Некоторые серверы каталогов позволяют пользователю определить группу в качестве члена другой группы.
Группы в такой структуре называются вложенными группами. Вложенные группы упрощают разрешения, позволяя подгруппам наследовать разрешения от родительской группы.
На этой странице описано, как JIRA обрабатывает вложенные группы, которые существуют в одном или нескольких серверах каталогов.
Включение вложенных групп
Вы можете включить или отключить поддержку вложенных групп в каждом каталоге по отдельности. Выберите «Пользовательские каталоги» (User Directories) в меню администрирования JIRA, отредактируйте (edit ) каталог и выберите «Включить вложенные группы» (Enable Nested Groups). См. «Настройка пользовательских каталогов».
Заметки:
- Прежде чем включать вложенные группы для определенного типа каталога в JIRA, убедитесь, что ваш сервер каталогов поддерживает вложенные группы.
- Пожалуйста, ознакомьтесь с остальной частью этой страницы, чтобы понять, какие действия вложенные группы будут иметь действие на аутентификацию (логин) и разрешения в JIRA, и что происходит, когда вы обновляете пользователей и группы в JIRA.
Влияние вложенных групп
В этом разделе объясняется, как вложенные группы влияют на вход в систему, разрешения, просмотр и обновление пользователей и групп.
Авторизоваться
Когда пользователь входит в систему, они могут обращаться к приложению, если они принадлежат к авторизованной группе или к любой из ее подгрупп.
Права доступа
Пользователь может получить доступ к функции, если она принадлежит группе, имеющей необходимые разрешения, или если она принадлежит к любой из ее подгрупп.
Просмотр списков участников группы
Если вы попросите просмотреть членов группы, вы увидите всех пользователей, входящих в группу, и всех пользователей, входящих в ее подгруппы, объединенные в один список. Мы называем это сплюснутым списком.
Вы не можете просматривать или редактировать сами вложенные группы или видеть, что одна группа является членом другой группы.
Добавление и обновление членства в группах
Если вы добавляете пользователя в группу, пользователь добавляется к названной группе, а не к другим группам.
Если вы попытаетесь удалить пользователя из сплющенного списка, произойдет следующее:
- Если пользователь входит в верхнюю группу в иерархии групп в сокращенном списке, пользователь удаляется из верхней группы.
- В противном случае вы увидите сообщение об ошибке, указывающее, что пользователь не является прямым членом группы.
Примеры
Пример 1: Пользователь является членом подгруппы
Представьте себе, что на вашем сервере каталогов существуют следующие две группы:
- сотрудники
- маркетинг
Членство:
- Маркетинговая группа является членом группы персонала.
- Пользователь jsmith является участником маркетинга.
Вы увидите, что jsmith является членом как маркетинга, так и персонала. Вы не увидите, что две группы вложены. Если вы назначаете разрешения группе персонала, то jsmith получит эти разрешения.
Пример 2: Подгруппы как члены группы разработчиков jira
На сервере каталогов LDAP есть группы инженеров-групп и техно-групп. Мы хотим предоставить обеим группам доступ на уровне разработчиков к JIRA. У нас будет группа под названием jira-developers, которая имеет доступ на уровне разработчика.
Добавьте группу под названием jira-developers.
Добавьте инженерную группу в качестве подгруппы разработчиков jira.
Добавьте группу Techwriters в качестве подгруппы разработчиков jira.
Членство в группах теперь:
- jira-developers – подгруппы: инженер-группа, techwriters-group
- инженер-группа – подгруппы: dev-a, dev-b; пользователей: pblack
- dev-a – пользователи: jsmith, sbrown
- dev-b – пользователи: jsmith, dblue
- techwriters-group – пользователи: rgreen
Когда приложение JIRA запрашивает список пользователей в группе разработчиков jira, он получает следующий список:
- pblack
- JSmith
- sbrown
- dblue
- rgreen
Диаграмма: Подгруппы в качестве членов группы разработчиков jira
Заметки
Возможное влияние на производительность (Possible impact on performance). Включение вложенных групп может привести к более медленному поиску пользователей.
Определение вложенных групп в LDAP (Definition of nested groups in LDAP). В каталоге LDAP вложенная группа является дочерней группой, DN (Distinguished Name) ссылается на атрибут, содержащийся в записи родительской группы. Например, родительская группа Group One может иметь атрибут objectClass = group и один или несколько атрибутов member = DN, где DN может быть именем пользователя или группы в другом месте в дереве LDAP:
member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain
member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain
Связанные темы
Настройка пользовательских каталогов
- Настройка внутреннего каталога
- Подключение к каталогу LDAP
- Подключение к внутреннему каталогу с аутентификацией LDAP
- Подключение к Crowd или другому серверу JIRA для управления пользователями
- Управление несколькими каталогами
- Синхронизация данных из внешних каталогов
- Управление вложенными группами
- Диаграммы возможных конфигураций для управления пользователями
- Ограничения и рекомендации для управления пользователями
- Разрешить другим приложениям подключаться к JIRA для управления пользователями
- Миграция пользователей между пользовательскими каталогами
–