Управление пользователями и группами
Полное руководство по добавлению пользователей, созданию групп, настройке ролей и интеграции с корпоративными провайдерами идентификации в UniFi Identity.
Источники пользователей
UniFi Identity поддерживает несколько способов добавления и управления пользователями. Выбор источника зависит от размера организации и существующей инфраструктуры.
Локальные пользователи
Создание пользователей вручную напрямую в Identity Hub. Подходит для небольших организаций до 20 человек.
Синхронизация с IdP
Автоматический импорт пользователей из Microsoft Entra, Google Workspace, Okta через SCIM.
Импорт CSV
Массовый импорт пользователей из файла CSV для начальной миграции или разовых обновлений.
API интеграция
Программное управление через REST API для интеграции с HR-системами и кастомными решениями.
| Источник | Автосинхронизация | Масштаб | Требования |
|---|---|---|---|
| Локальные | — | До 20 пользователей | Free edition |
| Microsoft Entra | SCIM + SAML | Неограниченно | Standard+ edition |
| Google Workspace | SCIM + SAML | Неограниченно | Standard+ edition |
| Okta | SCIM + SAML | Неограниченно | Enterprise edition |
| CSV импорт | — | До 500 за раз | Free edition |
Создание пользователей вручную
Для небольших организаций или добавления отдельных пользователей можно использовать ручное создание учётных записей через Identity Hub.
Откройте раздел пользователей
Войдите в Identity Hub и перейдите в раздел Users в левом меню.
Нажмите "Add User"
Кнопка добавления находится в правом верхнем углу списка пользователей. Откроется форма создания нового пользователя.
Заполните данные пользователя
Обязательные поля:
- Email — основной идентификатор пользователя
- First Name — имя
- Last Name — фамилия
Опциональные поля:
- Phone — телефон для уведомлений
- Department — отдел
- Title — должность
- Groups — группы для назначения
Отправьте приглашение
После сохранения пользователь получит email с приглашением установить приложение UniFi Identity Endpoint и зарегистрировать свои устройства.
Атрибуты пользователя
| Атрибут | Тип | Описание | Редактируемость |
|---|---|---|---|
email | String | Основной идентификатор, используется для входа | Только при создании |
firstName | String | Имя пользователя | Всегда |
lastName | String | Фамилия пользователя | Всегда |
phone | String | Номер телефона в международном формате | Всегда |
department | String | Название отдела | Всегда |
title | String | Должность | Всегда |
status | Enum | Active, Suspended, Pending | Администратором |
source | Enum | Local, Azure AD, Google, Okta | Автоматически |
Синхронизация с IdP
Для организаций, использующих корпоративный Identity Provider, UniFi Identity поддерживает автоматическую синхронизацию пользователей через протокол SCIM 2.0.
Преимущества SCIM-синхронизации
- Автоматический provisioning — новые сотрудники появляются в Identity автоматически
- Автоматический deprovisioning — увольнение в AD блокирует доступ везде
- Синхронизация групп — группы из IdP отображаются в Identity
- Единый источник истины — все изменения делаются в одном месте
Настройка для Microsoft Entra (Azure AD)
Создайте Enterprise Application
В Azure Portal перейдите в Microsoft Entra ID → Enterprise Applications → New Application → Create your own application.
Настройте SCIM provisioning
В разделе Provisioning выберите режим Automatic и введите данные из Identity Hub:
- Tenant URL — SCIM endpoint из настроек IdP в Identity
- Secret Token — Bearer token для аутентификации
Выберите пользователей и группы
В разделе Users and groups добавьте пользователей или группы, которые должны синхронизироваться с UniFi Identity.
Настройте маппинг атрибутов
По умолчанию синхронизируются:
userPrincipalName→emailgivenName→firstNamesurname→lastNamedepartment→departmentjobTitle→title
Запустите начальную синхронизацию
Нажмите Start provisioning. Начальная синхронизация может занять от нескольких минут до часа в зависимости от количества пользователей.
Настройка для Google Workspace
Google Workspace поддерживает синхронизацию через собственный механизм Auto-provisioning:
- В Google Admin Console откройте Apps → Web and mobile apps
- Добавьте UniFi Identity как SAML-приложение
- Включите Auto-provisioning в настройках приложения
- Укажите SCIM endpoint и токен из Identity Hub
- Выберите организационные единицы для синхронизации
Управление группами
Группы в UniFi Identity позволяют организовать пользователей и применять политики доступа к целым подразделениям, а не к отдельным сотрудникам.
Типы групп
Локальные группы
- Создаются вручную в Identity Hub
- Полное управление членством
- Не зависят от внешнего IdP
- Подходят для специфических политик
Синхронизированные группы
- Импортируются из IdP через SCIM
- Членство управляется в IdP
- Автоматическое обновление
- Соответствуют структуре организации
Создание локальной группы
Перейдите в раздел Groups
В Identity Hub откройте Groups в левом меню.
Создайте новую группу
Нажмите Add Group и введите:
- Name — понятное название группы
- Description — описание назначения
Добавьте участников
Выберите пользователей из списка или используйте поиск по имени/email. Можно добавить неограниченное количество участников.
Примеры структуры групп
📁 Организация ├── 👥 Руководство │ ├── CEO │ ├── CTO │ └── CFO ├── 👥 IT-отдел │ ├── Системные администраторы │ ├── Разработчики │ └── DevOps ├── 👥 Продажи │ ├── Менеджеры │ └── Аналитики ├── 👥 Маркетинг ├── 👥 Бухгалтерия ├── 👥 HR ├── 👥 Гости (ограниченный доступ) └── 👥 Подрядчики (временный доступ)
Использование групп для политик
Группы используются для:
WiFi доступ
Разные SSID и VLAN для разных групп. IT-отдел в серверный VLAN, гости в изолированную сеть.
VPN доступ
Автоматические VPN-профили для удалённых сотрудников определённых отделов.
Физический доступ
Доступ к определённым дверям через UniFi Access на основе членства в группах.
SSO приложения
Доступ к корпоративным SaaS-приложениям только для определённых групп.
Роли и права доступа
UniFi Identity использует ролевую модель доступа (RBAC) для управления административными привилегиями в системе.
Встроенные роли
| Роль | Описание | Ключевые права |
|---|---|---|
| Super Admin | Полный доступ ко всем функциям |
|
| Admin | Управление пользователями без доступа к биллингу |
|
| Help Desk | Поддержка пользователей |
|
| Read Only | Только просмотр |
|
| User | Обычный пользователь |
|
Назначение ролей
Для назначения административной роли:
- Откройте профиль пользователя в Users
- Перейдите на вкладку Role
- Выберите нужную роль из выпадающего списка
- Сохраните изменения
Жизненный цикл пользователя
UniFi Identity автоматизирует весь жизненный цикл учётных записей — от приёма сотрудника до увольнения.
Pending
Приглашение отправлено, ожидание активации
Active
Пользователь активирован и имеет доступ
Suspended
Доступ временно приостановлен
Deleted
Учётная запись удалена
Onboarding (приём сотрудника)
- Пользователь создаётся вручную или синхронизируется из IdP
- Автоматически отправляется email-приглашение
- Сотрудник устанавливает приложение Identity Endpoint
- Регистрирует свои устройства (телефон, ноутбук)
- Получает автоматический доступ к WiFi, VPN, приложениям согласно группам
Offboarding (увольнение)
При увольнении через SCIM:
- HR деактивирует сотрудника в Active Directory / Google Workspace
- SCIM автоматически синхронизирует статус в Identity
- Все сертификаты и доступы отзываются мгновенно
- Устройства пользователя теряют доступ к корпоративным ресурсам
- Логи сохраняются для аудита
Приостановка доступа
Для временной блокировки (отпуск, расследование) используйте статус Suspended вместо удаления:
- Откройте профиль пользователя
- Нажмите Suspend User
- Укажите причину (опционально)
- Подтвердите действие
Для восстановления нажмите Activate User в том же меню.
Регистрация устройств пользователей
После создания учётной записи пользователь должен зарегистрировать свои устройства через приложение Identity Endpoint.
Процесс регистрации
Пользователь получает приглашение
На email приходит письмо с кнопкой Get Started и инструкциями по установке приложения.
Установка приложения
Пользователь скачивает UniFi Identity из App Store, Google Play или загружает десктопную версию.
Вход в аккаунт
Пользователь входит с помощью корпоративного email. При настроенном SSO — перенаправляется на страницу IdP.
Установка сертификатов
Приложение автоматически устанавливает сертификаты для WiFi и VPN. На iOS/macOS может потребоваться подтверждение в настройках.
Готово к работе
Устройство автоматически подключается к корпоративному WiFi и имеет доступ ко всем назначенным ресурсам.
Мониторинг устройств пользователя
В профиле каждого пользователя в разделе Devices отображаются:
- Список зарегистрированных устройств
- Тип устройства и ОС
- Дата последней активности
- Статус сертификатов
- Текущие подключения
Администратор может удалить устройство пользователя, что отзовёт все сертификаты и заблокирует доступ с этого устройства.
Массовые операции
Импорт пользователей из CSV
Для массового добавления пользователей подготовьте CSV-файл:
email,firstName,lastName,department,title,groups ivan.petrov@company.ru,Иван,Петров,IT,Администратор,"IT-отдел;Администраторы" maria.sidorova@company.ru,Мария,Сидорова,Продажи,Менеджер,"Продажи" alex.kozlov@company.ru,Алексей,Козлов,Маркетинг,Аналитик,"Маркетинг"
Требования к CSV:
- Кодировка UTF-8
- Разделитель — запятая
- Обязательные колонки: email, firstName, lastName
- Группы указываются через точку с запятой
- Максимум 500 строк за один импорт
Массовое обновление групп
- Выберите несколько пользователей через checkbox в списке
- Нажмите Bulk Actions в верхней панели
- Выберите Add to Group или Remove from Group
- Укажите целевую группу
- Подтвердите операцию
Экспорт пользователей
Для выгрузки списка пользователей в CSV нажмите Export в разделе Users. Экспорт включает все атрибуты и членство в группах.
Лучшие практики
Используйте IdP как единый источник
Настройте SCIM-синхронизацию с корпоративным IdP. Это обеспечит автоматический provisioning/deprovisioning и снизит риск "забытых" учётных записей уволенных сотрудников.
Структурируйте группы по назначению
Создавайте группы не только по отделам, но и по функциям доступа: "VPN-доступ", "Серверная комната", "Конференц-зал". Это упростит управление политиками.
Минимизируйте административные права
Назначайте роль Super Admin только владельцам аккаунта. Для повседневных задач используйте Admin или Help Desk.
Документируйте процессы
Создайте внутреннюю документацию по onboarding/offboarding для HR и IT-отдела. Включите чек-листы и ответственных.
Регулярно проводите аудит
Ежемесячно проверяйте список пользователей на актуальность. Удаляйте неактивные учётные записи и проверяйте членство в группах.
Полезные ресурсы
- Настройка SSO — интеграция с Microsoft Entra, Google Workspace и другими IdP
- Политики доступа — настройка политик WiFi, VPN и физического доступа для групп
- VPN доступ — настройка автоматического VPN для удалённых сотрудников
