Переезд с Пассворка

Функционал импорта базы паролей, доступный во многих парольных менеджерах, лишь частично решает задачу смены поставщика. Следующим этапом идет большая работа по переносу пользователей и перепривязке правильных уровней доступов внутри базы вручную или собственными скриптами, из-за чего переезд может растянуться на многие месяцы.

Данный инструмент предназначен для облегчения процесса переноса всех ключевых данных из Пассворка в BearPass на этапе развертывания и первичной настройки продукта.

Что можно перенести

• данные пользователей (кроме паролей);
• группы;
• структуру папок (с определенными ограничениями, о которых сказано ниже);
• данные папок и паролей;
• права доступа к элементам;
• настройки интеграции с LDAP.

Что не переносится

• данные из приватных сейфов пользователей;
• пароли к учетным записям пользователей (будут установлены временные пароли в BearPass);
• настройки SSO;
• набор прав внутри ролей (их нужно будет установить вручную)

Важно

Текущая версия инструмента работает только с экземплярами Пассворка, использующими стандартное шифрование. Импорт данных из экземпляров с Zero-knowledge шифрованием в данный момент невозможен.

Особенности переноса данных

В Пассворке данные организованы в сейфы — отдельные хранилища (как корпоративные, так и пользовательские). В BearPass используется два основных раздела: «Корпоративное хранилище» (общее дерево папок) и «Персональное хранилище» (отдельное дерево для каждого пользователя).

Как переносятся сейфы из Пассворк:

• Корпоративные сейфы Пассворк переносятся в Корпоративное хранилище BearPass.
• Общие пользовательские сейфы, доступные пользователю, чей API-ключ используется для импорта, также переносятся в Корпоративное хранилище BearPass.
• Приватные пользовательские сейфы не переносятся, так как через API Пассворк они доступны только их владельцам и не могут быть получены администратором.

Внутренняя структура папок и паролей внутри перенесенных сейфов полностью сохраняется.

Обратите внимание

В BearPass все данные, перенесенные в «Корпоративное хранилище», доступны администраторам системы. В Пассворк приватные и общие пользовательские сейфы могут быть скрыты от корпоративных администраторов. Учитывайте это различие при планировании миграции.

Предварительные требования и подготовка

Перед началом импорта убедитесь, что:

1. У вас развернута и функционирует коробочная (on-premise) версия BearPass. Вы должны иметь возможность авторизоваться в ней с системной ролью Администратора.

2. Вы используете для импорта API-ключ пользователя Пассворк, который имеет доступ ко всем корпоративным сейфам и тем общим пользовательским сейфам, которые необходимо перенести.

3. Вы ознакомлены с остальными ограничениями инструмента:

   • Переносятся названия ролей и их привязка к пользователям, но не набор прав внутри них (из-за существенных различий в правах у Пассворка и BearPass). Его нужно будет установить вручную после импорта
   • Настройки SSO не импортируются.
   • После импорта настроек LDAP необходимо вручную обновить пароль сервисной учетной записи в настройках BearPass, так как API Пассворк не позволяет получить текущий пароль.
   • Приватные сейфы пользователей не переносятся.
   • Пользователям, созданным при импорте (локальным), при первом входе потребуется запросить сброс пароля через форму входа.

Процесс импорта

Импорт выполняется через командную строку (CLI) на сервере, где установлен BearPass.

Шаг 1: Генерация API-ключа в Пассворк

1. Авторизуйтесь в вашем экземпляре Пассворк с правами администратора.
2. Перейдите в раздел настройки API.
3. Сгенерируйте новый API-ключ с максимальными правами. Сохраните этот ключ в надежном месте. После закрытия страницы он может стать недоступен для просмотра.

Шаг 2: Запуск команды импорта в BearPass

1. Подключитесь к серверу BearPass по SSH (или иным способом получите доступ к командной строке).
2. Выполните команду:

./bearpass artisan "import:passwork"

3. Программа запросит необходимые данные:

   • Base URL Пассворк: Введите корневой адрес вашего Пассворк (например, https://passwork.company.com). Не добавляйте /api/v4 или другие пути.
   • API ключ: Введите ключ, полученный на шаге 1. После ввода данных начнется процесс импорта.

Шаг 3: Наблюдение за процессом и завершение

1. В консоли будет отображаться подробный лог переноса различных сущностей: пользователей, групп, ролей, папок, паролей, прав доступа и настроек LDAP.

2. Дождитесь сообщения «Импорт из Пассворк завершен». Время выполнения зависит от объема данных.

3. Обязательно выполните пост-настройку:

   • Перейдите в раздел BearPass → Администрирование → LDAP.
   • Для каждого импортированного LDAP-провайдера отредактируйте настройки и задайте новый пароль сервисной учетной записи. Сохраните изменения.

Результат импорта

После успешного выполнения скрипта в вашем BearPass будут созданы:

• Пользователи: Все пользователи из Пассворк. Локальные пользователи получат временные пароли и потребуют его смены при первом входе.
• Группы и Роли: Структура групп и настроек прав ролей будет воссоздана. Пользователи будут включены в соответствующие группы.
• Структура данных: Полная иерархия папок (сейфов) и парольных записей.
• Права доступа: Все назначенные в Пассворк права на папки и отдельные записи будут корректно перенесены на соответствующих пользователей и группы в BearPass.
• Настройки LDAP: Конфигурации LDAP-провайдеров будут импортированы (требуется ручное обновление пароля).

Теперь ваша команда может начать работу в BearPass в привычной структуре с сохраненными правами доступа.