Docs: authorization (#12771)

Co-authored-by: anton-bobkov <[email protected]>
Co-authored-by: Ivan Blinkov <[email protected]>

Author: 3 people

ydb/docs/en/core/concepts/_includes/connect_overlay/auth_choose.md

@@ -8,6 +8,12 @@ The following authentication modes are supported:
 * [Authentication through a third-party IAM provider](#iam), for example, [Yandex Identity and Access Management]{% if lang == "en" %}(https://cloud.yandex.com/en/docs/iam/){% endif %}{% if lang == "ru" %}(https://cloud.yandex.ru/docs/iam/){% endif %}.
 * Authentication by [username and password](#static-credentials).
 
+## Anonymous authentication
+
+Anonymous authentication allows you to connect to {{ ydb-short-name }} without specifying any credentials like username and password. This type of access should be used only for educational purposes in local databases that cannot be accessed over the network.
+
+To enable anonymous authentication, use `false` in the `enforce_user_token_requirement` key of the cluster's [configuration file](../reference/configuration/index.md#auth).
+
 ## Authentication through a third-party IAM provider {#iam}
 
 * **Anonymous**: Empty token passed in a request.
@@ -35,23 +41,20 @@ The token to specify in request parameters can be obtained in the IAM system tha
 
 When using modes in which the {{ ydb-short-name }} client accesses the IAM system, the IAM URL that provides an API for issuing tokens can be set additionally. By default, existing SDKs and CLIs attempt to access the {{ yandex-cloud }} IAM API hosted at `iam.api.cloud.yandex.net:443`.
 
-{% include [overlay/auth_choose.md](_includes/connect_overlay/auth_choose.md) %}
-
 ## Authenticating by username and password {#static-credentials}
 
-Authentication by username and password includes the following steps:
+This type of access implies that each database user has a username and password.
+Only digits and lowercase Latin letters can be used in usernames. Passwords are not restricted; even empty passwords can be used.
 
-1. The client accesses the database and presents their username and password to the {{ ydb-short-name }} authentication service.
+The username and hashed password are stored in a table inside the authentication component. The password is hashed using the [Argon2](https://en.wikipedia.org/wiki/Argon2) method. In authentication mode, only the system administrator can use a username and password pair to access the table.
 
-   You can only use lower case Latin letters and digits in usernames. No restrictions apply to passwords (empty passwords can be used).
+A token is returned in response to the username and password. Tokens have a default lifetime of 12 hours. To rotate tokens, the client, such as the [SDK](../reference/ydb-sdk/index.md), independently accesses the authentication service. Tokens accelerate authentication and enhance security.
 
+Authentication by username and password includes the following steps:
+
+1. The client accesses the database and presents their username and password to the {{ ydb-short-name }} authentication service.
 1. The authentication service passes authentication data to the {{ ydb-short-name }} authentication component.
 1. The component validates authentication data. If the data matches, it generates a token and returns it to the authentication service.
-
-   Tokens accelerate authentication and strengthen security. Tokens have a default lifetime of 12 hours. YDB SDK rotates tokens by accessing the authentication service.
-
-   The username and hashed password are stored in the table inside the authentication component. The password is hashed by the [Argon2]{% if lang == "en" %}(https://en.wikipedia.org/wiki/Argon2){% endif %}{% if lang == "ru" %}(https://ru.wikipedia.org/wiki/Argon2){% endif %} method. In authentication mode, only the system administrator can use a username/password pair to access the table.
-
 1. The authentication system returns the token to the client.
 1. The client accesses the database, presenting their token as authentication data.
 

ydb/docs/en/core/concepts/auth.md

@@ -184,11 +184,15 @@ common:
 
 # Security-related redirects
   - from: /cluster/access.md
-    to: /security/acess-management.md
+    to: /security/authorization.md
   - from: /cluster/audit-log.md
     to: /security/audit-log.md
   - from: /cluster/short-access-control-notation.md
     to: /security/short-access-control-notation.md
+  - from: /concepts/auth.md
+    to: /security/authentication.md
+  - from: /security/access-management.md
+    to: /security/authorization.md
 
 # Contributors-related redirects
   - from: /development/build-ya.md

ydb/docs/redirects.yaml

@@ -0,0 +1,8 @@
+{% note info %}
+
+Область действия команд `CREATE USER`, `ALTER USER`, `DROP USER` не распространяется на внешние каталоги пользователей.
+Учитывайте это, если к {{ ydb-short-name }} подключаются пользователи со сторонней аутентификацией (например, LDAP).
+Например, команда `CREATE USER` не создаст пользователя в LDAP-каталоге.
+Подробнее про [взаимодействие {{ ydb-short-name }} с LDAP-каталогом](../security/authentication.md#ldap-auth-provider).
+
+{% endnote %}

ydb/docs/ru/core/_includes/do-not-create-users-in-ldap.md

@@ -131,7 +131,7 @@
 
 * Реализована [Knn UDF](./yql/reference/udf/list/knn.md) для точного поиска ближайших векторов.
 * Разработан gRPC сервис QueryService, обеспечивающий возможность выполнения всех типов запросов (DML, DDL) и выборку неограниченных объёмов данных.
-* Реализована [интеграция с LDAP протоколом](./concepts/auth.md) и возможность получения перечня групп из внешних LDAP-каталогов.
+* Реализована [интеграция с LDAP протоколом](./security/authentication.md) и возможность получения перечня групп из внешних LDAP-каталогов.
 
 ### Встроенный UI
 

ydb/docs/ru/core/changelog-server.md

@@ -1,3 +1,3 @@
 # Директория
 
-Для удобства организации поддерживается создание директорий по аналогии с файловой системой, то есть вся база состоит из дерева директорий, а таблицы и другие сущности находятся в листах этого дерева (аналогично файлам файловой системы). В одной директории могут быть несколько поддиректорий и несколько таблиц. Имена у сущностей внутри одной директории уникальны.
+Для удобства организации поддерживается создание [директорий](../../glossary.md#folder) по аналогии с файловой системой, то есть вся база состоит из дерева директорий, а [схемные объекты](../../glossary.md#scheme-object), например, таблицы, находятся в листах этого дерева. В одной директории могут быть несколько поддиректорий и несколько схемных объектов. Имена схемных объектов внутри одной директории уникальны.

ydb/docs/ru/core/concepts/_includes/connect_overlay/auth_choose.md

@@ -4,7 +4,7 @@
 
 Для подключения к внешней базе {{ ydb-short-name }} со стороны другой базы {{ ydb-short-name }}, выступающей в роли движка обработки федеративных запросов, на последней требуется выполнить следующие шаги:
 
-1. Подготовить аутентификационные данные для доступа к удалённой базе {{ ydb-short-name }}. В настоящее время в федеративных запросах к {{ ydb-short-name }} доступен метод аутентификации по [логину и паролю](../../concepts/auth.md#static-credentials) (остальные методы не поддерживаются). Пароль к внешней базе сохраняется в виде [секрета](../datamodel/secrets.md):
+1. Подготовить аутентификационные данные для доступа к удалённой базе {{ ydb-short-name }}. В настоящее время в федеративных запросах к {{ ydb-short-name }} доступен метод аутентификации по [логину и паролю](../../security/authentication.md#static-credentials) (остальные методы не поддерживаются). Пароль к внешней базе сохраняется в виде [секрета](../datamodel/secrets.md):
 
    ```yql
     CREATE OBJECT ydb_datasource_user_password (TYPE SECRET) WITH (value = "<password>");
@@ -93,4 +93,4 @@ SELECT * FROM ydb_datasource.<table_name>
 |`Datetime`|`Datetime`|
 |`Timestamp`|`Timestamp`|
 |`Json`|`Json`|
-|`JsonDocument`|`Json`|
+|`JsonDocument`|`Json`|

ydb/docs/ru/core/concepts/datamodel/_includes/dir.md

@@ -269,9 +269,52 @@
 
 **Секрет** или **secret** — это конфиденциальные метаданные, требующие особого обращения. Например, секреты могут использоваться в определениях [внешних источников данных](#external-data-source) и представляют собой такие сущности, как пароли и токены.
 
+### Объект схемы {#scheme-object}
+
+Схема базы данных состоит из **схемных объектов** или **объектов схемы**, которыми могут быть базы данных, [таблицы](#table) (включая [внешние таблицы](#external-table)), [топики](#topic), [папки](#folder) и т.д.
+
+Для удобства организации, схемные объекты образуют иерархию с помощью [папок](#folder).
+
 ### Папка {#folder}
 
-Как и в файловых системах, **папка**, **каталог**, **folder** или **directory** является контейнером для других сущностей. В случае {{ ydb-short-name }}, эти сущности могут быть [таблицами](#table) (включая [внешние таблицы](#external-table)), [топиками](#topic), другими папками и т.д.
+Как и в файловых системах, **папка**, **каталог**, **folder** или **directory** является контейнером для [схемных объектов](#scheme-object).
+
+Папки могут содержать подпапки и такая вложенность может быть произвольной глубины.
+
+### Объект доступа {#access-object}
+
+**Объект доступа** или **access object** при [авторизации](../security/authorization.md) — сущность, для которой настраиваются права и ограничения доступа. В {{ ydb-short-name }} объектами доступа являются [объекты схемы](#scheme-object).
+У каждого объекта доступа есть [владелец](#access-owner) и [список разрешений](#access-control-list).
+
+### Субъект доступа {#access-subject}
+
+**Субъект доступа** или **access subject** — сущность, которая может обращаться к [объектам доступа](#access-object) или выполнять определённые действия в системе. Получение доступа при этих обращениях и действиях зависит от настроенных [списков разрешений](#access-control-list).
+
+Субъектом доступа может быть [пользователь](#access-user) или [группа](#access-group).
+
+### Право доступа {#access-right}
+
+**[Право доступа](../security/authorization.md#right)** или **access right** — сущность, отражающая разрешение [субъекту доступа](#access-subject) выполнять конкретный набор операций в кластере или базе данных над конкретным [объектом доступа](#access-object).
+
+### Список разрешений {#access-control-list}
+
+**Список разрешений**, **access control list** или **ACL** — список всех [прав](#access-right), предоставленных [субъектам доступа](#access-subject) (пользователям и группам) на конкретный [объект доступа](#access-object).
+
+### Владелец {#access-owner}
+
+**[Владелец](../security/authorization.md#owner)** - [субъект доступа](#access-subject) ([пользователь](#access-user) или [группа](#access-group)) имеющий полный объем прав на конкретный [объект доступа](#access-object).
+
+### Пользователь {#access-user}
+
+**[Пользователь](../security/authorization.md#user)** - лицо, использующее {{ ydb-short-name }} для выполнения конкретной функции.
+
+### Группа {#access-group}
+
+**[Группа](../security/authorization.md#group)** или **группа доступа** - именованное множество [пользователей](#access-user) с одинаковыми [правами доступа](#access-right) к тем или иным [объектам доступа](#access-object).
+
+### SID {#access-sid}
+
+ **SID** (**Security Identifier**) - строка вида `<login>[@<subsystem>]`, идентифицирующая [субъект доступа](../concepts/glossary.md#access-subject) в [списках разрешений](#access-control-list).
 
 ### Оптимизатор запросов {#optimizer}
 

ydb/docs/ru/core/concepts/federated_query/ydb.md

@@ -3,8 +3,6 @@ items:
   href: glossary.md
 - name: Соединение с БД
   href: connect.md
-- name: Аутентификация
-  href: auth.md
 - name: Модель данных и схема
   href: datamodel/index.md
   include: