Принципалы

Принципал — это учетная запись, от имени которой можно совершать действия с каталогом.

Используйте команду principal create для создания принципала, команду principal update для активации и деактивации принципала, команду principal delete для удаления принципала, и команду principal get для просмотра состояния учетной записи принципала.

Существует два типа принципалов: user и role

Пользователь

Пользователь (user) — это учетная запись, которая выполняет конкретные действия.

Пользователь может быть аутентифицирован в каталоге, используя один из следующих механизмов:

• Постоянный токен доступа

• Временный токен доступа

• Аутентификация по имени пользователя и паролю

Учетная запись пользователя может быть деактивирована. Деактивированный пользователь не может быть аутентифицирован в каталоге.

Пользователю могут быть назначены роли.

Пользователю не могут быть назначены привилегии. Пользователь получает привилегии назначенных ему ролей (прямых и наследованных).

Роль

Роль (role) — это специальная учетная записи для управления доступом к объектам каталога.

Роли не подлежат аутентификации и не могут быть деактивированы.

Роли могут быть назначены другие роли, формируя иерархию ролей. Например, пользователю alice может быть назначена роль data-scientist, а роли data-scientist назначена роль engineer. Таким образом, пользователь alice получит все привилегии, назначенные ролям data-scientist и engineer.

Роли могут быть назначены привилегии.

Каталог имеет несколько встроенных ролей.