Skip to content

Переход на группы пользователей

Этот раздел описывает, что происходит при обновлении существующего инстанса Vampy до версии 2026.6.2 и как безопасно перейти на новую модель доступа.

Общее описание механики групп — в разделе Группы пользователей.

Что меняется при обновлении

До релиза 2026.6.2 права назначались напрямую пользователям: системная роль, доступ к продуктам и репозиториям хранились на уровне учётной записи.

После обновления:

  • права переносятся на группы пользователей;
  • каждый пользователь привязывается к одной группе;
  • LDAP/Keycloak получают новый механизм сопоставления внешних групп с группами Vampy.

Миграция выполняется автоматически при обновлении платформы (миграция БД). Ручных действий до первого входа администратора не требуется.

Автоматическая миграция пользователей

При обновлении Vampy анализирует прежние права каждого пользователя и формирует уникальные комбинации (системная роль + доступ к продуктам + доступ к репозиториям). Для каждой уникальной комбинации создаётся отдельная группа.

Группы с префиксом [migrated]

Автоматически созданные группы получают имя:

  • [migrated] User <имя> — если в группе один пользователь;
  • [migrated] N Users — если несколько пользователей с одинаковыми правами.

В описании таких групп указано, что они сгенерированы при миграции, а также перечислены участники и их прежняя роль.

Рекомендация после обновления

  1. Просмотрите список групп на вкладке Группы.
  2. Убедитесь, что пользователи попали в ожидаемые группы.
  3. При необходимости переименуйте, объедините (переместив пользователей) или создайте новые группы с понятными именами.
  4. Удалите пустые [migrated]-группы, когда закончите реорганизацию.

Группа по умолчанию

Помимо мигрированных групп создаётся группа по умолчанию с ролью Developer без прямого доступа к объектам.

Она используется для:

  • новых пользователей без явного назначения группы;
  • пользователей, удалённых из других групп;
  • случаев неоднозначного сопоставления LDAP/Keycloak (см. ниже).

При необходимости назначьте другую группу по умолчанию через действие Сделать группу дефолтной.

Перенос прав на объекты

Права на продукты и репозитории, которые раньше были у пользователей, переносятся на соответствующие мигрированные группы. После обновления доступ к объектам настраивается на уровне группы, а не отдельного пользователя.

Сопоставление LDAP и Keycloak

Маппинг по умолчанию выключен

После обновления переключатель Сопоставление групп в настройках LDAP и Keycloak выключен.

Это сделано намеренно: при первом входе через LDAP/Keycloak внешний каталог не должен массово переразложить пользователей по новым группам и перезаписать результат миграции.

Пока маппинг выключен:

Ситуация Поведение
Повторный вход существующего пользователя Группа Vampy не меняется
Ручное назначение группы в UI Сохраняется при следующих входах через LDAP/Keycloak
Правила маппинга в настройках Видны, но не применяются
Первый вход нового пользователя Группа назначается по правилам маппинга или группе по умолчанию

Текст в интерфейсе при выключенном маппинге:

Текущий доступ пользователей не изменится. Сохранённое сопоставление групп LDAP/Keycloak показано ниже для просмотра, но внешние группы не будут обновлять членство в группах Vampy, пока вы не включите сопоставление групп.

Сохранение правил при выключенном маппинге

Вы можете настроить или отредактировать правила сопоставления и сохранить конфигурацию, не включая маппинг. Правила останутся в базе и отобразятся в UI, но до включения переключателя на логин существующих пользователей не влияют.

Типичный сценарий после обновления:

  1. Проверить и при необходимости скорректировать мигрированные группы вручную.
  2. Настроить правила LDAP/Keycloak → группы Vampy в мастере аутентификации.
  3. Сохранить настройки с выключенным маппингом.
  4. Включить Сопоставление групп, когда будете готовы к автоматической синхронизации.

Миграция старых правил LDAP/Keycloak

При обновлении Vampy конвертирует устаревшие настройки:

  • LDAP — поля Admin Group DN, Editor Group DN, Readonly Group DN превращаются в записи нового маппинга (временно указывающие на группу по умолчанию). Проверьте и переназначьте группы Vampy в мастере LDAP.
  • Keycloak (OIDC) — прежний маппинг ролей (mapped_groups) конвертируется в сопоставление групп Keycloak → группы Vampy. Проверьте соответствия в мастере Keycloak.

Включение маппинга

Когда группы Vampy приведены в порядок:

  1. Откройте Админ → Аутентификация → LDAP или Keycloak.
  2. На шаге Сопоставление групп включите переключатель Сопоставление групп.
  3. Убедитесь, что каждое правило связывает внешнюю группу с нужной группой Vampy.
  4. Сохраните настройки.

После включения маппинга при каждом входе через LDAP/Keycloak группа пользователя пересчитывается по правилам. Ручное назначение группы будет перезаписано результатом маппинга.

Несколько внешних групп у одного пользователя

Если у пользователя в LDAP/Keycloak несколько групп, подходящих под разные правила маппинга:

Совпадений Куда попадёт пользователь
0 Группа по умолчанию
1 Группа Vampy из соответствующего правила
2 и более Группа по умолчанию (не «лучшая» и не «первая в списке»)

Пересекающиеся AD-группы

Если у сотрудника одновременно «общая» и несколько «проектных» AD-групп, и более одной из них указана в маппинге, автоматическое сопоставление отправит его в группу по умолчанию. Для таких сценариев оставьте маппинг выключенным и назначайте группы Vampy вручную, либо настройте маппинг так, чтобы у пользователя совпадало не больше одного правила.