Версия: v2 (текущая)

Создание пользователей и ролей на on-prem

TL;DR. На on-prem PanDev Metrics нет публичной регистрации и нет входа через Google. Админ создаёт каждого пользователя вручную (или синхронизирует из LDAP) и отдельно выдаёт роли. В этом гайде — как добавлять сотрудников, выбирать правильную роль и управлять доступом дальше.

Перед началом

Убедитесь, что деплой поднят и первый администратор может войти, прежде чем создавать остальных пользователей.

PanDev Metrics on-prem развёрнут — см. Установку
Первый admin-аккаунт создан — см. Первый вход
Опционально: настроен LDAP / LDAPS, если нужна синхронизация с каталогом — см. Интеграцию с LDAP
У вас роль Owner на тенанте

Способы авторизации

On-prem поддерживает два способа входа сотрудников:

Способ	Когда выбирать	Где хранятся учётные данные
Ручные аккаунты	Нет LDAP, подрядчики, тесты	В PanDev Metrics, задаёт admin
LDAP / LDAPS	Есть корпоративный AD или LDAP	В вашем каталоге, синхронизация при входе

Способы можно смешивать — штат через LDAP, внешних подрядчиков через ручные аккаунты.

Шаг 1 — Откройте раздел сотрудников

Раздел сотрудников — точка входа для любого действия по управлению пользователями на on-prem PanDev Metrics.

Войдите в PanDev Metrics под admin-аккаунтом.
Перейдите в Организация → Сотрудники.

На странице видны все пользователи тенанта: email, роль, департаменты, статус.

Шаг 2 — Создайте пользователя

Заполните базовые поля по сотруднику. Аккаунт создаётся без роли — её выдадим на следующем шаге.

Нажмите Создать сотрудника.
Заполните форму:

Поле	Комментарий
Имя	Имя сотрудника
Фамилия	Фамилия сотрудника
Email	Используется как логин
Должность	Опционально, для HR-отчётности
Новый пароль	Стартовый пароль — передайте сотруднику, он сможет сменить его позже
Подтвердите пароль	Повторите пароль

Нажмите Сохранить.

Аккаунт создаётся без роли — роль выдаётся отдельным действием на следующем шаге. Это by-design: в on-prem назначение роли всегда происходит после создания учётной записи.

Шаг 3 — Выдайте tenant-роль

Откройте профиль нового пользователя и выберите одну роль на уровне тенанта:

Роль	Что даёт
Viewer	Только просмотр дашбордов и аналитики
Maintainer	Редактирование данных, управление интеграциями, операционные задачи
Owner	Полный контроль — настройки, пользователи, интеграции, все данные

Tenant-роли комбинируются с правами на уровне департамента (Department owner, Department maintainer, Department viewer). Один пользователь может быть tenant Maintainer и одновременно Owner в департаменте — это нормальный кейс.

Виртуальное право Finance открывает финансовый раздел: почасовые ставки и payroll-отчёты. Выдавайте его только тем, кто должен видеть зарплаты.

Шаг 4 — Привяжите к департаментам (опционально)

Чтобы ограничить пользователя конкретными департаментами:

Откройте профиль пользователя.
Перейдите в Департаменты.
Добавьте нужные департаменты.
Выберите роль на уровне каждого департамента.

Пользователь без членства в департаментах видит только tenant-уровень дашбордов.

Шаг 5 — Передайте учётные данные

После создания:

Отправьте сотруднику email (логин) и пароль, который вы задали.
Поделитесь URL дашборда.
Этими же данными он авторизуется в IDE-плагине, браузерном расширении и CLI.

Если включён LDAP и пользователь есть в каталоге — он входит со своим корпоративным паролем, отдельно ничего задавать не нужно.

Verify

Сотрудник должен:

Открыть http://<ваш-сервер>:8080 и войти
Увидеть дашборды, соответствующие его роли
Авторизоваться из JetBrains или VS Code плагина теми же email и паролем

Сброс пароля

Используйте этот сценарий, если сотрудник забыл пароль или есть подозрение, что учётка скомпрометирована.

Откройте профиль пользователя в Организация → Сотрудники.
Нажмите Сбросить пароль.
Задайте новый пароль и передайте его сотруднику безопасным каналом.

Для LDAP-пользователей сброс пароля делается в каталоге, а не в PanDev Metrics.

Смена роли

Смена роли применяется сразу — никаких ребилдов и рестартов контейнера.

Откройте профиль пользователя.
Выберите новую роль на уровне тенанта или департамента.
Сохраните.

Изменение роли вступает в силу при следующем запросе пользователя — рестарт не нужен.

Архивация пользователя

PanDev Metrics хранит исторические данные всегда — hard delete не предусмотрен, только архивация. При архивации у пользователя пропадает доступ и он исчезает из активных списков, но его метрики, коммиты и время по задачам остаются в БД и продолжают участвовать в отчётности.

Откройте профиль пользователя.
Нажмите Архивировать (в некоторых местах UI кнопка называется «Удалить» — это всё равно архивация).
Подтвердите.

Восстановить заархивированного сотрудника можно через фильтр Показать архивных в списке сотрудников.

Troubleshooting

Самые частые проблемы с пользователями на on-prem, с которыми сталкиваются админы.

Пользователь вошёл, но дашборд пустой

Не выдана роль. Откройте профиль и назначьте tenant-роль (Viewer / Maintainer / Owner).

LDAP-пользователь не может войти

Проверьте, что base DN покрывает пользователя, что bind-аккаунт имеет права на чтение, и что email пользователя в LDAP совпадает с тем, что он вводит. См. [Интеграцию с LDAP](./ldap-integration).

«Permission denied» при открытии дашборда департамента

У пользователя есть tenant-роль, но нет членства в этом департаменте. Добавьте его в **Департаменты** → **Участники**.

Плагин не пускает ручного пользователя

Сначала проверьте, что пользователь может войти в веб-интерфейс. Плагин использует те же учётные данные. Если веб работает, а плагин нет — проверьте, что в плагине указан server URL вашего on-prem-инстанса, а не cloud-адрес.

FAQ

Частые вопросы админов, которые подключают команду к on-prem PanDev Metrics.

Могут ли пользователи регистрироваться сами на on-prem?

Нет. На on-prem нет публичной регистрации. Admin создаёт каждый аккаунт вручную или синхронизирует через LDAP. Это by-design: on-prem — одно-tenant решение, и заказчик сам контролирует, кто получает доступ.

Почему на on-prem нет входа через Google?

Авторизация через Google — это фича Cloud. On-prem работает в контролируемой сети заказчика и использует либо локальные аккаунты, либо LDAP / LDAPS.

Можно ли пригласить пользователя по email?

Вы задаёте пароль сразу при создании аккаунта и передаёте его сотруднику привычным каналом. Self-serve email-приглашения — это Cloud-сценарий.

Сколько пользователей можно создать?

Лимит задан вашей лицензией. Если команда выросла и нужно расширить — напишите на sales@pandev.io.

Есть ли сервисные аккаунты для CI или скриптов?

Отдельной роли для сервисных аккаунтов нет. Если нужен автоматический клиент, создайте обычного сотрудника с минимально необходимой ролью — он работает точно так же, как любая другая учётная запись.

Что происходит с данными после архивации?

Ничего не удаляется. Коммиты, время по задачам и историческая активность остаются в БД и продолжают участвовать в командной отчётности. Архивация лишь забирает у пользователя возможность войти.

Next steps

Когда пользователи заведены — соберите их в департаменты и подключите внешние системы.

Настроить интеграцию с LDAP — single sign-on для штатных сотрудников
Управление сотрудниками подробно — общий справочник по сотрудникам
Создать департаменты и команды

Сопутствующее чтение для админов on-prem.

Reference: Архитектура
Tutorial: Первый вход

Перед началом​

Способы авторизации​

Шаг 1 — Откройте раздел сотрудников​

Шаг 2 — Создайте пользователя​

Шаг 3 — Выдайте tenant-роль​

Шаг 4 — Привяжите к департаментам (опционально)​

Шаг 5 — Передайте учётные данные​

Verify​

Сброс пароля​

Смена роли​

Архивация пользователя​

Troubleshooting​

FAQ​

Могут ли пользователи регистрироваться сами на on-prem?​

Почему на on-prem нет входа через Google?​

Можно ли пригласить пользователя по email?​

Сколько пользователей можно создать?​

Есть ли сервисные аккаунты для CI или скриптов?​

Что происходит с данными после архивации?​

Next steps​

Related​