип источника авторизации LDAP / IVA ID

      для типа LDAP:

      • поле Имя: указать название LDAP-сервера, которое будет отображаться в веб-интерфейсе IVA CS

      • поле URL: указать URL-адрес LDAP-сервера с портом подключения, например: 192.168.0.100:123

      • поле Логин: указать логин для подключения к LDAP-серверу, например: cn=administrator,dc=IVA,dc=com

      • поле Пароль: указать пароль для подключения к LDAP-серверу

      • поле Base DN: указать базовый каталог для поиска в LDAP-сервере, например: ou=Users,dc=IVA,dc=com

      • поле LDAP: Фильтр: указать фильтр поиска в LDAP-каталоге, например: (objectClass=organizationalPerson)

      • поле LDAP: Номер телефона: указать атрибут telephoneNumber

      • поле LDAP: Эл. почта: указать атрибут mail (обязательный параметр)

      • поле Диапазон номеров: указать диапазон номеров (поле Номер абонента), назначаемых абонентам, для которых в импортируемых данных не был указан конкретный номер

      • поле Роль пользователей: выбрать роли, которые будут назначены импортируемым пользователям

        Пример заполнения параметров LDAP:

        Источник LDAP
      для типа IVA ID:

      • поле Имя: указать название сервера аутентификации IVA ID

      • поле URL: указать URL-адрес сервера аутентификации IVA ID (необходимо указать адрес сервера с протоколом, например, https://iva.ru/)

      • поле Realm: указать пространство (realm) IVA ID, например IVA (параметр из панели администрирования IVA ID: раздел Realm settings → вкладка General → строка Realm name)

      • поле Идентификатор клиента: указать ID клиента, например iva-cs (параметр из панели администрирования IVA ID: раздел Clients → вкладка Client list → столбец Client ID)

      • поле Секрет клиента: указать секрет клиента (параметр из панели администрирования IVA ID: Client ID → вкладка Credentials → строка Client Secret)

      • поле Диапазон номеров: указать диапазон номеров (поле Номер абонента), назначаемых абонентам, для которых в импортируемых данных не был указан конкретный номер

      • поле Роль пользователей: выбрать роли, которые будут назначены импортируемым пользователям

      • поле Фильтр: указать фильтр импорта (при необходимости)

        Для источника авторизации IVA ID доступна авторизация с использованием протокола OAuth 2.0. Подробнее — Авторизация с использованием протокола OAuth 2.0
        Источник IVA ID

  3. нажать кнопку Сохранить

Все остальные поля (кроме полей Имя и URL) заполняются в соответствии с данными LDAP-сервера / сервера аутентификации IVA ID
Для LDAP-сервера в поле Диапазон номеров указывается, в каком числовом диапазоне необходимо создавать номера для новых абонентов при LDAP-конвертации

Указанный источник авторизации будет добавлен в список источников авторизации.

Сертификаты используются для шифрования трафика.
Если данные, поступающие от внешнего сервера, требуется защитить от перехватов, то необходимо использовать проверку SSL / TLS сертификатов.

Для активации проверки SSL / TLS сертификатов необходимо перевести переключатель Проверить сертификат в активное положение Кнопка ON и установить флаговую кнопку Кнопка Выбрать в поле выбранного сертификата: TLS или SSL.

Загруженные TLS / SSL сертификаты расположены во вкладке Сертификаты
Если активирован переключатель LDAP: Загружать только при наличии внутреннего номера и если у записи, содержащейся в LDAP-каталоге, присутствует поле Внутренний номер, то такая учетная запись импортируется

Авторизация с использованием протокола OAuth 2.0

OAuth 2.0 — это протокол авторизации, предназначенный для организации доступа клиентских приложений к ресурсам или данным пользователя на другом сервисе без передачи пароля.

Сервер телефонии IVA CS поддерживает аутентификацию пользователей из внешних источников с использованием протокола OAuth 2.0.

Для верификации пользователя OAuth 2.0 использует ключи авторизации (токены) с ограниченным сроком действия и правами доступа.

Сервер телефонии IVA CS не получается доступа к логину и паролю пользователя при использовании протокола OAuth 2.0.

Чтобы активировать использование протокола авторизации OAuth 2.0, необходимо:

  1. при добавлении источника авторизации в поле Тип источника выбрать IVA ID

  2. перевести переключатель OAuth в активное положение Кнопка ON

    Авторизация с использованием OAuth

  3. указать данные для авторизации:

    • поле OAuth имя: название используемого OAuth-провайдера, например IVA ID server

    • поле Обратный URL: URL для перехода после аутентификации на внешнем сервисе — https://<HOST_IVA_CS>/oauth/callback (где <HOST_IVA_CS> — имя хоста сервера телефонии IVA CS, на котором доступен веб-интерфейс администрирования IVA CS)

    • поле Endpoint авторизации: URL аутентификации пользователя и выполнения последующих OAuth-запросов (например, https://<ID_SERVER>/realms/IVA/protocol/openid-connect/auth, где <ID_SERVER> — адрес / доменное имя сервера аутентификации)

    • поле Endpoint выдачи токена: URL для обмена кода аутентификации (который был получен через Endpoint авторизации) на токены доступа (например, https://<ID_SERVER>/realms/IVA/protocol/openid-connect/token, где <ID_SERVER> — адрес / доменное имя сервера аутентификации)

      В качестве URL в поле Endpoint выдачи токена указывается URL OpenID

    • поле Endpoint выдачи JWKS: URL для получения набора JWK-ключей, необходимого для проверки подлинности JWT-токенов (например, https://<ID_SERVER>/realms/IVA/protocol/openid-connect/certs, где <ID_SERVER> — адрес / доменное имя сервера аутентификации)

    • поле Endpoint обновления токена: URL для обновления токенов доступа по refresh-токену (например, https://<ID_SERVER>/realms/IVA/protocol/openid-connect/token, где <ID_SERVER> — адрес / доменное имя сервера аутентификации)

      Поле Endpoint обновления токена в данной версии сервера телефонии IVA CS не используются

    • переключатель Проверить подпись токена: если необходимо использовать проверку подлинности токенов доступа, получаемых от внешних систем аутентификации с использованием JSON Web Key (JWK), то необходимо перевести переключатель Проверить подпись токена в активное положение Кнопка ON

    • переключатель PKCE S256: если необходимо использовать PKCE S256, то необходимо перевести переключатель PKCE S256 в активное положение Кнопка ON

      Для возможности авторизации через IVA ID с использованием протокола OAuth 2.0 переключатель PKCE S256 должен быть обязательно включен.

      Если использование PKCE включено, то обмен полученных кодов авторизации на токены будет выполняться с использованием верификаторов, если PKCE отключено, то обмен производится без верификаторов.

      Настройки входа через IVA ID с использованием OAuth 2.0

  4. нажать кнопку Сохранить

Если пользователь не импортирован из источника авторизации IVA ID, то он не сможет авторизоваться в IVA CS с использованием протокола OAuth 2.0

Если источник авторизации, использующий протокол OAuth 2.0, настроен и активирован (имеет статус Включен / Активный), то в окне входа в веб-интерфейс IVA CS будет доступна возможность входа через сторонние сервисы.

Вход через Oauth

Деактивация источника авторизации

Пользователи, которые были импортированы из источника авторизации на сервер телефонии IVA CS, не смогут авторизоваться в системе, если источник авторизации деактивирован Кнопка OFF

Для деактивации источника авторизации:

  1. раздел Права доступа → вкладка Источники авторизации

  2. перевести в строке выбранного источника авторизации переключатель Активный Кнопка ON в неактивное положение Кнопка OFF

Удаление источника авторизации

Если источник авторизации удален, то пользователи, которые были импортированы на сервер телефонии IVA CS из данного источника, не смогут авторизоваться в системе, т. к. удаленный источник авторизации будет недоступен для проведения каких-либо операций с пользователями.

Для удаления источника авторизации:
Раздел Права доступа → Вкладка Источники авторизации → Выбрать источник авторизации Кнопка Выбрать → Нажать кнопку Удалить → Подтвердить удаление, нажав кнопку Да

Выбранный источник авторизации будет удален из списка источников.

Заблокированные контакты

Во вкладке Заблокированные контакты можно создать список контактов, для которых будет запрещена возможность осуществления исходящих звонков в сторону домена.

Для перехода во вкладку: раздел Права доступа → вкладка Заблокированные контакты

Заблокированные контакты

Добавление контакта в список

Для добавления контакта в список заблокированных контактов необходимо:

  1. раздел Права доступа → вкладка Заблокированные контакты

  2. нажать кнопку Добавить → окно Добавить заблокированный контакт

    Добавить заблокированный контакт

  3. указать параметры контакта:

    • поле Имя: ввести наименование контакта

    • поле Номер телефона: ввести номер телефона

    • поле Описание: внести дополнительные сведения о контакте (при необходимости)

  4. нажать кнопку Сохранить

Созданный контакт будет добавлен в список заблокированных контактов.

Удаление контакта из списка заблокированных контактов

Для удаления контакта из списка заблокированных контактов необходимо:

  1. раздел Права доступа → вкладка Заблокированные контакты

  2. выбрать контакт Кнопка Выбрать → нажать кнопку Удалить → подтвердить удаление, нажав кнопку Да

Выбранный контакт будет удален из списка заблокированных контактов.