== АРХИВНЫЙ ЗАКАЗ ==

Часть 1 - WSO2 IAM (оплачивается другим заказом)

1. Развернуть в Yandex.Cloud (или любом другом, мы предоставим) WSO2 IAM https://wso2.com/identity-server/
2. Настроить два полностью домена (один - алиас другого)
3. Перенастроить наш Yandex под контролем нашего сотрудника так, чтоб аутентификация проходила через IAM
4. Перенастроить на него наш gitlab и убедиться что все аутентификации проходят
5. Убедиться, что пользователи могут заводить и регистрировать собственные ключи (можно пользователю в self-service регистрировать свои публичные ключи в админке)

Часть 2 - OPENVPN + авторизация удаленным сотрудникам
1. В cloud openvpn https://openvpn.net/cloud-vpn/
2. Настроить авторизацию пользователей по ключам из IAM, предоставить простую документацию для конечных пользователей по созданию и добавлению ключей
3. Разрешить авторизацию по логину/паролю (с авторизацией через TOTP для всех пользователей)

Часть 3 -- OPENVPN/ACCESS + шлюз из офиса
1. Нужно сделать так, чтобы весь трафик из офиса шел через VPN, кроме части http/https маршрутов
2. Возможность указывать исключения на уровне домена (так, youtube, *yandex* не нужно через VPN заворачивать) (на роутере, марка роутера обсуждается, сейчас Микротик -- можем поменять)

Часть 4 -- OPENVPN / site-2-site маршруты пользователям
1. У некоторых наших клиентов есть собственные VPN. Нам нужно уметь со стороны openvpn/access server настраивать с ними маршруты
2. маршруты назначаются на основании групп из WSO2 IAM. Так, если пользователь входит в группу CLIENT1, то ему доступен маршрут CLIENT1

Итоговый результат всех этапов:
1. Централизованное управление пользователями и их ключами
2. VPN сервер, конфигурируемый службой поддержки с поддержкой удаленных пользователей
3. Офис выходит через vpn сервер по большей части маршрутов, кроме явно определенных