Identity & Access
Opstella รวมศูนย์การยืนยันตัวตนของทั้งแพลตฟอร์มด้วย Single Sign-On ที่ขับเคลื่อนโดย Keycloak บัญชีเดียว บริหารจากที่เดียว ใช้เข้าสู่พอร์ทัล Opstella และทุกเครื่องมือที่ผสานไว้ — GitLab, Grafana, ArgoCD, Harbor, SonarQube และอื่น ๆ — โดยการควบคุมการเข้าถึงตามบทบาท (RBAC) เป็นตัวกำหนดว่าแต่ละคนเห็นและทำอะไรได้บ้าง
สร้างบน Keycloak
Opstella จัดเตรียม deploy และดูแล Keycloak ในฐานะ Identity Provider ของแพลตฟอร์ม ผสานกับเครื่องมือ DevSecOps ทุกตัวผ่าน OpenID Connect — การยืนยันตัวตนและการกำหนดสิทธิ์จึงทำงานสม่ำเสมอทั่วทั้งแพลตฟอร์มตั้งแต่วันแรก
ความสามารถหลัก
Single Sign-On ครอบคลุมทุกเครื่องมือ
ผู้ใช้ยืนยันตัวตน ครั้งเดียว แล้วใช้งานข้ามพอร์ทัล Opstella และทุกเครื่องมือโดยไม่ต้องกรอกรหัสผ่านซ้ำ Session ถูกบริหารรวมศูนย์: การ Sign Out, การปิดบัญชี หรือการเพิกถอน Session มีผลทุกระบบพร้อมกัน — ไม่มีบัญชีรายเครื่องมือหลงเหลือเมื่อมีคนเปลี่ยนบทบาทหรือพ้นหน้าที่
บริหารผู้ใช้ผ่านหน้าเว็บ
ผู้ดูแลระบบ สร้าง แก้ไข และลบบัญชีผู้ใช้ได้ทั้งหมดผ่านหน้าเว็บ โดยกำหนดข้อมูลอย่างน้อยคือ Username และ Password ของแต่ละผู้ใช้ นโยบายรหัสผ่าน — ความยาว ความซับซ้อน อายุ และการห้ามใช้ซ้ำ — ถูกบังคับใช้จากส่วนกลาง และกำหนดให้บทบาทสำคัญต้องใช้รหัสผ่านครั้งเดียว (OTP) เพิ่มได้
การควบคุมการเข้าถึงตามบทบาท (RBAC)
สิทธิ์เป็นไปตาม บทบาท ไม่ใช่ตัวบุคคล Opstella มีระดับบทบาทตั้งแต่ผู้ดูแลระบบเต็มรูปแบบจนถึงผู้ใช้แบบอ่านอย่างเดียว (ดู Role and Permissions) แต่ละบทบาทผูกกับสิทธิ์ที่เจาะจงข้าม Platform, Service, Environment และเครื่องมือ — นักพัฒนา deploy ไป Non-Production ได้ ขณะที่เฉพาะทีมปฏิบัติการเท่านั้นที่แตะ Production
บันทึกเหตุการณ์การเข้าสู่ระบบ
ทุกเหตุการณ์การยืนยันตัวตนถูกบันทึก: วันเวลาที่ Sign In และ Sign Out, หมายเลข IP Address ของผู้ใช้ และ Browser หรือ Client ที่ใช้เข้าระบบ — รวมถึงการ Login ที่ล้มเหลว การเปลี่ยนรหัสผ่าน และการกระทำของผู้ดูแลระบบต่อบัญชี เหตุการณ์เหล่านี้ดูและค้นหาได้ในหน้าคอนโซลผู้ดูแลระบบ ส่งออกได้ และส่งต่อเข้าสู่ระบบ Logging รวมศูนย์ของแพลตฟอร์มเพื่อเก็บระยะยาวแบบตรวจสอบได้ (ดู Observability)
เชื่อมต่อ Directory ขององค์กร
ตัวตนที่องค์กรมีอยู่เชื่อมเข้าผ่าน LDAP / Active Directory Federation หรือ SAML ผู้ใช้จึงใช้บัญชีองค์กรเดิมได้ ขณะที่ Opstella บังคับใช้บทบาทของแพลตฟอร์ม — การรับพนักงานใหม่เข้าทีมกลายเป็นการกำหนดกลุ่มใน Directory ครั้งเดียว แทนการขอบัญชีทีละเครื่องมือ
มาตรฐานและการปฏิบัติตามข้อกำหนด
| ด้านข้อกำหนด | Opstella Identity & Access ตอบโจทย์อย่างไร |
|---|---|
| บริหารผู้ใช้ | สร้าง แก้ไข ลบผู้ใช้ผ่าน Web UI; กำหนดอย่างน้อย Username/Password |
| การควบคุมการเข้าถึง | RBAC ที่มีระดับบทบาทผู้ดูแลระบบ (Administrator) และผู้ใช้งาน (User) ครอบคลุมทุกเครื่องมือ |
| มาตรฐานการยืนยันตัวตน | OpenID Connect และ SAML 2.0; รองรับ OTP; นโยบายรหัสผ่านจากส่วนกลาง |
| Audit การเข้าระบบ | บันทึกวันเวลา Sign In/Out, IP Address และ Browser ทุกเหตุการณ์; ค้นหาและส่งออกได้ |
| การจัดการ Session | เพิกถอน Session จากส่วนกลาง; การเปลี่ยนแปลงบัญชีมีผลทั้งแพลตฟอร์มทันที |
| Federation | เชื่อม LDAP / Active Directory และ SAML กับ Directory ที่องค์กรมีอยู่ |
INFO
โมเดลบทบาท นโยบายรหัสผ่าน และระยะเวลาเก็บเหตุการณ์ ตั้งค่าได้ตอนติดตั้งให้ตรงกับมาตรฐานความปลอดภัยขององค์กรคุณ