Панель администратора

Авторизация в панели администратора

Язык интерфейса панели администратора

• Установите нужный язык как основной в настройках браузера.
• Или вручную измените параметр _admin_locale в Cookies через консоль разработчика:
  1. Откройте панель администратора.
  2. Нажмите F12 (или Fn + F12).
  3. Перейдите в Application > Cookies > выберите адрес сервера.
  4. Найдите _admin_locale и измените значение на ru (русский) или en (английский).
  5. Обновите страницу.

В этом разделе находится список пользователей и ботов корпоративного сервера.

Поиск пользователей

В поле поиска на CTS и ECTS можно искать пользователей по HUID, имени, почте, домену и должности, как они указаны в корпоративной учётной записи. На RTS и ETS можно искать пользователей по имени, номеру телефона, как их указал пользователь при первичной регистрации или позже в настройках профиля в eXpress.

Создание пользователей

Можно создать нового пользователя на корпоративном сервере вручную, нажав соответствующую кнопку, либо настроить автоматическую синхронизацию.

Как массово вручную создать пользователей?

Обратитесь в поддержку eXpress для получения инструкций.

Переходите с ручных учётных записей на синхронизированные?

Если вы недавно настроили синхронизацию, удалите старые ручные учётные записи с дублирующими почтами (чтобы избежать конфликтов с новыми синхронизированными).

Какая аутентификация доступна пользователям, созданным вручную?

Войти такой пользователь сможет только через аутентификацию Email. Для использования других методов при синхронизации с корпоративным каталогом (например, Active Directory) создавайте пользователей в каталоге, а не вручную на корпоративном сервере!

Можно ли одновременно синхронизировать пользователей и заводить их вручную?

Да. Таким образом вы сможете, например, синхронизировать сотрудников организации из каталога, а внешних подрядчиков заводить вручную. Это работает только с аутентификацией Email — и созданные вручную, и синхронизированные пользователи будут входить в приложение с использованием кода на почту.

Чтобы подключить к корпоративному серверу внешних пользователей (партнёров, подрядчиков), которых нет в корпоративном каталоге:

1. Вручную создайте профили для внешних пользователей в разделе Пользователи.
2. В разделе «Настройка регистрации» переключите метод аутентификации на Email.

Тогда и внешние, и синхронизированные из каталога пользователи смогут входить в корпоративную учётную запись через код на почту.

Как правильно передать учётные данные пользователю?

При выдаче корпоративных данных обязательно сообщайте пользователям:

• Чтобы они входили в приложение с номером телефона, если ранее уже использовали его.
• Номер телефона можно добавить позже, но только при условии, что с ним нет уже связанного аккаунта.

Это позволяет сохранить переписку, если ранее уже использовался номер телефона, а также при смене логина или переходе на другой сервер.

Редактирование и удаление пользователей

Щёлкните кнопку-карандаш на пользователе в списке, чтобы отредактировать его данные.

Чтобы удалить пользователя:

1. Сделайте и подтвердите ему логаут
2. Нажмите кнопку-корзину

Каких пользователей можно редактировать и удалять?

Изменить или удалить вручную можно только тех пользователей, которые были созданы вручную или путём саморегистрации по email-маске (перед удалением также требуется сделать логаут).

Пользователь синхронизирован из каталога. Как изменить или удалить его?

Чтобы изменить данные синхронизированного пользователя, отредактируйте его в каталоге и проведите синхронизацию.

Чтобы удалить синхронизированного пользователя, сделайте ему логаут, удалите у него группу синхронизации в AD или роль в OpenID, проведите синхронизацию — профиль исчезнет из списка.

Почему нельзя редактировать email?

Поле почты не редактируемо, поскольку является логином.

Как правильно поменять логин пользователя?

См. эту инструкцию.

Экспорт списка пользователей

Кнопка Скачать как .CSV скачивает список пользователей в формате CSV. Позже этот список можно импортировать в групповой чат или канал для массового добавления пользователей. Чтобы отфильтровать выгружаемый список, воспользуйтесь поиском. При нажатии кнопки будет предложено выбрать типы пользователей для выгрузки:

• cts_user — зарегистрированные корпоративные пользователи.
• unregistered — незарегистрировавшиеся пользователи.
• botx — боты и Smart Apps.

Профиль пользователя

По щелчку на пользователе открывается информация о его профиле:

• HUID — уникальный идентификатор пользователя. Подробнее.
• Сведения о компании, должности и т.д. (заполняются администратором вручную или синхронизируются автоматически).
• RTS ID/ETS ID/CTS ID — идентификатор сервера регистрации. Для определения конкретного адреса сервера найдите этот ID в разделе «Серверы».
• Тип профиля:
  • botx (CTS, ETS, RTS) — учётная запись бота
  • cts_user (CTS) — активная корпоративная учётная запись
  • external_client (CTS) — учётная запись для внешнего приложения-клиента.
  • guest (CTS, а также на ETS, RTS) — гостевая учётная запись
  • unregistered (ETS, RTS) — неактивный аккаунт
  • user (ETS, RTS) — личный аккаунт без привязки к корпоративному серверу
• Тип регистрации (подробнее):
  • default — регистрация по номеру телефона
  • cts_only — регистрация без номера телефона
• Группы AD — отображаются для пользователей, синхронизированных из Active Directory
• Даты создания, обновления или удаления учётной записи (обновляются при входе на сервер или синхронизации)

Активации

Активные и завершённые сессии пользователя:

• Каждая сессия идентифицируется по UDID
• Содержит информацию об устройстве, версиях ПО, блокировках
• Отображаются разрешения (Device Meta):
  • permissions.microphone — доступ к микрофону
  • permissions.notifications — уведомления в браузере/ОС
  • pushes — уведомления в приложении
  • permissions.contacts — доступ к контактам
  • permissions.storage — доступ к хранилищу

Доступные действия с активациями:

1. Очистить чаты/Очистить контакты — принудительная очистка кэша с последующей загрузкой с сервера
2. Очистить все — очистка чатов/контактов и завершение сессии
3. Удалить (только RTS/ETS) — очистка, завершение сессии и удаление записи об активации

Блокировки

Список блокировок учётной записи в Active Directory/OpenID и их причины.

Ключи

Открытые ключи шифрования пользователя:

• У корпоративного пользователя есть ключ cts для шифрования сообщений (идёт в паре с ключом rts);
• У публичного пользователя есть ключ rts для шифрования сообщений (идёт в паре с ключом cts у публичных пользователей, регистрировавшихся в ранней версии приложения);
• ed25519 — сессионный ключ для подписи сообщений.

Ключей может быть несколько, и тогда они различаются по версии и по дате/времени.

Когда у пользователя появляются новые ключи, к чему это приводит?

Новые ключи (cts и rts у корпоративного пользователя или rts у публичного пользователя) создаются:

• При сбросе личного пароля от ключей шифрования.
• После удаления аккаунта и повторной регистрации.

При новом входе пользователя в сессию на устройстве создаётся новый ключ подписи ed25519.

При входе после логаута происходит принудительная синхронизация ключей между серверами.

Чаты

Список всех чатов пользователя.

Восстановление ключей в чатах

Исправление проблем с ключами шифрования в чатах (подробнее).

Очистить кэш

Очистка локального кэша чатов/контактов на всех устройствах пользователя.

Очистить все

Удаление кэша и принудительный возврат на экран входа на всех устройствах пользователя.

Логаут

Отправка запроса на логаут с корпоративного сервера (требует подтверждения в разделе «Запросы на логаут»).

В этом разделе представлен полный список всех чатов и каналов пользователей текущего сервера.

Поиск чатов

В поле поиска можно найти чаты по:

• ID чата
• Названию чата
• HUID пользователя (для поиска его чата «Сохранённые сообщения»)

Свойства чата

При нажатии на чат отображается следующая информация:

• ID — уникальный идентификатор чата.
• Описание — заполняется создателем или администратором чата.
• Active — статус активности чата:
  • Чат деактивируется на RTS при переходе в корпоративный статус.
  • Чат деактивируется на CTS при переходе в некорпоративный статус.
  • Статус зависит от серверов, на которых находятся участники — если все участники уходят с определённого сервера, то чат на этом сервере деактивируется.
  • При любом обновлении чата (например, добавлении участника) статус обновляется.
• Вид — тип чата:
  • group_chat — групповой чат
  • chat — персональный чат
  • botx — чат с ботом
  • channel — канал
• Пользователи — участники чата (полный список доступен по кнопке Пользователи в верхней части интерфейса).
• Дата создания — время создания чата.

Дополнительные разделы чата

В интерфейсе доступны следующие разделы и кнопки:

• Пользователи — управление участниками чата:
  • Добавить пользователей — ручное добавление участников с текущего сервера
  • Импорт пользователей — массовое добавление через CSV/TXT файл
  • Назначение/снятие прав администратора (через столбец Администратор)
    
    Для работы этой функции требуется хотя бы один участник-администратор с текущего сервера.
  • Просмотр типа профиля пользователя (столбец ConnType: CTS/RTS)
  • Схема роутинга (ссылка Роутинг показывает путь трафика) — подробнее.
  • Удаление пользователей (кнопка-корзина)
• События JSON/События таблица — журнал событий чата в JSON-формате и в табличном виде.
  
  ℹ️ При удалении сообщения «для всех» на сервере оно не исчезает полностью – содержание стирается, но сам факт, что сообщение было – остаётся. Удобно для диагностики и внутренних расследований.
• Чат JSON — полная информация о чате в JSON-формате.
• Сделать открытым/закрытым чатом — делает чат или канал доступным/недоступным в корпоративном каталоге.
• Включить/выключить сквозное (e2ee) шифрование — управление сквозным шифрованием сообщений в групповом чате или канале.

Дополнительные вопросы

Как понять, что в чате открыта история?

В свойствах чата будет отображаться кнопка Сделать закрытым чатом. Кроме того, в разделе Чат JSON по признаку sharedHistory:true можно определить, открыта ли история чата. Этот признак появляется при отключении сквозного шифрования в панели администратора (доступно только для чатов).

Где найти информацию о дате/времени отключения сквозного шифрования?

Есть только косвенный способ узнать это. В свойствах чата откройте раздел События таблица. В сообщениях (событиях с типом message_new) в секции keys проверьте значения у key_id:

• если указан только общий серверный ключ (иногда может быть несколько серверных ключей), то это значит, что на момент его отправки сквозное шифрование было выключено.
• если есть несколько личных ключей участников — шифрование было включено на момент отправки сообщения.

Здесь отображается полный список открытых чатов и каналов сервера, доступных в корпоративном каталоге чатов. Пользователи могут самостоятельно вступать в них. Раздел доступен только для CTS и ECTS.

Поиск открытых чатов

В поле поиска можно найти открытые чаты по ID или названию.

Свойства открытого чата

При нажатии на чат откроется подробная информация о нём (см. выше).

Создание открытого чата

Кнопка Создать позволяет создать новый открытый чат на сервере.

Первого участника открытого чата нельзя добавить через панель администратора. Пользователь должен присоединиться самостоятельно через каталог чатов в клиентском приложении.

В разделе Звонки отображается полный список всех завершённых и текущих звонков на сервере. Конференции в этом списке не отображаются — для них есть отдельный раздел с аналогичными элементами.

Таблица звонков

Информация о звонках представлена в таблице со следующими столбцами:

1. Аватар
2. Чат
3. Чат звонка
4. Звонок
5. Активен
6. Начало звонка
7. Конец звонка
8. Завершить звонок
9. Логи звонка

Поиск звонков

В поле поиска можно найти звонки по:

• дате и времени
• имени чата
• ID чата
• ID звонка
• HUID, email или имени участника

Логи звонков

Доступна функция Скачать логи звонка в виде архива ZIP.

Кнопка Очистить логи удаляет все логи звонков на сервере.

Завершение звонка

Кнопка-крестик принудительно завершает звонок (используйте для зависших звонков).

Информация о групповом чате, где был звонок

При щелчке на ID чата открывается информация о чате, в котором провели звонок (см. выше).

Свойства звонка

При щелчке на ID звонка отображается информация:

• Звонок [ID] — уникальный идентификатор звонка в заголовке страницы.
• room_id — идентификатор чата звонка (комнаты).
• Участники звонка — подробная информация в таблице:
  • Имя
  • Платформа
  • Версия приложения
  • В звонке сейчас
  • Транслирует экран
  • Присоединялся к звонку
  • user_huid
  • udid
  • server_id
  • audio
  • video
  • screen
  • Ответил в
  • Сбросил в

В этом подразделе представлены инструменты для работы с конференциями, аналогичные инструментам для звонков. Важные ограничения:

• конференции отображаются только если были созданы на текущем сервере.

Этот раздел появился в версии серверного ПО 3.33. Здесь администратор может подтверждать или отклонять запросы пользователей на изменение информации в профиле (аватар), если включена модерация в разделе «Сервер».

❓Связанные вопросы:

• Аватар, имя и прочие данные профиля
• Сервер

В этом разделе отображается список пользователей, для которых был отправлен запрос на логаут:

• со стороны пользователя;
• через администратора корпоративного сервера;
• из-за события в корпоративном каталоге.

Здесь можно просмотреть информацию о пользователе, узнать причину логаута, а также Принять или Отклонить запрос. Раздел доступен только для CTS и ECTS.

Почему кнопки для управления логаутом не работают?

Учтите, что если панель администратора открыта не по адресу с FQDN сервера, кнопки Принять или Отклонить не сработают.

Причины логаута

user_request

Запрос на логаут отправлен пользователем. Это значит, что пользователь нажал кнопку Выйти в профиле на одном из своих устройств. На остальных устройствах он продолжит работу в обычном режиме. Уточните причину у пользователя. Если этот запрос ошибочен, пользователь может снова войти с теми же учётными данными — запрос на логаут исчезнет автоматически (после обновления страницы администратора) или его можно отклонить вручную.

PWD_last_set_changed

Логаут из-за смены пароля в AD. Пользователя выкинет из всех сессий. При попытке войти обратно с учётными данными AD возникнет ошибка «Неверный логин или пароль». После входа пользователя с новым паролем запрос на логаут исчезнет автоматически (после обновления страницы администратора). При возникновении проблем со входом нажмите кнопку Очистить кэш в профиле пользователя в панели администратора.

account_disabled

Учётная запись отключена в AD. Пользователя выкинет из всех сессий. При попытке войти обратно с учётными данными AD возникнет ошибка «Неверный логин или пароль». После включения учётной записи и входа пользователя обратно на сервер запрос на логаут исчезнет автоматически (после обновления страницы администратора).

account_deleted

Аккаунт был удалён пользователем. Отменить удаление аккаунта нельзя, даже если вы отмените запрос на логаут с этой причиной. Чтобы освободить корпоративную учётную запись от связи с удалённым аккаунтом, обязательно подтвердите запрос или настройте автоподтверждение для запросов такого типа (подробности у поддержки eXpress).

lockout

Пользователь заблокирован в AD. Пользователя выкинет из всех сессий. При попытке войти обратно с учётными данными AD возникнет ошибка «Неверный логин или пароль». После разблокировки и входа пользователя обратно на сервер запрос на логаут исчезнет автоматически (после обновления страницы администратора).

password_expired

Истёк срок действия пароля в AD. Пользователя выкинет из всех сессий. При попытке войти обратно с учётными данными AD возникнет ошибка «Неверный логин или пароль». После входа пользователя с новым паролем запрос на логаут исчезнет автоматически (после обновления страницы администратора). При возникновении проблем со входом нажмите кнопку Очистить кэш в профиле пользователя в панели администратора.

account_expired

Истёк срок действия учётной записи в AD. Пользователя выкинет из всех сессий. При попытке войти обратно с учётными данными AD возникнет ошибка «Неверный логин или пароль». После продления срока или создания новой УЗ и входа пользователя обратно на сервер запрос на логаут исчезнет автоматически (после обновления страницы администратора).

admin_request

Запрос на логаут от администратора. При отправке запроса сессии пользователя не завершаются.

excluded_from_search_filter

В разделе Active Directory активирован флажок Автологаут при исключении из выборки синхронизации с AD, и пользователь был исключён из выборки (например, удалён из группы синхронизации AD). Пользователя выкинет из всех сессий. Пользователь может войти обратно, но его снова выкинет при следующей синхронизации, пока не добавят группу.

Принятие запроса на логаут

После нажатия Принять корпоративная учётная запись пользователя отсоединяется от личного аккаунта и переходит в статус unregistered.

Массовый выбор запросов

С версии серверного ПО 3.27 поддерживается выбор нескольких запросов на логаут с помощью флажков. Чтобы выбрать все записи (верхний флажок в первом столбце), сначала укажите причину логаута в фильтре. Если фильтр не применён, массовый выбор недоступен — отмечать записи придётся вручную.

Удаление учётной записи после логаута

После логаута учётная запись остаётся в списке раздела «Пользователи». Способ удаления зависит от типа записи:

• Создана вручную в панели администратора — удаляется через значок корзины в списке Пользователи.
• Синхронизирована из AD — исчезает после удаления группы синхронизации в Active Directory.
• Синхронизирована из OpenID — удаление невозможно в версиях серверного ПО до 3.40, в версиях после 3.40 возможно, когда установлен флажок Удалять профили пользователей при подтверждении логаута в настройках синхронизации OpenID.

Настройка доступов пользователей к панели администратора. Можно создавать и просматривать пользователей и группы.

Создание пользователя

Чтобы создать пользователя для панели администратора, в разделе Администраторы нажмите Создать. Укажите логин, пароль, в какие группы входит, а также срок действия учётной записи (установите флажок Включить блокировку и укажите дату ниже).

Требования к паролю администратора

Пароль должен содержать:

• Cпециальный символ: #!?&@$%^*().
• Букву нижнего регистра.
• Букву верхнего регистра.

Минимальная длина пароля — 8 символов.

Создание группы

Чтобы создать группу, в разделе Администраторы нажмите Показать группы > Создать. Укажите имя группы, соответствующую группу LDAP, а также настройте права по разделам панели администратора: no (нет доступа), read (только просмотр), write (изменение).

В этом разделе отображаются все серверы, с которыми данный сервер соединён: RTS, CTS (ECTS), ETS, Trusts, а также схема роутинга Graph со всеми связанными серверами.

Индикаторы состояния серверов

Зелёный индикатор рядом с именем сервера означает, что сервер доступен и подключение установлено. Красный индикатор указывает на отсутствие соединения.

Удаление сервера

Кнопка-урна удаляет запись о сервере (токен) или трастовом соединении.

Удаление записи о CTS с RTS

Удаление неактивного сервера с RTS может потребоваться, если пользователю нужно зарегистрироваться на новом сервере, а старый сервер физически недоступен, но запись о нём осталась на RTS. Это можно сделать только через поддержку eXpress. Удаление допустимо только в случае, если сервер невозможно восстановить! После удаления потребуется дополнительное восстановление чатов на серверах, где были чаты с его пользователями. Перед отключением сервера всем пользователям необходимо сделать логаут.

Поиск серверов

В поле поиска на соответствующей вкладке можно найти серверы по ID, имени или адресу.

Добавление нового сервера

Нажмите кнопку Создать, чтобы добавить новый сервер для подключения к текущему серверу.

Трастовые подключения

На вкладке Trusts отображаются доверенные (трастовые) подключения данного сервера к другим корпоративным серверам.
Настройка Разрешить трастовый поиск (при редактировании траста) определяет, могут ли пользователи доверенного сервера искать пользователей на текущем сервере.
Настройка Trust Search в разделе Сервер > Server Features управляет трастовым поиском для всех серверов, у которых включена опция Разрешить трастовый поиск.

Свойства сервера

По щелчку на сервере откроется информация о нём и его подключении. Здесь же можно управлять подключением, редактировать свойства сервера или удалить его.

Смена хоста

Если у сервера изменился хост, отредактируйте запись и укажите новый адрес. В подключённых клиентах возникнет ошибка соединения, и пользователям может потребоваться перезайти в клиент. Переписка при этом сохранится.

В этом разделе настраиваются и подключаются чат-боты и Smart Apps корпоративного сервера. Можно выключить или включить уже добавленные на сервер боты и Smart Apps, изменить свойства, аватар, видимость в каталоге, настройки доступа к ним (также на основе групп пользователей ролевой модели с версии серверного ПО 3.21) и т. д. Этот раздел доступен только для CTS и ECTS.

В этом разделе можно подключить встроенных ботов к глобальному чату:

1. Conference Notifier bot. Оповещает пользователей о предстоящих конференциях. С его помощью также можно настроить регулярные напоминания о бессрочных конференциях.
2. Notifications bot. Бот для отправки сообщений в глобальный чат.
3. Recordings bot. Бот для уведомлений о готовых записях звонков.

Раздел предназначен для настройки интеграции с Vinteo (в настоящее время в разработке). Такие учётные записи создаются для компьютеров в переговорках или в других случаях, когда требуется вход в приложение с использованием неперсонализированной учётной записи.

Чтобы изменить данные пользователя внешнего клиента (например, электронную почту), найдите его на странице «Пользователи».

UI Alert — это триггер, который блокирует использование клиентского приложения, если его версия ниже указанной. В списке вы увидите созданные UI Alerts. Этот раздел доступен только для RTS и ETS.

Создание нового UI Alert

Нажмите кнопку Создать, чтобы создать новый UI Alert. Описание полей:

1. Платформа — клиентская платформа, для которой предназначен триггер.
2. Must update to version — минимальная требуемая версия клиента для выбранной платформы (формат x.x.x: мажорная версия.минорная версия.патч).
3. Update kind — действия, которые потребуются от пользователя:
   • must_update — необходимо обновить клиент до актуальной версии;
   • must_clear_data — необходимо перезайти в сессию для очистки локального кэша;
   • must_update_and_clear_data — необходимо обновить клиент и перезайти в сессию.

В этом разделе отображается список всех Docker-контейнеров сервера. Здесь можно:

• Просмотреть версию контейнера
• Проверить его статус
• Изучить логи контейнера

Просмотр логов контейнера

Чтобы просмотреть логи контейнера с корпоративного сервера:

1. Нажмите >_логи напротив нужного контейнера
2. Введите дату и количество строк для вывода
3. Снимите флажок follow (чтобы отключить режим реального времени)
4. Нажмите кнопку show

Если Docker-контейнеры не используются, этот раздел будет недоступен.

В этом разделе находится журнал действий администраторов в панели администратора и пользователей в приложении (если их запрос дошёл от клиента до сервера). Отображаются следующие события:

1. попытки входа пользователей на корпоративный сервер (например, cts_user_registration_failed — ошибка регистрации)
2. попытки входа администраторов в панель администратора
3. запросы на логаут (например, user_logout_confirmed — подтверждение логаута администратором)
4. изменения настроек пользователей
5. изменения настроек сервера

Отображаемую таблицу событий можно отфильтровать и скачать в виде CSV-файла.

Чтобы просмотреть детали события (имя администратора/пользователя, IP-адрес, детали ошибки и т.д.), щёлкните его идентификатор в первом столбце.

Подробное описание раздела см. в документации для администраторов.

В этом разделе отображаются пакеты стикеров, добавленные на сервере.

Создание и редактирование пакета стикеров

Чтобы создать новый пакет стикеров, нажмите кнопку Создать. Чтобы отредактировать пакет, щёлкните его ID.

В редакторе стикеров можно:

1. Добавить или удалить стикеры
2. Сделать пакет стикеров публичным

Публичный пакет становится доступен всем пользователям сервера — они могут найти его в каталоге стикеров сервера и добавить себе.

Требования к стикерам

Формат файла: PNG с прозрачным фоном
Максимальный размер: 512 КБ
Размер изображения: должно вписываться в квадрат 512×512 пикселей (одна сторона — 512 пикселей, другая — 512 или меньше)

Удаление пакета стикеров

Чтобы удалить существующие наборы стикеров, нажмите кнопку-корзину.

В этом разделе можно управлять виртуальными фонами для звонков и конференций, которые будут доступны всем пользователям данного сервера.

В этом разделе можно управлять порядком отображения чатов, каналов и ботов в корпоративном каталоге. Этот раздел доступен только для CTS и ECTS.

Чаты, каналы и боты из каталога автоматически отображаются в общем списке чатов у всех пользователей корпоративного сервера. Убрать их для отдельного пользователя нельзя — это можно сделать только централизованно для всех в данном разделе панели администратора.

В этом разделе отображается статистика сервера в следующих категориях:

• пользователи
• чаты
• сообщения
• групповые звонки

Данные статистики хранятся только за последние две недели. Они берутся из встроенного ПО мониторинга Prometheus, где по умолчанию установлен период хранения в 2 недели. Для более длительного хранения данные можно переносить из встроенного Prometheus в иное совместимое хранилище. Обратитесь в поддержку eXpress для получения помощи.

В ролевой модели настраиваются политики безопасности для различных групп пользователей и для текущего сервера. Ролевая модель позволяет:

• заранее предотвратить утечку данных
• упростить процессы выдачи запретов сотрудникам и партнёрам организации
• управлять доступами к функциям приложения по различным атрибутам

Основные настройки

Тумблер Ролевая модель включена позволяет включить или выключить работу ролевой модели на сервере.

Далее отображается список категорий и созданных в их рамках правил. Для каждого правила отображается:

• Название правила
• Описание
• Статус (здесь правило можно активировать или поставить на паузу)
• Свойства правила
• кнопки редактирования, дублирования и удаления

Подход к настройке ролевой модели

Чтобы с настройкой ролевой модели не возникли сложности уже в самом начале, настраивайте её по следующим шагам:

1. Чётко сформулируйте, какое именно действие и каким пользователям требуется запретить с помощью ролевой модели.
2. Создайте, настройте и проверьте группу пользователей. Целевая группа пользователей требуется для большинства правил ролевой модели.
3. Создайте и настройте правило, подходящее для вашей задачи.

Ролевая модель и настройки контура КСПД

Все настройки ролевой модели (и группы пользователей, и правила), в которых фигурирует внешний/внутренний контур, используют значение IP-маски внутреннего контура, указанного в группе Контур в разделе File Service.

При настройке ролевой модели для запретов, связанных с файлами, учитывайте, что одновременно с ними могут действовать правила, настроенные для контура корпоративной системы передачи данных (КСПД):

• если некое действие с файлом запрещено в ролевой модели, но это же действие не запрещено настройкой КСПД — это действие запретит ролевая модель;
• если некое действие с файлом запрещено в КСПД, но это же действие не запрещено в ролевой модели — это действие запретит КСПД.

Таким образом, одновременно включённые запреты контура КСПД и ролевой модели суммируются. Чтобы задействовать контур в ролевой модели, но без контурных запретов КСПД:

1. Включите контур КСПД в разделе File Service, укажите во всех полях настроек значения any и введите список IP/масок для внутреннего контура. Ролевая модель будет использовать указанный внутренний контур.
2. В настройках группы пользователей ролевой модели выберите Внутренний контур, чтобы правила распространялись на пользователей внутри указанного контура КСПД, или Внешний контур, чтобы правила распространялись на пользователей снаружи контура КСПД.
3. Создайте правило ролевой модели, нацеленное на эту группу пользователей.

В будущем планируется настройки контура КСПД полностью перенести в раздел ролевой модели.

Создание правила ролевой модели

Чтобы создать новое правило, нажмите Создать новое правило и настройте его.

Поля для настройки правила

После создания правила не забудьте его активировать.

Назначение запрета, глобальные и локальные правила для чатов

Поля тип участника чата (Выберите пользователей, нахождение которых в чате запрещает действие) и тип чата (Выберите тип чата, для которого настраивается запрет) в группе Назначение запрета можно оставить пустыми — тогда правило применится глобально. При заполнении хотя бы одного из этих полей правило работает локально (становится узконаправленным).

Список полей в назначении запрета зависит от выбранного типа вложения и самого правила.

Глобальное правило для чатов

Работает во всех чатах пользователя. Сервер присылает правило клиенту при входе в приложение и при переподключении к серверу.

Поля признаков, при заполнении которых правило по-прежнему действует глобально:

• Пользователи, чьи вложения попадают под запрет
• Предельно допустимый размер файла (МБ)
• Тип запрещённых расширений (актуально только для документов; изображения и видео не проверяются по типу расширения)

Глобальное правило можно создать без признаков, заполнив только поля Название правила, Группы пользователей, Тип правила и Тип вложения. Это означает, что вложения от любых пользователей, любого размера и с любым расширением попадут под запрет.

• Если не указывать расширение и размер вложений, создаётся запрет на действие для выбранного типа вложения со всеми его расширениями и размерами (например, запрет на отправку любых документов в чат)
• Если не указывать тип чата (Выберите тип чата, для которого настраивается запрет) или тип участника чата (Выберите пользователей, нахождение которых в чате запрещает действие), создаётся запрет на все чаты и каналы пользователя
• Если не указывать отправителя (Выберите пользователей, чьи вложения попадают под запрет), создаётся запрет на вложение, полученное от любого пользователя

По умолчанию, если поле признака не заполнено, этот признак имеет значение «все».

Локальное правило для чатов

Работает в определённых чатах пользователя по указанным признакам. Сервер присылает правило клиенту при входе в конкретный чат, канал или обсуждение.

Правило становится локальным при заполнении этих полей:

• тип участника чата (Выберите пользователей, нахождение которых в чате запрещает действие)
• тип чата (Выберите тип чата, для которого настраивается запрет

При заполнении поля тип участника чата (Выберите пользователей, нахождение которых в чате запрещает действие) или тип чата (Выберите тип чата, для которого настраивается запрет можно указать исключаемые чаты в поле Чаты-исключения. Для глобального правила чаты-исключения не применяются.

Помимо признаков чата в локальном правиле можно заполнять поля размер (Предельно допустимый размер файла (МБ)), расширение (Тип запрещённых расширений) или отправитель (Пользователи, чьи вложения попадают под запрет).

Сочетания признаков

Признаки вложения: отправитель, размер, расширение. Признаки чата: тип участника чата, тип чата.

Если признаки чатов не заданы, правила по признакам вложений применяются глобально. Если признаки чатов заданы, правила применяются только в указанных чатах.

Как сочетаются несколько признаков:

• До версии 3.46 сами по себе признаки самостоятельные и никак не зависят друг от друга, между ними действует логическое правило «ИЛИ».
• Начиная с версии 3.46 признаки сочетаются через «И», тогда запрет сработает только при соблюдении всех назначений одновременно. ⚠️ После обновления до 3.46 произойдет миграция: старые правила с несколькими признаками после миграции распадутся на более мелкие с одним признаком.

Примеры:

• если для типа вложения Документы указали размер = не более 30 МБ, а в поле тип расширения — pdf, pptx, создаётся правило с двумя признаками:
  • запрещено действие со всеми документами более 30 МБ (любого расширения)
  • запрещено действие с файлами расширений pdf и pptx (любого размера)
• при одновременном заполнении Тип участника чата и Тип чата правило применяется:
  • До версии 3.46:
    • в чатах, которые соответствуют значению поля Тип участника чата
    • в чатах, которые соответствуют значению поля Тип чата
  • С версии 3.46 и выше: правило придёт в чат, совпадающий со значением и поля Тип участника чата, и поля Тип чата в правиле
• если для типа вложения Документы указали размер = не более 30 МБ и выбрали тип чата, действие будет запрещено для всех документов больше 30 МБ с любым расширением в чатах выбранного типа

Поскольку правила ролевой модели действуют только на запрет, при настройке нескольких разных запретов для группы пользователей они суммируются и действуют одновременно.

Правила для Smart Apps

Правила ролевой модели можно настроить не только для чатов в мессенджере, но и для Smart Apps. Запреты для Smart Apps распространяются только на действия с вложениями в них. Действия с самим контентом (например, пересылка письма в Email Smart App) нельзя контролировать через ролевую модель.

Настройка правил для Smart Apps

В правиле для Smart Apps можно указать:

• применение ко всем Smart Apps (с возможностью указать исключения)
• применение к конкретным Smart Apps

Вложения в Smart Apps можно ограничить полностью или по размеру/расширению файла. Smart Apps по-разному работают со вложениями в веб-/десктоп-приложении и в мобильном приложении:

• В Smart Apps в веб-/десктоп-приложении при отправке вложений нельзя выбрать их тип — фото и видео отправляются только как фото или видео, их нельзя отправить как документ
• В Smart Apps в мобильных приложениях можно указать тип вложения при отправке. Запреты срабатывают по типу вложения в правиле и выбранному типу при отправке. Например, при запрете на отправку всех документов в мобильном приложении нельзя будет отправить фото или видео как документ

При просмотре/сохранении все вложения в веб-/десктоп-приложении и в мобильном приложении определяются по расширению — скачиваются как фото/видео или как документ. Поэтому запрет на скачивание/сохранение документов действует только на расширения у документов.

Правила для чат-ботов Smart Apps

Правила ролевой модели для Smart Apps также действуют в чатах с их ботами:

• в чате 1 на 1 с ботом Smart App действуют только правила для Smart Apps
• в чате 1 на 1 с обычным ботом (не Smart App) действуют глобальные или локальные правила для чатов
• в групповых чатах и каналах с любым ботом действуют глобальные или локальные правила для чатов

Поиск и проверка правил ролевой модели по пользователю

Для поиска и проверки правил воспользуйтесь полем поиска вверху страницы.

Поиск правила по пользователю, на которого оно действует, выполняется только по HUID пользователя.

Поиск работает по названию (вводится в верхнее поле поиска), типу подключения, платформе и статусу.

Правило «Запрет отправки/пересылки вложений»

Правило «Запрет загрузки/просмотра вложений»

Правило «Запрет возможности переслать/поделиться/сохранить вложения в память устройства»

Правило «Запрет для получателей скачивать вложения от пользователей с cts»

• внутренний контур — пользователь в контуре КСПД с этого же сервера;
• трастовый контур — пользователь в контуре КСПД с трастового сервера.

Отправитель и получатель

• отправитель — это пользователь из группы пользователей, для которой настроено это правило. На вложения, которые отправит пользователь этой группы, и будет действовать запрет получения
• получатель — это пользователь, который подходит под критерии, указанные в правиле.

Обязательные поля правила

• Выберите ограничение по контуру
• Выберите пользователей, для которых будет запрещено действие

Моментальное действие запрета

Сравнение правил контура и ролевой модели

• при запрете через контур КСПД настройкой поля Кто может читать КСПД-файлы вложение будет доступно получателю при таких условиях — контур выключен, но заполнена IP-маска и пользователь попал в эту сеть;
• при запрете получения через ролевую модель (с ограничением по контуру) вложение будет недоступно получателю при таких условиях.

Правило «Обязательный PIN-код»

Это правило ролевой модели добавляет обязательное требование создать PIN-код для дополнительной защиты приложения. Правило применяется только к iOS, Android и десктоп-приложению.

Когда срабатывает правило

После включения правила:

• пользователь, входящий в приложение, увидит экран для создания обязательного PIN-кода, который нельзя пропустить:
  • на iOS пользователь увидит экран обязательного создания PIN-кода сразу после аутентификации;
  • на Android и в десктоп-приложении — при следующем запуске приложения.
• пользователь, уже вошедший в приложение, увидит экран обязательного создания PIN-кода при перезапуске приложения, повторном подключении к сети на всех платформах, а также после срабатывания постпроверки (при ней повторно запрашиваются правила, и пользователь получает все актуальные для него правила).

Как правило работает в приложениях

При включении этого правила:

• в приложении на iOS и Android исчезает кнопка Отключить PIN-код;
• в десктоп-приложении кнопка Отключить PIN-код остаётся, так как с её помощью выполняется смена PIN-кода, которая остаётся доступной пользователю. После нажатия этой кнопки в десктоп-приложении пользователь сразу переходит на экран создания нового обязательного PIN-кода.

Включение или отключение правила «Обязательный PIN-код» или самой ролевой модели может отобразить или скрыть экран создания PIN-кода не сразу, а только после перезапуска приложения или повторного подключения к сети. Такое поведение чаще встречается на Android, реже на iOS — например, при отключении правила.

❓Связанные вопросы:
• Что делать, если вы забыли PIN-код

Настройка видимости Smart Apps в каталоге Smart Apps

На данный момент это единственное правило, которое настраивается не в разделе Ролевая модель, а в настройках бота или Smart App в разделе «Боты».

Чтобы настроить видимость Smart App в каталоге Smart Apps в приложении:

1. В панели администратора перейдите в раздел «Боты».
2. Нажмите кнопку-карандаш рядом с нужным Smart App.
3. Укажите желаемую Доступность: всем пользователям или конкретным группам пользователей. Если выбраны конкретные группы, Smart App будет отображаться в каталоге только у пользователей из этих групп. В разделе Контакты он останется доступным всем независимо от настроек.
4. Сохраните изменения.

Работа правила на примере

Влияние настроек доступности на примере Calendar SmartApp:

Запрет использования буфера обмена в приложении

Применимо и к мессенджеру, и к Smart Apps. Доступно с версии 3.46.

Если включено:

• Отключает возможность использования буфера обмена устройства, пока открыто приложение: запрещает копирование текста сообщения, вставка текста, копирование текста при просмотре документов и т.д. При этом доступно копирование и вставка в поле сообщения ДО его отправки.
• Кнопки контекстного меню Копировать/Вставить скрыты, при нажатии сочетаний клавиш для копирования/вставки ничего не происходит.

Запрет создания скриншотов

Правило действует во всем приложении, включая SmartApps — нельзя настроить раздельно. Доступно с версии 3.46.

Если включено:

• Отключает возможность создания скриншотов, пока приложение активно (не работает при фокусе на другое окно или приложение).
• Область клиентского приложения не в фокусе становится чёрного цвета.

⚠️ В веб-приложении технически невозможно заблокировать скриншоты, поэтому там этот запрет не работает.

В данном разделе панели администратора создаются группы пользователей, на которых будут распространяться правила ролевой модели.

Создание группы пользователей

Добавление пользователей в группу

Описание полей

В этом разделе собирается информация о выставленных пользователями оценках звонков и конференций. Список можно фильтровать с помощью выпадающих списков, поля выбора даты и поля поиска наверху.

❓Связанные вопросы:
• Пользовательские оценки

Этот раздел доступен только на CTS и ECTS.

Здесь можно просматривать очередь обработки записей звонков и конференций и управлять ею. Очередь можно фильтровать с помощью выпадающего списка статусов и поля поиска наверху.

Свойства записи

На странице записи есть кнопка для повторной отправки записи на транскодирование и информация о начале и готовности записи и о медиапотоках участников.

Этот раздел доступен только для ETS и RTS.

В этом разделе находится список всех SMS с кодами подтверждения, запрошенных и полученных пользователями. Сами коды подтверждения здесь не отображаются. Статусы SMS на RTS уточняйте в поддержке eXpress, а статусы SMS на ETS — в поддержке подключённого SMS-провайдера.

Коды статусов SMS

• delivered — SMS успешно передано от провайдера SMS к мобильному оператору пользователя. Если пользователь не может войти, возможные причины: неверный код, неверный номер телефона или блокировка SMS мобильным оператором. В этом случае пользователю следует обратиться к своему оператору.
• one_number_limit_exceeded — превышен суточный лимит на SMS. На RTS лимит составляет 10 SMS в сутки. На ETS администратор может установить другой лимит (см. раздел SMS > Безопасность на ETS).
• number_is_forbidden — номер телефона внесён в чёрный список провайдера SMS. Необходимо обратиться в поддержку провайдера SMS.
• Если статус waiting отображается долгое время, а затем меняется на failed, возможны массовые проблемы. Необходимо обратиться в поддержку провайдера SMS.
• message is denied — мобильный оператор запретил отправку SMS. Уточните у пользователя, не менял ли он недавно SIM-карту или мобильного оператора. В таких случаях провайдер может блокировать SIM-карту на 24–48 часов. Пользователю следует повторить попытку входа через сутки.

❓Связанные вопросы:
• Ошибка после запроса SMS-кода | SMS-код неверный или не приходит

Настройка подключения администраторов из Active Directory

Этот раздел доступен только для CTS и ECTS.

Синхронизация с AD

При создании группы администраторов, синхронизируемой с AD, в поле LDAP Группа укажите не полный путь, а значение атрибута cn из AD.

В этом разделе можно включить отслеживание пользовательских подключений флажком Отслеживать пользовательские подключения/отключения и настроить отправку информации о событиях аудита в SIEM сторонней информационной системы.

Здесь администратор может включить и настроить глобальный чат на текущем сервере. Глобальный чат, включённый в настройках CTS, будет доступен только пользователям этого CTS, а глобальный чат, включённый в настройках ETS, станет видимым для всех пользователей корпоративных серверов, подключённых к ETS.

Настройка глобального чата

1. Включите глобальный чат сервера, установив флажок Включено, укажите название, аватар и описание. Если это ETS и требуется скрыть федеративный глобальный чат eXpress, снимите флажок RTS global.
2. Нажмите кнопку Сохранить. Глобальный чат появится у пользователей текущего корпоративного сервера или у пользователей всех корпоративных серверов, подключённых к ETS.
3. В разделе Внутренние боты включите Notifications bot: нажмите кнопку-карандаш напротив него и установите флажок Включено.
4. Добавьте Notifications bot в список в подразделе Глобальные боты: выберите Добавить бота в глобальный чат и нажмите кнопку-плюс у Notifications bot.
5. Добавьте пользователя, который должен отправлять сообщения в глобальный чат, в администраторы бота: в разделе Внутренние боты нажмите кнопку-шестерёнку напротив Notifications bot и выберите Добавить администраторов бота.

Отправка сообщения в глобальный чат

Пользователю, назначенному администратором бота, инструкции по отправке сообщений в глобальный чат доступны здесь.

Несколько глобальных чатов

В списке чатов пользователей могут отображаться два глобальных чата: один — с текущего CTS, другой — с RTS или ETS. Первый настраивается в панели администратора CTS, второй — в панели администратора RTS (управляется командой eXpress) или ETS.

В этом разделе можно указать свой хост для пригласительных ссылок на чаты и звонки вместо стандартного, а также настроить минимальный уровень доступа к этому хосту (иначе используется xlnk.ms):

• public (любые пользователи)
• corporate (корпоративные пользователи)
• trusts (пользователи текущего сервера и трастовых серверов).

xlnk.ms

Стандартный хост ссылок xlnk.ms принадлежит eXpress и находится в российском ЦОД.

Гости на текущем сервере

Включите параметр Генерировать ссылки для гостевых пользователей на этот сервер, и гостевые пользователи, получившие новые ссылки, с этого момента будут подключаться не через RTS, а через данный корпоративный сервер.

Подключение механизма push-уведомлений для различных платформ: Android, веб-браузеры, Huawei, iOS. Этот раздел доступен только для ETS и RTS, поскольку эти серверы отвечают за работу с push-уведомлениями.

Подробности по настройке см. в документации для администраторов.

Контур

Эта группа настроек доступна только на CTS или ECTS. Здесь можно настроить, какие IP-адреса считаются внутренним контуром корпоративной сети передачи данных (КСПД), а также определить разрешения на работу с файлами для пользователей внутреннего контура.

Как настроить сети, которые будут считаться контуром КСПД?

Укажите корпоративные сети/IP, считаемые защищённой корпоративной сетью — контуром корпоративной системы передачи данных (КСПД). Запросы от клиентских устройств пользователей будут проверяться на принадлежность к нему в случае такой необходимости.

1. Добавьте IP-адреса подсетей с маской через символ / в список, разделяя значения запятой. Пример: 192.168.0.0/24, 10.129.0.0/16.
   Здесь даже можно указать конкретный внешний IP-адрес от провайдера Интернета через маску /32 — этот внешний IP тоже будет считаться контуром. Рекомендуется это делать только для теста. Пример: 55.66.77.88/32.
   Просмотреть IP-адрес, полученный от Интернет-провайдера, можно на следующих сайтах:

   • 2ip.ru
   • Google — введите запрос «what is my ip».
2. По желанию установите необходимые параметры для чтения и отправки файлов относительно контура. Учтите, что они будут суммироваться с существующими запретами ролевой модели.
3. Установите флажок Включено и нажмите кнопку Сохранить.

Как ролевая модель связана с контуром КСПД?

Обратите внимание: от настроек контура зависит работа ролевой модели.

Параметры контура КСПД

• КСПД-пользователи могут отправлять — определяет, кому пользователь КСПД может отправлять файлы:
  • any — любому пользователю федерации независимо от сервера, на котором он находится. Открыть файл сможет только пользователь КСПД. Возможна отправка файлов в открытые чаты, каналы и чаты с отключённым сквозным шифрованием.
  • corporate — пользователю корпоративного сервера любой организации (кроме RTS). Открыть файл сможет только пользователь КСПД. Возможна отправка файлов в открытые чаты, каналы и чаты с отключённым сквозным шифрованием.
  • trust — пользователю сервера, с которым установлено доверенное соединение. Открыть файл сможет только пользователь КСПД. Невозможно отправлять файлы в открытые чаты, каналы и чаты с отключённым сквозным шифрованием.
  • local — пользователю того же сервера, что и отправитель. Открыть файл сможет только пользователь КСПД. Невозможно отправлять файлы в открытые чаты, каналы и чаты с отключённым сквозным шифрованием.
• КСПД-пользователи могут читать — определяет, от кого пользователь КСПД может получать и открывать файлы:
  • any — от любого пользователя независимо от сервера. Контур отправителя и получателя не влияет на доступ к файлам.
  • corporate — от пользователя корпоративного сервера. Контур отправителя и получателя не влияет на доступ к файлам.
  • trust — от пользователя сервера, с которым установлено доверенное соединение.
  • local — от пользователя того же сервера, что и получатель.
  • contour — от пользователя того же контура, что и получатель.
• Кто может читать КСПД-файлы — определяет, кто может просматривать файлы, отправленные из КСПД:
  • any — любой пользователь с любого сервера. Контур отправителя и получателя не влияет на доступ к файлам.
  • corporate — корпоративный пользователь от отправителя с корпоративного сервера. Контур отправителя и получателя не влияет на доступ к файлам.
  • trust — пользователь корпоративного сервера, соединённого доверенным соединением с сервером отправителя. Контур отправителя и получателя не влияет на доступ к файлам.
  • local — пользователь того же корпоративного сервера, что и отправитель. Контур отправителя и получателя не влияет на доступ к файлам.
  • contour — пользователь КСПД того же контура, что и отправитель.

Контур КСПД и сквозное шифрование

При выборе параметров Trust или Local пользователи внутри КСПД не могут отправлять файлы в открытые чаты и чаты с отключённым сквозным шифрованием. При выборе Any или Corporate отправка возможна (начиная с версии серверного ПО 2.9).

File Service Retention

Этот раздел позволяет настроить автоматическое удаление определённых типов файлов с сервера через указанное количество дней.

Файлы, отправленные с другого сервера

Обратите внимание, что функция File Retention, активированная на сервере, применяется также к файлам, отправленным пользователями с других серверов. Это связано с тем, что чаты и файлы загружаются оттуда на текущий сервер, где спустя указанное время подействует автоматическое удаление.

Проксирование

Настройки проксирования при отдаче статики для публичных клиентов: возможность скачивания файла через File Service вместо ссылки с редиректом на S3.

Этот раздел и его подразделы доступны только для CTS и ECTS. Нажмите Сохранить, чтобы применить изменения.

Регистрация без номера телефона

• Разрешена регистрация без номера телефона. Глобальный параметр на сервере, определяющий, может ли пользователь входить без номера телефона: через корпоративную почту или адрес корпоративного сервера.
• Отображать предупреждение о скором запрете регистрации. Если параметр включён, пользователи клиентских приложений получат уведомление о том, что вскоре станет обязательной регистрация с использованием номера телефона: Добавьте номер телефона. Администратор запретил вход без номера телефона. Добавьте номер, чтобы продолжить пользоваться приложением.

Внимание! Если вы, как администратор, планируете запретить вход без номера телефона, обязательно включите предупреждение, чтобы пользователи успели добавить номера телефонов и не столкнулись с ошибками при входе. В противном случае снимите этот флажок.

Кроме того, в сборках брендированного ETS-приложения некоторые кнопки способов входа могут быть отключены.

• Разрешить пропуск двухфакторной аутентификации в пределах контура. Если параметр включён, пользователи с номером телефона могут не подтверждать вход через SMS-код при подключении изнутри контура КСПД, если ранее они входили без номера, но у них был обнаружен номер.

Управление контактами пользователя

• Разрешено добавлять номер телефона. Пользователи сервера могут привязывать номер мобильного телефона к аккаунту для аутентификации и для возможности поиска их по номеру в контактах.
• Разрешено изменять номер телефона. Пользователи сервера могут изменять привязанный номер телефона.
• Разрешено удалять номер телефона. Пользователи сервера могут удалять привязанный номер телефона.

Методы регистрации

Выберите метод регистрации и аутентификации на корпоративном сервере: E-mail, NTLM (Active Directory) или OpenID (KeyCloak). Можно выбрать только один метод.

E-mail

Аутентификация выполняется с помощью кода, отправляемого на привязанную почту.

NTLM

Аутентификация выполняется с помощью логина и пароля AD. Данные о пользователях синхронизируются с AD. Синхронизация выполняется по длинному и короткому циклам.

Полная синхронизация выполняется каждые 3 часа, а также по расписанию, указанному в поле Расписание полной синхронизации (в формате cron). В ходе синхронизации добавляются новые пользователи, обновляется адресная книга на основе изменений в AD, а также отключаются пользователи, исключённые из фильтра синхронизации.

Короткая синхронизация — каждые 15 минут. В ней проверяется состояние учётной записи в AD (отключённая учётная запись, блокировка, истёкший пароль, истёкший срок действия учётной записи, изменение пароля).

При необходимости синхронизацию можно запустить вручную с помощью кнопки Синхронизировать.

OpenID

Механизм аутентификации с помощью учётной записи из Keycloak. Например, пользователи, у которых нет учётной записи в AD или корпоративной почты, могут войти с использованием специального токена.

Доступность методов аутентификации

• Аутентификация по коду из электронной почты доступна для учётных записей, добавленных из AD, а также для созданных вручную в панели администратора.
• Аутентификация по логину и паролю AD доступна только для учётных записей, добавленных из AD, если выбран метод NTLM.
• Аутентификация через OpenID доступна только для учётных записей, добавленных из OpenID, если выбран метод OpenID.

Как узнать текущий метод аутентификации

Текущий метод аутентификации корпоративного сервера можно проверить не только в панели администратора, но также введя в браузере ссылку: https://FQDN_сервера/api/v2/ad_integration/register_methods. В ответе будет указано: "register_methods":["текущий_тип_аутентификации"]}.

Настройки синхронизации

• Источники синхронизации. Выбор корпоративной системы, из которой синхронизируются учётные записи пользователей.
• Расписание полной синхронизации. Настройка времени синхронизации в формате Cron.
  Минимальный интервал — 1 час (0 * * * *). Это дополнительное расписание синхронизации, помимо стандартного (каждые 3 часа).
• Кнопка Синхронизировать. Запускает принудительную синхронизацию пользователей с подключённой корпоративной системой.

В этом разделе настраивается синхронизация приложения с Active Directory.

Параметры подключения

Укажите FQDN или IP-адрес контроллера домена, порт для подключения и домен Active Directory.

Политики завершения сеансов

• Количество неправильных попыток ввода, до блокировки и Таймаут блокировки, при вводе неправильного пароля (в секундах) — защита от перебора паролей. Рекомендуется устанавливать на 1 попытку меньше, чем в политиках AD.
• Logoff by disabled — автоматический выход из сессий при отключении учётной записи в AD
• Logoff by lockout — автоматический выход из сессий при блокировке учётной записи в AD
• Logoff by account expired — автоматический выход из сессий при истечении срока действия учётной записи в AD
• Logoff by password expired — автоматический выход из сессий при истечении срока действия пароля в AD
• Автологаут при исключении из выборки синхронизации с AD — отправка запроса на логаут при исключении пользователя из фильтра синхронизации AD с приложением.

  Система только инициирует запрос на логаут — окончательное подтверждение в разделе «Запросы на логаут» остаётся за администратором.

• Logoff by password change — автоматический выход из сессий после смены пароля в AD
• User Account Disabled (AD LDS) — автоматический выход из сессий и отправка запроса на логаут при блокировке учётной записи в AD
• Предзаполнять учетные данные по найденному email (появилось в версии 3.39) — заполнять поля логина и домена, если было найдено сопоставление упрощённой аутентификации.

Метод авторизации

Выберите между упрощённым (сопоставление по домену email) и полным методом проверки подлинности.

Сопоставление атрибутов

Определите, какие атрибуты пользователей из AD будут использоваться в профилях мессенджера.

Для корректной работы соблюдайте регистр атрибутов, идентичный LDAP-записям.

Управление настройками

• Установить настройки по умолчанию — сброс к стандартным значениям.
• Удалить — отключает синхронизацию (не влияет на существующих пользователей).
• Сохранить — применяет настройки.

Устранение проблем с синхронизацией

Если учётная запись из AD не отображается в разделе Пользователи панели администратора:

1. Дождитесь синхронизации или принудительно выполните её.
2. Проверьте в AD: статус учётной записи, срок действия пароля и другие ограничения.
3. Выполните тестовый LDAP-запрос (например, ldapsearch) для проверки фильтра синхронизации.

Настройки e-mail

Маска e-mail

Настройка фильтра адресов электронной почты для саморегистрации пользователей. Система использует регулярные выражения.

• Для указания нескольких доменов используйте маску: ^[\w-\.]+@(domain1.ru|domain2.ru)$
• При активации функции пользователи смогут регистрироваться автоматически, даже без предварительного создания учётной записи на сервере
• Для отключения функции оставьте поле пустым

⚠️ Внимание! При саморегистрации с адресом e-mail, для которого уже существует учётная запись, будет создан дубликат учётной записи. Пользователи создаются с email в имени — имя необходимо будет отредактировать вручную в разделе «Пользователи».

Максимальное количество попыток ввода пароля

Ограничение на число попыток ввода одноразового кода. При превышении числа неудачных попыток потребуется запросить новый код.

Максимальное количество попыток отправки кода по e-mail перед блокировкой

Ограничение на число запросов одноразовых кодов с одного IP-адреса. При превышении лимита дальнейшие запросы будут доступны через время, указанное ниже.

⚠️ Если для подключения множества пользователей используется один внешний IP-адрес, рекомендуется добавить его в белый список ниже.

Время до разблокировки, в секундах

Настройка времени, через которое блокировка снимется автоматически.

Разблокировать IP адрес

Снятие блокировки на отправку почтовых кодов с IP-адреса.

Белый список IP-адресов

Добавление IP-адресов в исключения блокировки.

В этом разделе настраивается синхронизация с OpenID (Keycloak/Blitz). Подробные инструкции см. в документации для администраторов.

Провайдер OpenID

• Keycloak версии ниже 17;
• Keycloak версии 17 и выше;
• Blitz.

Параметры подключения

Укажите хост, порт, идентификаторы и другие параметры подключения OpenID.

В поле Предзаполнение логина OpenID можно выбрать, будет ли поле логина в формах Keycloak автоматически заполняться номером телефона или email пользователя.

Политики завершения сессий и логаута

Настройте условия автоматического завершения сеансов пользователей и отправки запросов на логаут:

• Запрос на логаут при блокировке пользователя — автоматическое закрытие сессий и отправка запроса на логаут при блокировке учётной записи в OpenID;
• Запрос на логаут при отсутствии роли OpenID — автоматическое закрытие сессий и отправка запроса на логаут при удалении роли у учётной записи в OpenID.
• Удалять профили пользователей при подтверждении логаута — автоматическое удаление учётных записей, синхронизированных из OpenID, с корпоративного сервера после подтверждения логаута.

Метод авторизации устройства

Выбор метода для авторизации по QR-коду.

Сопоставление атрибутов

Определите, какие атрибуты пользователей из OpenID будут использоваться в профилях мессенджера.

В этом разделе настраивается, кто сможет видеть корпоративные поля пользователей. Доступен только для CTS и ECTS.

Поле Публичное имя скрыть нельзя, но в разделе Active Directory можно настроить, какой атрибут AD будет загружаться в это поле.

Видимость полей корпоративного профиля настраивается индивидуально для определённых групп пользователей:

• никому;
• любым пользователям;
• только корпоративным пользователям;
• только пользователям доверенных серверов;
• только пользователям вашего корпоративного сервера.

В этом разделе настраивается отправка сообщений с кодом подтверждения по электронной почте.

Укажите следующие данные:

• имя приложения;
• адрес отправителя;
• данные для аутентификации на почтовом сервере отправки;
• защита соединения;
• отправлять письма с текущими настройками или с настройками на RTS.

Рядом есть поле для тестирования отправки сообщения.

В этом разделе можно настроить письмо с инструкциями по началу работы, которое отправляется пользователям по электронной почте. К письму можно прикреплять изображения (с помощью специальной кнопки, а не через буфер обмена).

Чтобы автоматически отправлять инструкции новым пользователям, установите флажок Отправлять новым пользователям. Письмо будет отправлено при создании учётной записи на сервере.

Чтобы отправить инструкции незарегистрированным пользователям, нажмите кнопку Отправить всем незарегистрированным. Письмо получит каждый, у кого есть корпоративная учётная запись на сервере, но кто ещё не выполнил вход.

Рядом расположено поле для тестовой отправки сообщения.

В этом подразделе настраивается письмо, отправляемое пользователям, корпоративная учётная запись которых была заблокирована в AD.

Рядом есть поле для тестирования отправки сообщения.

В этом разделе настраиваются звонки, конференции в приложении и интеграции со сторонними системами: Vinteo, SIP-телефония. Подробные инструкции по настройке доступны в документации для администраторов.

Janus инстансы и Janus load

Настройка возможности использования нескольких серверов Janus.

VoEx

Настройка звонков и конференций в приложении.

• Разрешить демонстрацию экрана наружу из закрытого контура — позволяет участникам вне корпоративной сети передачи данных (КСПД) просматривать демонстрацию экрана. Если флажок снят, демонстрацию увидят только пользователи внутри КСПД. Принадлежность пользователя к серверу здесь не определяется, важен именно сетевой контур.
• TURN Server, STUN Server — серверы (и порты для подключения), обеспечивающие прохождение голосового трафика клиентских приложений за NAT/PAT.
• Локальная сеть VoEx — настройка локальной сети для сервиса VoEx.
• Использовать только relay ICE-кандидаты — приложение будет использовать только TURN-сервер для обхода NAT, даже если возможно прямое соединение (p2p). Повышает надёжность соединения.
• Разрешить использование TCP ICE — позволяет использовать TCP вместо UDP в рамках протокола ICE. Полезно в средах, где UDP заблокирован.
• Включить возможность записывать звонки — управляет доступом к записи звонков и конференций для всех пользователей сервера.

Срок хранения обработанных записей (в днях) настраивается в разделе File Service. Для настройки срока хранения необработанных записей используйте специальный флаг в конфигурационном файле. Подробности уточняйте в поддержке eXpress.

• Включить возможность расшифровки звонков — управляет доступом к преобразованию речи в текст для всех пользователей сервера (пока не работает, ожидается поддержка функции в клиентах).
• Режим записи — будет ли в записях только аудио, аудио с демонстрацией экрана или и аудио, и демонстрация экрана, и видео.

Централизованное управление качеством медиа в звонках

• Управлять качеством звука, видео и трансляции на клиентах с сервера — включает управление настройками качества с сервера.
• Разрешить пользователям самостоятельно управлять качеством медиа — пользователи смогут переопределить настройки, пришедшие с сервера.
• Качество входящего/исходящего видео — настройка качества входного/выходного видеопотока с камеры и при трансляции экрана.
• Качество аудио — управление качеством передаваемого звука.
• h264 кодек для экономии ресурсов процессора — включение оптимального кодека для слабых компьютеров (качество трансляции экрана будет ниже).

Пользовательские оценки

• Включить логирование звонков — запись серверных логов всех звонков и конференций.
• Всегда спрашивать, если в звонке получена ошибка — автоматический запрос обратной связи при ошибках в звонке. Логи и отзыв отправляются на сервер и доступны в архиве серверных логов.
• Частота оценки качества звонка — периодичность автоматического запроса обратной связи у пользователей (в количестве звонков).
• Хранение пользовательских логов — срок хранения логов (в месяцах), загруженных из клиентских приложений.

❓Связанные вопросы:
• Оценки звонков
• Звонки
• Конференции

Интеграции со сторонними системами

В группах Настройки ссылок, Vinteo и SIP настраиваются интеграции со сторонними звонковыми системами. См. документацию для администраторов.

Предпочтительный номер телефона (SIP)

Обратите внимание: выбранное в этом меню поле будет скрыто для пользователей, если интеграция с SIP выключена.

Настройки сервера

В этой группе доступны следующие настройки:

• Аватар и фоны. Можно загрузить аватар сервера (отображается в клиентском приложении в разделе Настройки > О программе) и фоновые изображения для чатов (обои), отображаемые пользователям сервера в светлой и тёмной темах.
  Размер обоев не должен превышать 50 КБ, а изображение должно быть квадратным (600×600 пикселей).
• Скрыть имя сервера. Если включено, название и адрес сервера не отображаются для внешних пользователей. Для своего и доверенного (трастового) сервера имя сервера всегда видно. В карточке пользователя внешние пользователи увидят Corporate server вместо адреса.

Server Features

Настройте функции, доступные на сервере:

• Показывать корпоративный каталог пользователей. Включает отображение всех пользователей CTS в списке контактов.
  ⚠️ Для организаций с численностью более 500 пользователей не рекомендуется (риск снижения производительности на мобильных устройствах).
  

  Чтобы изменения этой настройки применились на устройствах пользователей, также потребуется включить и выключить Disable corporate phonebook, сохраняя изменения каждый раз, и перезапустить клиентские приложения.

• Corporate search. Поиск контактов по текущему корпоративному серверу, в том числе с учётом дополнительных пользовательских полей (должность, отдел и т.д.).
• Trust search. Поиск контактов по трастовым серверам (требует разрешения на трастовый поиск со стороны трастового сервера).
• Сквозное шифрование включено по умолчанию в групповых чатах. Определяет, будет ли сквозное шифрование по умолчанию включено при создании группового чата.
• Сквозное шифрование включено по умолчанию в каналах. Определяет, будет ли сквозное шифрование по умолчанию включено при создании канала.
• Disable corporate phonebook. Полностью отключает сервис корпоративной контактной книги (phonebook) и любой вид поиска контактов. При включении блокирует загрузку контактов и поиск, независимо от других настроек.
• Разрешить пользователю изменять аватар. Пользователи смогут загружать новые аватары при редактировании корпоративного профиля. Требуется серверное ПО и клиенты версии 3.33 и выше. Если отключить, пользовательские аватары заменятся на те, что установлены администратором вручную или синхронизированы из корпоративного каталога.
• Модерация запросов на изменение профилей. Запросы на изменение аватара будут требовать подтверждения администратора в разделе «Список запросов на изменения» (CTS/eCTS). Требуется серверное ПО и клиенты версии 3.33 и выше.

Как настраивать контакты и поиск

❓Связанные вопросы:
• Вывод всех корпоративных контактов в списке
• Аватар, имя и прочие данные профиля
• Список запросов на изменения (CTS/eCTS)

Уведомление при авторизации

Настройте текст пользовательского соглашения, которое отображается перед входом на сервер. Формат файла — HTML (кодировка UTF-8, размер не более 1,5 МБ; скрипты не поддерживаются; стили и классы пока не поддерживаются).

Уведомление о технических работах

Если включено или при ошибке 502 в ответе на запрос к settings со стороне клиента, пользователи увидят сообщение «Ведутся технические работы, возможны перебои в работе приложения» в настройках.

Уведомление об обновлении

Если версия клиентского приложения отстаёт от серверного ПО на указанное число минорных версий (x.X.x), пользователь получит уведомление с предложением обновиться. Это дополнительный механизм (не влияет на автоматическое обновление через магазины приложений или поиск обновлений в веб-/десктоп-приложении).

Чтобы включить:

1. Установите флажок Уведомлять об имеющемся обновлении и укажите допустимое отставание версий клиентских приложений от серверного ПО.
2. Для принуждения к обновлению включите Блокировать интерфейс приложения до обновления (доступно с версии серверного ПО 3.32).
3. Выберите клиентские платформы, на которых будет работать функция.

Функция работает для десктоп-приложений только с поддержкой функции автоматических обновлений.

RTS ID, ETS ID, CTS ID

Отображает идентификатор RTS (ETS), связанный с сервером, а также собственный идентификатор сервера.

Сертификаты

Загрузка сертификатов на сервер. Подробности есть в документации для администраторов.

Информация об администраторе

Укажите контактные данные администратора — они отобразятся пользователю при обращении в поддержку или возникновении ошибки.

Предупреждение при клике на ссылку

Здесь можно настроить отображение предупреждения при переходе по ссылкам. Функция доступна с версии 3.42.

Пересылка сообщений в режиме конфиденциальности

Появилось в версии 3.44. Когда Разрешить пользователям настраивать пересылку в режиме конфиденциальности включено, у пользователей режима конфиденциальности появится настройка, позволяющая пересылать сообщения из чата с включённым режимом конфиденциальности в другие чаты.

Версии сервисов

Отображает версии контейнеров сервисов корпоративного сервера.

Контакты для обращения в поддержку

Здесь настраивается отображение контактов для связи пользователей с поддержкой по телефону, через эл. почту, чат Telegram или чат WhatsApp.

Если установлен флажок Отображать контакты поддержки eXpress, пользователи увидят данные поддержки со стороны eXpress, и загрузить свой файл FAQ будет нельзя.

Файл помощи (FAQ)

Здесь можно загрузить файл с подсказками для пользователей или с ответами на часто задаваемые вопросы (на русском и английском языках). Формат файла — HTML (кодировка UTF-8, размер не более 1,5 МБ; скрипты не поддерживаются; стили и классы пока не поддерживаются).

Отображение контактов поддержки и FAQ в клиентах

Пользователи смогут просмотреть контакты поддержки и FAQ:

• Во время входа в приложение — синяя кнопка с вопросительным знаком в правом нижнем углу.
• После входа в приложение в разделе Настройки > Связаться с поддержкой.

При нажатии на кнопку пользователь увидит FAQ, а под ним — кнопку, отображающую контакты поддержки.

Откуда скачиваются контакты поддержки и FAQ в клиент

На странице ввода кода из SMS пользователь увидит FAQ, который был загружен на RTS или ETS. На следующем этапе, уже после ввода кода SMS, пользователь увидит FAQ, добавленный на CTS или ECTS.

В этом разделе можно:

• выбрать, какой Smart App будет главной страницей и станет отображаться при запуске клиентского приложения;
• включить каталог и выбрать Smart App, используемый в качестве каталога, и Smart App — стандартный почтовый клиент;
• настроить хосты прокси для Smart Apps, если в Smart Apps будет использоваться файл, находящийся внутри корпоративной сети передачи данных (КСПД).

Подробное описание настроек есть в документации для администраторов.

В этих двух подразделах можно настроить отображаемые кнопки:

• нижнего меню в мобильных приложениях;
• бокового меню в веб-/десктоп-приложении.

Максимальное время жизни активаций

Эта настройка позволяет автоматически завершать сессии неактивных пользователей в различных клиентах. Значения в секундах, минимальное значение 900 секунд. Для веб-приложения по умолчанию указана неделя. Для снятия ограничений очистите поле.

Отчёт об активациях

На CTS есть кнопка Скачать отчёт по активациям в формате .CSV, позволяющая получить сведения об активациях пользователей.

Запрещённые платформы

Выберите клиентские платформы, на которых приложение не должно работать. Эта функция появилась в версии 3.42.

В этом разделе:

• выбирается провайдер, через которого выполняется отправка SMS с кодами подтверждения;
• можно поменять сопроводительный текст к коду подтверждения.

В этом подразделе указываются данные для интеграции с провайдерами SMS.

Подробное описание настроек см. в документации для администраторов.

В этом подразделе настраивается защита от спама SMS.

• Лимит количества запросов для какого-либо IP-адреса. Настройка максимального количества попыток получить SMS с определённого IP за указанное количество секунд.
• Фильтр по User-Agent. Запрет на запрос SMS из браузеров с указанными User Agent с помощью регулярного выражения.
• Фильтр по DEF-коду. Запрет на запрос SMS для номеров определённых стран и для определённых DEF-кодов.
• Фильтр по номеру телефона. Запрет на запрос SMS для телефонных номеров, определяемых регулярным выражением.
• Лимит максимального количества запросов на какой-либо телефонный номер. Если владелец номера превысит указанное число попыток получить SMS, эта возможность заблокируется для него на сутки.
• Разблокировать пользователя. Введите в это поле номер мобильного телефона (без символа плюса, со строгим указанием кода страны, без пробелов и дефисов) или IP-адрес пользователя и нажмите Разблокировать, чтобы снять сработавшую блокировку на получение SMS.

В этом подразделе можно включить дополнительную защиту от спама SMS с помощью Capcha. Если установлен флажок Невидимая капча, подтверждение будет запрашиваться только при обнаружении подозрительной активности. Подробности по настройке есть в документации для администраторов.

Yandex Captcha

Пока это единственный поддерживаемый провайдер Captcha.

⚠️ Для работы Yandex Captcha, чтобы пользователи могли использовать вход по номеру телефона, на клиентских устройствах должен быть открыт доступ до следующих ресурсов по порту 443:

В этом разделе настраивается упрощённая аутентификация по email (саджесты). С помощью этой функции можно сопоставить домены электронной почты с URL-адресами серверов (хостами) для упрощения входа пользователей — им не нужно будет вводить адрес сервера вручную. Здесь можно просмотреть и отредактировать существующие сопоставления.

Чтобы изменить название сопоставляемого сервера, перейдите в раздел Серверы > на вкладке CTS нажмите кнопку-карандаш у нужного сервера > введите название в поле Имя.

Создание шаблона упрощённой аутентификации

Нажмите кнопку Создать. В качестве шаблона укажите:

• Домен (без символа @) — всем пользователям с этим доменом будет предлагаться сервер
• Полный email-адрес — только пользователю с этим адресом email предложится сервер

Затем выберите сервер, который должен предлагаться в шаблоне.

Можно создать несколько шаблонов, ведущих на один CTS. Несколько доменов в одном шаблоне указать нельзя.