20640: Add computed permissions API.
[arvados.git] / doc / admin / user-management.html.textile.liquid
1 ---
2 layout: default
3 navsection: admin
4 title: User management
5 ...
6
7 {% comment %}
8 Copyright (C) The Arvados Authors. All rights reserved.
9
10 SPDX-License-Identifier: CC-BY-SA-3.0
11 {% endcomment %}
12
13 # "Authentication":#authentication
14 ## "Federated Authentication":#federated_auth
15 # "User activation":#user_activation
16 # "User agreements and self-activation":#user_agreements
17 # "User profile":#user_profile
18 # "User visibility":#user_visibility
19 # "Pre-setup user by email address":#pre-activated
20 # "Pre-activate federated user":#pre-activated-fed
21 # "Auto-setup federated users from trusted clusters":#auto_setup_federated
22 # "Activation flows":#activation_flows
23 ## "Private instance":#activation_flow_private
24 ## "Federated instance":#federated
25 ## "Open instance":#activation_flow_open
26 # "Service Accounts":#service_accounts
27
28 {% comment %}
29 TODO: Link to relevant workbench documentation when it gets written
30 {% endcomment %}
31
32 This page describes how user accounts are created, set up and activated.
33
34 h2(#authentication). Authentication
35
36 "Browser login and management of API tokens is described here.":{{site.baseurl}}/api/tokens.html
37
38 After completing the log in and authentication process, the API server receives a user record from the upstream identity provider (Google, LDAP, etc) consisting of the user's name, primary email address, alternate email addresses, and optional unique provider identifier (@identity_url@).
39
40 If a provider identifier is given, the API server searches for a matching user record.
41
42 If a provider identifier is not given, no match is found, it next searches by primary email and then alternate email address.  This enables "provider migration":migrating-providers.html and "pre-activated accounts.":#pre-activated
43
44 If no user account is found, a new user account is created with the information from the identity provider.
45
46 If a user account has been "linked":{{site.baseurl}}/user/topics/link-accounts.html or "migrated":merge-remote-account.html the API server may follow internal redirects (@redirect_to_user_uuid@) to select the linked or migrated user account.
47
48 h3(#federated_auth). Federated Authentication
49
50 A federated user follows a slightly different flow.  The client presents a token issued by the remote cluster.  The local API server contacts the remote cluster to verify the user's identity.  This results in a user object (representing the remote user) being created on the local cluster.  If the user cannot be verified, the token will be rejected.  If the user is inactive on the remote cluster, a user record will be created, but it will also be inactive.
51
52 h2(#user_activation). User activation
53
54 This section describes the different user account states.
55
56 !(side){{site.baseurl}}/images/user-account-states.svg!
57
58 notextile. <div class="spaced-out">
59
60 # A new user record is not set up, and not active.  An inactive user cannot create or update any object, but can read Arvados objects that the user account has permission to read (such as publicly available items readable by the "anonymous" user).
61 # Using Workbench or the "command line":{{site.baseurl}}/admin/user-management-cli.html , the admin invokes @setup@ on the user.  The setup method adds the user to the "All users" group.
62 - If "Users.AutoSetupNewUsers":config.html is true, this happens automatically during user creation, so in that case new users start at step (3).
63 - If "Users.AutoSetupNewUsersWithVmUUID":config.html is set, the user is given login permission to the specified shell node
64 # User is set up, but still not yet active.  The browser presents "user agreements":#user_agreements (if any) and then invokes the user @activate@ method on the user's behalf.
65 # The user @activate@ method checks that all "user agreements":#user_agreements are signed.  If so, or there are no user agreements, the user is activated.
66 # The user is active.  User has normal access to the system.
67 # From steps (1) and (3), an admin user can directly update the @is_active@ flag.  This bypasses enforcement that user agreements are signed.
68 If the user was not yet set up (still in step (1)), it adds the user to the "All users", but bypasses creating default git repository and assigning default VM access.
69 # An existing user can have their access revoked using @unsetup@ and "ownership reassigned":reassign-ownership.html .
70 Unsetup removes the user from the "All users" group and makes them inactive, preventing them from re-activating themselves.
71 "Ownership reassignment":reassign-ownership.html moves any objects or permission from the old user to a new user and deletes any credentials for the old user.
72
73 notextile. </div>
74
75 User management can be performed through the web using Workbench or the command line.  See "user management at the CLI":{{site.baseurl}}/admin/user-management-cli.html for specific examples.
76
77 h2(#user_agreements). User agreements and self-activation
78
79 The @activate@ method of the users controller checks if the user account is part of the "All Users" group and whether the user has "signed" all the user agreements.
80
81 User agreements are accessed through the "user_agreements API":{{site.baseurl}}/api/methods/user_agreements.html .  This returns a list of collection records.
82
83 The user agreements that users are required to sign should be added to the @links@ table this way:
84
85 <pre>
86 $ arv link create --link '{
87   "link_class": "signature",
88   "name": "require",
89   "tail_uuid": "*system user uuid*",
90   "head_uuid: "*collection uuid*"
91 }'
92 </pre>
93
94 The collection should contain a single HTML file with the user agreement text.
95
96 Workbench displays the clickthrough agreements which the user can "sign".
97
98 The @user_agreements/sign@ endpoint creates a Link object:
99
100 <pre>
101 {
102   "link_class": "signature"
103   "name": "click",
104   "tail_uuid": "*user uuid*",
105   "head_uuid: "*collection uuid*"
106 }
107 </pre>
108
109 The @user_agreements/signatures@ endpoint returns the list of Link objects that represent signatures by the current user (created by @sign@).
110
111 h2(#user_profile). User profile
112
113 The fields making up the user profile are described in @Workbench.UserProfileFormFields@ .  See "Configuration reference":config.html .
114
115 The user profile is checked by workbench after checking if user agreements need to be signed.  The values entered are stored in the @properties@ field on the user object.  Unlike user agreements, the requirement to fill out the user profile is not enforced by the API server.
116
117 h2(#user_visibility). User visibility
118
119 Initially, a user is not part of any groups and will not be able to interact with other users on the system.  The admin should determine who the user is permited to interact with and use Workbench or the "command line":group-management.html#add to create and add the user to the appropriate group(s).
120
121 h2(#pre-activated). Pre-setup user by email address
122
123 You may create a user account for a user that has not yet logged in, and identify the user by email address.
124
125 1. As an admin, create a user object:
126
127 <pre>
128 $ arv --format=uuid user create --user '{"email": "foo@example.com", "username": "foo"}'
129 clsr1-tpzed-1234567890abcdf
130 $ arv user setup --uuid clsr1-tpzed-1234567890abcdf
131 </pre>
132
133 2. When the user logs in the first time, the email address will be recognized and the user will be associated with the existing user object.
134
135 h2(#pre-activated-fed). Pre-activate federated user
136
137 1. As admin, create a user object with the @uuid@ of the federated user (this is the user's uuid on their home cluster, called @clsr2@ in this example):
138
139 <pre>
140 $ arv user create --user '{"uuid": "clsr2-tpzed-1234567890abcdf", "email": "foo@example.com", "username": "foo", "is_active": true}'
141 </pre>
142
143 2. When the user logs in, they will be associated with the existing user object.
144
145 h2(#auto_setup_federated). Auto-setup federated users from trusted clusters
146
147 By setting @ActivateUsers: true@ for each federated cluster in @RemoteClusters@, a federated user from one of the listed clusters will be automatically set up and activated on this cluster.  See configuration example in "Federated instance":#federated .
148
149 h2(#activation_flows). Activation flows
150
151 h3(#activation_flow_private). Private instance
152
153 Policy: users must be manually set up by the admin.
154
155 Here is the configuration for this policy.  This is also the default if not provided.
156 (However, be aware that developer/demo builds such as "arvbox":{{site.baseurl}}/install/arvbox.html are configured with the "Open instance" policy described below.)
157
158 <pre>
159 Users:
160   AutoSetupNewUsers: false
161 </pre>
162
163 # User is created.  Not set up.  @is_active@ is false.
164 # Workbench checks @is_invited@ and finds it is false.  User gets "inactive user" page.
165 # Admin goes to user page and clicks "setup user" or sets @is_active@ to true.
166 # On refreshing workbench, the user is able to self-activate after signing clickthrough agreements (if any).
167 # Alternately, directly setting @is_active@ to true also sets up the user, but skips clickthrough agreements (because the user is already active).
168
169 h3(#federated). Federated instance
170
171 Policy: users from other clusters in the federation are activated, users from outside the federation must be manually approved.
172
173 Here is the configuration for this policy and an example remote cluster @clsr2@.
174
175 <pre>
176 Users:
177   AutoSetupNewUsers: false
178 RemoteClusters:
179   clsr2:
180     ActivateUsers: true
181 </pre>
182
183 # Federated user arrives claiming to be from cluster 'clsr2'
184 # API server authenticates user as being from cluster 'clsr2'
185 # Because 'clsr2' has @ActivateUsers@ the user is set up and activated.
186 # User can immediately start using Workbench.
187
188 h3(#activation_flow_open). Open instance
189
190 Policy: anybody who shows up and signs the agreements is activated.
191
192 <pre>
193 Users:
194   AutoSetupNewUsers: true
195 </pre>
196
197 "Set up user agreements":#user_agreements by creating "signature" "require" links as described earlier.
198
199 # User is created and auto-setup.  At this point, @is_active@ is false, but user has been added to "All users" group.
200 # Workbench checks @is_invited@ and finds it is true, because the user is a member of "All users" group.
201 # Workbench presents user with list of user agreements, user reads and clicks "sign" for each one.
202 # Workbench tries to activate user.
203 # User is activated.
204
205 h2(#service_accounts). Service Accounts
206
207 For automation purposes, you can create service accounts that aren't tied to an external authorization system. These kind of accounts don't really differ much from standard user accounts, they just cannot be accessed through a normal login mechanism.
208
209 As an admin, you can create accounts like described in the "user pre-setup section above":#pre-activated and then "activate them by updating its @is_active@ field":{{site.baseurl}}/admin/user-management-cli.html#activate-user.
210
211 Once a service account is created you can "use an admin account to set up a token":{{site.baseurl}}/admin/user-management-cli.html#create-token for it, so that the required automations can authenticate. Note that these tokens support having a limited lifetime by using the @expires_at@ field and also "limited scope":{{site.baseurl}}/admin/scoped-tokens.html, if required by your security policies. You can read more about them at "the API reference page":{{site.baseurl}}/api/methods/api_client_authorizations.html.