Перейти к содержанию

Настройка аккаунтов тенантов в Консоли управления

Опция мультиарендности позволяет использовать несколько связанных аккаунтов в Консоли управления Валарм. Каждый аккаунт — отдельная учетная запись в Консоли управления, выделенная для одной независимой организации или изолированной среды. Такая учетная запись называется аккаунт тенанта.

  • Аккаунты тенантов привязываются к одному глобальному аккаунту. Это позволяет идентифицировать принадлежность тенантов партнеру или клиенту и обеспечивает корректную группировку аккаунтов в Консоли управления.

  • Каждый аккаунт тенанта имеет отдельный список пользователей, у которых есть доступ к действиям с аккаунтом и нодой.

  • Данные каждого аккаунта тенанта изолированы и доступны только его пользователям.

  • Пользователи с глобальными ролями могут смотреть и изменять данные всех аккаунтов, а также создавать новые аккаунты. Конкретный набор прав зависит от глобальной роли: Глобальный администратор / Глобальный аналитик / Только чтение глобально.

Для корректной настройки аккаунтов тенантов используйте эту инструкцию.

Термин "партнерский клиент"

В предыдущей версии документации для обозначения "тенанта" использовался термин "партнерский клиент". В дальнейшем будет использоваться термин "тенант".

Структура аккаунтов тенантов

Аккаунты тенантов создаются согласно следующей структуре:

Схема аккаунтов тенантов

  • Глобальный аккаунт используется только для группировки аккаунтов тенантов по принадлежности партнеру или клиенту.

  • Аккаунт технического тенанта используется для настройки доступов глобальных пользователей к аккаунтам тенантов. Обычно глобальные пользователи — это сотрудники компании-партнера Валарм или клиента Валарм, который использует мультиарендность для изолированных сред.

  • Аккаунты тенантов используется для:

    • Доступа тенантов к информации об обнаруженных атаках и управлению настройками фильтрации трафика.
    • Добавления пользователей, которые будут иметь доступ к данным в рамках аккаунта.

Глобальные пользователи могут переключаться между аккаунтами в Консоли управления:

Селектор тенантов в Консоли управления

  • Technical tenant — аккаунт технического тенанта

  • Tenant 1 и Tenant 2 — аккаунты тенантов

Настройка аккаунтов тенантов

Чтобы настроить аккаунты тенантов:

  1. Зарегистрируйтесь в Консоли управления Валарм и отправьте запрос в техническую поддержку Валарм для включения мультиарендности для вашего аккаунта.

  2. Получите от технической поддержки Валарм доступ к созданию тенантов.

  3. Создайте аккаунт тенанта.

  4. Привяжите приложение тенанта к его аккаунту.

Шаг 1: Зарегистрируйтесь и отправьте запрос на включение мультиарендности

  1. Заполните и подтвердите форму регистрации в Консоли управления Валарм в RU‑облаке или в EU‑облаке.

    Форма регистрации

    Корпоративная почта

    При регистрации необходимо использовать корпоративный email.

  2. Перейдите к вашему email и активируйте аккаунт Валарм по ссылке из полученного письма.

  3. Отправьте запрос в техническую поддержку Валарм для включения опции мультиарендности для вашего аккаунта. С запросом отправьте следующие данные:

    • Название Облака Валарм, в котором вы зарегистрировались: EU‑облако или RU‑облако.
    • Название для глобального аккаунта и для аккаунта технического тенанта.
    • Адреса email сотрудников, которые должны иметь доступ к будущим аккаунтам тенантов. После включения опции мультиарендности вы сможете добавлять сотрудников самостоятельно.
    • Логотип для брендированной Консоли управления.
    • Язык для интерфейса Консоли управления (английский или русский).
    • Домен для размещения Консоли управления, сертификат и ключ шифрования для домена.
    • Адрес вашей технической поддержки.

Шаг 2: Получите доступ к созданию тенанта

После получения запроса сотрудники технической поддержки Валарм:

  1. Создадут в системе Валарм глобальный аккаунт и аккаунт технического тенанта.

  2. Предоставят вам доступ Глобального администратора. Ваш пользователь будет добавлен на уровне технического тенанта.

  3. Если вы передавали email ваших сотрудников, добавят сотрудников в список пользователей аккаунта технического клиента с ролями Только чтение глобально.

    Если сотрудники еще не зарегистрированы в Консоли управления Валарм, они получат письма с сообщением о необходимости установить новый пароль для доступа к аккаунту технического клиента.

  4. Отправят вам UUID основного тенанта (партнера или клиента, который использует мультиарендность для защиты изолированных сред).

    Полученный UUID потребуется при выполнении следующих шагов.

Шаг 3: Создайте тенанта через Валарм API

Чтобы создать тенанта и привязать к нему приложения, необходимо отправить запросы к Валарм API с собственного клиента или из интерфейса справочника API. В запросах к Валарм API необходимо передать параметры аутентификации:

  • При отправке запроса из интерфейса справочника API, необходимо предварительно войти в аккаунт Глобального администратора и обновить справочник по ссылке:

  • При отправке запроса с собственного клиента, необходимо передать в запросе UUID и секретный ключ пользователя с ролью глобального администратора.

На этом шаге в системе Валарм будет создан аккаунт тенанта, привязанный к глобальному аккаунту.

  1. Отправьте POST‑запрос на роут /v1/objects/client/create со следующими параметрами:

    Параметр Описание Часть запроса Обязательный?
    name Название тенанта. Тело Да
    vuln_prefix Префикс уязвимости, который будет использоваться для обозначения уязвимостей, обнаруженных в системе тенанта. Префикс должен состоять из четырех заглавных букв или цифр и соотноситься с названием тенанта. Например, для тенанта TenantTNNT. Тело Да
    partner_uuid UUID основного тенанта. Тело Да
    language Язык интерфейса Консоли управления Валарм для тенанта: en или ru. По умолчанию — язык, который вы указали в запросе к технической поддержке. Тело Нет
    X-WallarmAPI-UUID UUID пользователя с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    X-WallarmAPI-Secret Секретный ключ пользователя с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    Показать пример запроса для отправки с собственного клиента
    curl -v -X POST "https://api.wallarm.com/v1/objects/client/create" -H "X-WallarmAPI-UUID: YOUR_UUID" -H "X-WallarmAPI-Secret: YOUR_SECRET_KEY" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"name\": \"Tenant\", \"vuln_prefix\": \"TNNT\", \"partner_uuid\": \"YOUR_PARTNER_UUID\"}"
    
    curl -v -X POST "https://api.wallarm.ru/v1/objects/client/create" -H "X-WallarmAPI-UUID: YOUR_UUID" -H "X-WallarmAPI-Secret: YOUR_SECRET_KEY" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"name\": \"Tenant\", \"vuln_prefix\": \"TNNT\", \"partner_uuid\": \"YOUR_PARTNER_UUID\"}"
    
  2. Скопируйте значения параметров id и partnerid из ответа на запрос. Параметры понадобятся на следующем шаге.

Для глобальных пользователей созданные тенанты будут доступны в Консоли управления в селекторе тенантов. Например, Tenant 1 и Tenant 2:

Селектор тенантов в Консоли управления

Шаг 4: Привяжите приложения тенанта к его аккаунту через Валарм API

В каком случае необходимо выполнить этот шаг?

Если вы используете или планируете использовать одну ноду Валарм для обработки трафика всех тенантов, необходимо выполнить этот шаг.

Если для каждого тенанта установлена или будет установлена отдельная нода, пропустите этот шаг и перейдите к установке и настройке ноды.

В данном случае под приложением подразумевается любое сетевое приложение тенанта, которое защищает нода Валарм. Приложений может быть как одно, так и несколько.

Каждое приложение необходимо привязать к аккаунту соответствующего тенанта в Облаке Валарм. Для этого необходимо выполнить специальный запрос к Валарм API и затем соответствующим образом задать директиву wallarm_application в настройках ноды:

  1. Определите количество приложений на основе структуры приложений тенанта и требований к управлению событиями через Консоль управления.

    Вы можете определить, что приложение одно. Например: нода защищает один домен тенанта и разделять трафик по эндпоинтам не требуется. В этом случае также необходимо выполнить шаги, приведенные ниже.

  2. Для каждого приложения отправьте POST‑запрос на роут /v2/partner/<partnerid>/partner_client со следующими параметрами:

    Параметр Описание Часть запроса Обязательный?
    partnerid Значение partnerid, полученное после создания тенанта. Путь Да
    clientid ID тенанта, полученный после создания тенанта (id). Тело Да
    id Уникальный ID для связи между аккаунтом и приложением тенанта. Может быть произвольное целое положительное число. Тело Да
    X-WallarmAPI-UUID UUID пользователя с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    X-WallarmAPI-Secret Секретный ключ пользователя с ролью глобального администратора. Заголовок Да, при отправке запроса с собственного клиента
    Показать пример запроса для отправки с собственного клиента
    curl -v -X POST "https://api.wallarm.com/v2/partner/111/partner_client" -H "X-WallarmAPI-UUID: YOUR_UUID" -H "X-WallarmAPI-Secret: YOUR_SECRET_KEY" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"clientid\": 888, \"id\": \"13\"}"
    
    curl -v -X POST "https://api.wallarm.ru/v2/partner/111/partner_client" -H "X-WallarmAPI-UUID: YOUR_UUID" -H "X-WallarmAPI-Secret: YOUR_SECRET_KEY" -H "accept: application/json" -H "Content-Type: application/json" -d "{ \"clientid\": 888, \"id\": \"14\"}"
    
  3. Скопируйте и сохраните значение каждого id, который вы передали в запросах. Параметр будет использоваться позже в настройках NGINX (wallarm_application) для разделения трафика по приложениям тенантов.

Если вы — партнер и нода защищает трафик нескольких клиентов, повторите шаги для каждого клиента.

Когда на ресурс тенанта поступит трафик, созданные id отобразятся в Консоли управления Валарм → НастройкиПриложения в соответствующем аккаунте тенанта.

Настройка доступов к аккаунтам

  • На уровне технического тенанта вы можете добавлять глобальных и обычных пользователей.

    Глобальные пользователи будут иметь доступ к аккаунтам всех привязанных тенантов.

    Обычные пользователи будут иметь доступ только к аккаунту технического тенанта.

  • На уровне аккаунтов отдельных тенантов вы можете добавлять обычных пользователей.

    Пользователи смогут отслеживать заблокированные запросы, анализировать обнаруженные уязвимости и выполнять дополнительную настройку в рамках конкретного аккаунта. Пользователи смогут добавлять друг друга самостоятельно, если роли позволяют выполнять это действие.

Перейти к установке и настройке ноды с опцией мультиарендности →

К началу