Менеджер паролей на базе ПланФикса

 


Это еще один обновленный кейс использования ПланФикса – сегодня мы поговорим об использовании возможности по разделению доступа к справочникам для хранения и раздачи паролей. Впервые этот кейс был описан в 2012 году, затем в ПланФиксе появились новые возможности по управлению справочниками и он стал решаться изящней. Я упоминал об этом раньше и собирался описать этот вариант использования более подробно – и вот наконец добрался до этого дела.

Для начала – небольшое вступление.

Задача управления паролями очень распространена в командах разработчиков, студиях дизайна, да и во многих других областях. Особенно остро она стоит, когда команде приходится поддерживать большое количество клиентских проектов, и количество паролей измеряется десятками и сотнями.

ПланФикс не является специализированным средством для хранения паролей, но с его помощью можно организовать достаточно комфортную систему управления паролями с разделением прав доступа к ним. Как и множество других задач, хранение паролей в ПланФиксе можно организовать разными способами. Сегодня мы рассмотрим вариант использования для этой цели справочников.

Надо сказать, что справочники в ПланФиксе отличаются от таковых в любой другой известной мне системе одной важной особенностью – очень гибкой системой доступа. В частности, вы можете дать доступ конкретному пользователю к конкретной записи справочника, а остальных он не увидит. Эту особенность мы и используем в нашем примере.

Для хранения паролей я создал справочник “Контроль доступа” вот такой структуры:

Справочник

В вашем случае структура может быть другой – по сути, она ни на что не влияет и просто должна хорошо подходить для хранения используемых вами паролей. В этот справочник заносятся данные по всем используемым в работе паролям, как правило это доступы к клиентским сайтам, админпанелям, компьютерам и т.п.

Перед началом заполнения, я рекомендую убрать доступ к справочнику для всех сотрудников. Это делается тут же, на вкладке “Доступ к справочнику” – необходимо переключиться в нее и удалить плашку “Все”:

Управление доступом к справочнику паролей в ПланФиксе

После этого можно смело вносить в справочник нужные данные – доступа к ним у сотрудников не будет, хотя сам справочник в списке справочников они будут видеть. Единственное, что стоит учесть – администраторы вашего аккаунта ПланФикса будут видеть все записи. А вот другим сотрудникам будут выдаваться только нужные пароли.

Справочник заполнили, приступим к раздаче паролей.

Как я уже написал выше, система настроек прав доступа позволяет очень гибко раздавать права на просмотр/редактирование записей справочника. Но было бы неудобно каждый раз, когда нужно дать очередному сотруднику доступ к тому или иному паролю, лезть в настройку прав – поэтому мы с вами будем использовать одну старую, но малоизвестную особенность управления доступом к записям справочника. Заключается она в следующем: пользователь автоматически получает доступ к записи справочника, которая упомянута в адресованном ему тексте комментария ПланФикса.

Вставить ссылку на нужную запись справочника можно, нажав на специальную пиктограмму в редакторе:

Пиктограмма вставки ссылки на элемент справочника в ПланФиксе
Появится диалог выбора справочника, а затем – записи из него. Вставленная в текст ссылка выглядит следующим образом:

Добавление доступа к сайту в ПланФиксе

Когда сотрудник прочитает мой комментарий и кликнет по этой ссылке, он увидит содержимое этой записи:

Просмотр доступа в ПланФиксе
и сможет использовать эти данные для доступа к сайту.

При этом:

  • Доступ к этим данным получат только те пользователи, которые были указаны в списке “Уведомить об этом” данного действия. Другие пользователи, имеющие доступ к этой задаче, открыть запись справочника не смогут – а значит, контроль над распространением пароля сохраняется. По этой причине, кстати, описанная возможность работает только в комментариях – если указать ссылку на запись справочника в тексте задачи, доступ к ней никто не получит, т.к. неочевидно кто именно должен его получить (исполнители, участники, аудиторы и т.п.).
  • Зайдя в справочник “Контроль доступа”, любой пользователь увидит в нем только те записи, к которым ему ранее был предоставлен доступ. Это удобно – в следующий раз, когда понадобится доступ к тому или иному паролю, ему не придется искать его среди множества задач, а достаточно будет зайти в специально предназначенный для этого справочник.

Ну и что самое важное в этом подходе : администратор может раздавать доступ к записям справочника быстро и без лишних телодвижений. А если пароль изменится, достаточно изменить его в справочнике – никого уведомлять об этом не нужно, все хранится в одном месте.

Дополнительные плюсы для администратора:

  • Можно зайти в справочник и увидеть, кто имеет доступ к конкретной записи
  • В справочнике можно давать доступ сразу для группы сотрудников

Вот и все, что я хотел рассказать по поводу хранения паролей и доступов в ПланФиксе. Не принимайте краткость изложения за малозначимость этого кейса. На самом деле он дает больше возможности: этот же способ может применяться в любом другом случае, когда вам необходимо разделить доступ к какой-то информации и быстро раздавать его нужным пользователям.

Как обычно, я готов ответить на ваши вопросы в комментариях.

Дмитрий Гончаренко

Дмитрий Гончаренко Команда ПланФикса

15 комментариев

  1. Аватар

    суперская штука! как раз актуально. Было бы конечно идеально чтобы сервис мог интегрироваться в API самого ресурса от которого пароль и какими то простыми действиями сотрудник-пользователь Планфиса мог восстанавливать или изменять забытый пароль, не задействуя ресурс вышестоящих менеджеров (но это наверное уже некая фантастика 😉

  2. Аватар

    Используем эту схему с недавних пор, не совсем удобно по многим причинам особенно на большом количестве данных, но жить можно.
    Там еще баг/фича есть что мало раздать на записи или через комментарии доступы. Нужно еще пользователю дать доступ на сам справочник отдельно пойти, у нас это добавление его в отдельную группу, это страшно но нужно помнить об этом.

    1. Дмитрий Гончаренко

      Спасибо за этот комментарий, Александр – он заставил меня посмотреть на ситуацию под другим углом и внести небольшое изменение в описание кейса.

      Обратите внимание на то, как сейчас описан порядок закрытия доступа к справочнику для всех сотрудников: плашку “Все” мы удаляем на вкладке доступа к записям справочника. Это дает возможность оставить доступ всем к самому справочнику в списке справочников https://pic.planfix.ru/pf/J9/xrQB5K.png – все равно зайдя в него пользователь не увидит ничего, кроме записей, к которым ему точечно дали доступ.

      Вы можете сделать у себя таким же образом – тогда необходимость давать каждому пользователю еще и доступ к самому справочнику отпадет.

  3. Аватар

    Крутая штука!
    Настроил за 10 мин. Для настройки доступа к справочникам пришлось обратиться к справке ПланФикс. Но ничего, разобрался.
    Есть 2 вопроса:
    1. Насколько безопасно хранить пароли в ПФ? Кто имеет к ним доступ?
    2. При экспорте данных происходит ли выгрузка базы паролей? Если нет, то когда будет реализована такая возможность?

    1. Дмитрий Гончаренко

      1. С нашей стороны к клиентским данным в принципе имеют доступ только 3 человека, с которыми заключены соглашения о конфиденциальности и неразглашении, учитывающие эту специфику. Ну и вообще это люди, которые стоят у основ сервиса и более, чем кто-либо другой, заинтересованы в полной сохранности всех клиентских данных.

      2. Да, происходит – ведь это просто специальный справочник, а справочники экспортируются.

            1. Дмитрий Гончаренко

              Нет, Павел. Это ведь не специализированное ПО для хранения паролей, а просто частный случай использования справочников ПланФикса.

  4. Аватар

    Добрый день! А есть ли возможность давать видеть записи, не давая доступ к полям логин/пароль?
    Пытались “играть” с галочками в “Управление доступом”, но ни на что не повлияло.

  5. Аватар

    Хотелось бы видеть возможность временного предоставления доступа к данным. Было бы удобнее реализовать так:
    Пользователь имеет доступ к записи справочника, пока есть активная задача у которой в описании есть ссылка на элемент справочника или комментарий на пользователя, в котором есть эта же ссылка. Как только задача переводится в неактивный статус – доступ у пользователя исчезает (если конечно он ему не предоставлен настройкой прав из самого справочника).
    Это возможно?

Добавить комментарий