Переход на группы пользователей
Этот раздел описывает, что происходит при обновлении существующего инстанса Vampy до версии 2026.6.2 и как безопасно перейти на новую модель доступа.
Общее описание механики групп — в разделе Группы пользователей.
Что меняется при обновлении
До релиза 2026.6.2 права назначались напрямую пользователям: системная роль, доступ к продуктам и репозиториям хранились на уровне учётной записи.
После обновления:
- права переносятся на группы пользователей;
- каждый пользователь привязывается к одной группе;
- LDAP/Keycloak получают новый механизм сопоставления внешних групп с группами Vampy.
Миграция выполняется автоматически при обновлении платформы (миграция БД). Ручных действий до первого входа администратора не требуется.
Автоматическая миграция пользователей
При обновлении Vampy анализирует прежние права каждого пользователя и формирует уникальные комбинации (системная роль + доступ к продуктам + доступ к репозиториям). Для каждой уникальной комбинации создаётся отдельная группа.
Группы с префиксом [migrated]
Автоматически созданные группы получают имя:
[migrated] User <имя>— если в группе один пользователь;[migrated] N Users— если несколько пользователей с одинаковыми правами.
В описании таких групп указано, что они сгенерированы при миграции, а также перечислены участники и их прежняя роль.
Рекомендация после обновления
- Просмотрите список групп на вкладке Группы.
- Убедитесь, что пользователи попали в ожидаемые группы.
- При необходимости переименуйте, объедините (переместив пользователей) или создайте новые группы с понятными именами.
- Удалите пустые
[migrated]-группы, когда закончите реорганизацию.
Группа по умолчанию
Помимо мигрированных групп создаётся группа по умолчанию с ролью Developer без прямого доступа к объектам.
Она используется для:
- новых пользователей без явного назначения группы;
- пользователей, удалённых из других групп;
- случаев неоднозначного сопоставления LDAP/Keycloak (см. ниже).
При необходимости назначьте другую группу по умолчанию через действие Сделать группу дефолтной.
Перенос прав на объекты
Права на продукты и репозитории, которые раньше были у пользователей, переносятся на соответствующие мигрированные группы. После обновления доступ к объектам настраивается на уровне группы, а не отдельного пользователя.
Сопоставление LDAP и Keycloak
Маппинг по умолчанию выключен
После обновления переключатель Сопоставление групп в настройках LDAP и Keycloak выключен.
Это сделано намеренно: при первом входе через LDAP/Keycloak внешний каталог не должен массово переразложить пользователей по новым группам и перезаписать результат миграции.
Пока маппинг выключен:
| Ситуация | Поведение |
|---|---|
| Повторный вход существующего пользователя | Группа Vampy не меняется |
| Ручное назначение группы в UI | Сохраняется при следующих входах через LDAP/Keycloak |
| Правила маппинга в настройках | Видны, но не применяются |
| Первый вход нового пользователя | Группа назначается по правилам маппинга или группе по умолчанию |
Текст в интерфейсе при выключенном маппинге:
Текущий доступ пользователей не изменится. Сохранённое сопоставление групп LDAP/Keycloak показано ниже для просмотра, но внешние группы не будут обновлять членство в группах Vampy, пока вы не включите сопоставление групп.
Сохранение правил при выключенном маппинге
Вы можете настроить или отредактировать правила сопоставления и сохранить конфигурацию, не включая маппинг. Правила останутся в базе и отобразятся в UI, но до включения переключателя на логин существующих пользователей не влияют.
Типичный сценарий после обновления:
- Проверить и при необходимости скорректировать мигрированные группы вручную.
- Настроить правила LDAP/Keycloak → группы Vampy в мастере аутентификации.
- Сохранить настройки с выключенным маппингом.
- Включить Сопоставление групп, когда будете готовы к автоматической синхронизации.
Миграция старых правил LDAP/Keycloak
При обновлении Vampy конвертирует устаревшие настройки:
- LDAP — поля
Admin Group DN,Editor Group DN,Readonly Group DNпревращаются в записи нового маппинга (временно указывающие на группу по умолчанию). Проверьте и переназначьте группы Vampy в мастере LDAP. - Keycloak (OIDC) — прежний маппинг ролей (
mapped_groups) конвертируется в сопоставление групп Keycloak → группы Vampy. Проверьте соответствия в мастере Keycloak.
Включение маппинга
Когда группы Vampy приведены в порядок:
- Откройте Админ → Аутентификация → LDAP или Keycloak.
- На шаге Сопоставление групп включите переключатель Сопоставление групп.
- Убедитесь, что каждое правило связывает внешнюю группу с нужной группой Vampy.
- Сохраните настройки.
После включения маппинга при каждом входе через LDAP/Keycloak группа пользователя пересчитывается по правилам. Ручное назначение группы будет перезаписано результатом маппинга.
Несколько внешних групп у одного пользователя
Если у пользователя в LDAP/Keycloak несколько групп, подходящих под разные правила маппинга:
| Совпадений | Куда попадёт пользователь |
|---|---|
| 0 | Группа по умолчанию |
| 1 | Группа Vampy из соответствующего правила |
| 2 и более | Группа по умолчанию (не «лучшая» и не «первая в списке») |
Пересекающиеся AD-группы
Если у сотрудника одновременно «общая» и несколько «проектных» AD-групп, и более одной из них указана в маппинге, автоматическое сопоставление отправит его в группу по умолчанию. Для таких сценариев оставьте маппинг выключенным и назначайте группы Vampy вручную, либо настройте маппинг так, чтобы у пользователя совпадало не больше одного правила.


