Лицензия на компоненты ЦИ

Для каждого из следующих компонентов ЦИ, отвечающих за аутентификацию, требуется лицензия:

На модуль аутентификации myDSS (аутентификация пользователей с помощью мобильного приложения myDSS);
На модуль аутентификации DSS Client (аутентификация Пользователей с помощью мобильного приложения на базе DSS SDK(см. Общее Описание, раздел 3));
На средство аутентификации SimAuth (аутентификация Пользователей с помощью апплета на SIM-карте);
На модуль доступа Cloud CSP (облачный криптопровайдер Cloud CSP).

Для каждого из компонентов существуют следующие типы лицензии:

Демонстрационная. Рассчитана на 10 Пользователей и не ограничена по сроку действия. Демонстрационную лицензию необходимо ввести после создания и настройки экземпляра ЦИ.

Пример ввода Демонстрационной лицензии

Примечание

Демонстрационную лицензию можно не удалять, а перенести в отдельную группу в версиях DSS 2.0.2849 и выше.

Базовая. Лицензия выдается на ограниченное количество Пользователей и не ограничена по времени. В одной группе лицензий может быть только одна Базовая лицензия.
На расширение Базовой лицензии. Лицензия дополняет Базовую (не может быть введена без нее) и выдается на ограниченное количество Пользователей. Лицензий На расширение в одной группе лицензий может быть сколько угодно.
Ограниченная по времени (только для myDSS и DSS Client). В ограниченной по времени (subscription) лицензии ограничен как срок действия лицензии, так и количество Пользователей (кол-во активаций). Особенности лицензии:
- Срок действия лицензии отсчитывается индивидуально с момента активации каждого Пользователя. Активацией Пользователя называется включение данному Пользователю метода аутентификации myDSS/DSS Client.
- При включении Пользователю метода аутентификации myDSS/DSS Client тратится одно использование лицензии (одна активация). Если срок действия лицензии для данного Пользователя истек и у него по-прежнему включен метод аутентификации myDSS/DSS Client, тратится еще одно использование лицензии (одна активация). Данный процесс происходит автоматически и повторяется, пока метод аутентификации myDSS/DSS Client остаётся включенным для данного Пользователя.
- Активация лицензии закрепляется за Пользователем. В течение срока действия активированной лицензии включение/отключение для данного Пользователя метода аутентификации myDSS/DSS Client не тратит новую активацию. Удаление пользователя не высвобождает активированную лицензию.
- Лицензия может быть введена, даже если Базовая лицензия отсутствует.
- Срок действия лицензии и/или количество Пользователей можно увеличить путем ввода новой Ограниченной по времени лицензии (возможные ограничения см. в разделе "Сочетания лицензий").

Примечание

При наличии введенной лицензии на тот или иной компонент ЦИ из перечисленных выше, лицензии закрепляются за Пользователями автоматически при назначении метода аутентификации или при попытке подтверждения операции. При отключении у Пользователя какого-либо из методов аутентификации или модуля доступа Cloud CSP, лицензия освобождается и может быть занята другим Пользователем (касается только Демонстрационной, Базовой лицензии и лицензии На расширение).

Совместимость с предыдущими версиями

Некоторые Пользователи, использующие метод аутентификации myDSS, могли быть присоединены к Ограниченной по сроку действия лицензии. В данном типе лицензии прописан явно срок окончания действия (общий для всех пользователей, начинает отсчитываться с момента ввода лицензии), а также может быть ограничено количество Пользователей. Данная лицензия не требует обязательного наличия Базовой и/или лицензии На расширение, но может их дополнять. Ограниченная по сроку действия лицензия может быть введена только одна.

Примечание

Ограниченная по сроку лицензия перестает полноценно действовать в версиях DSS 2.0.2849 и выше. При этом невозможны:

Ввод и удаление лицензии данного типа.
Присоединение к действующей лицензии новых Пользователей.

Примечание

Особенности использования ограниченной по сроку лицензии в версиях DSS 2.0.2849 и выше:

Прикрепленные к действующей лицензии пользователи могут пользоваться ей до истечения срока действия при условии неотключения метода аутентификации myDSS.
Если отключить пользователю, прикрепленному к ограниченной по сроку лицензии, метод аутентификации myDSS, следующее назначение ему этого метода прикрепляет его к имеющейся свободной лицензии (Приоритет: Базовая, На расширение, Ограниченная по времени).

Ввод лицензий

В общем виде схема лицензирования компонентов ЦИ КриптоПро DSS выглядит следующим образом:

Ввод лицензии осуществляется в следующей последовательности:

1. Создание группы лицензий и ее привязка к группе Пользователей.

# Создание группы лицензий и привязка их к группе Пользователей
Add-DssStsLicenseGroup -Name "<Отображаемое имя группы лицензий 1>" -LicenseeGroups <Имя группы Пользователей 1>
Add-DssStsLicenseGroup -Name "<Отображаемое имя группы лицензий 2>" -LicenseeGroups <Имя группы Пользователей 2>

, где Имя группы Пользователей - значение строки Name в выводе командлета Get-DssIdentityGroup

Внимание!

Одна группа лицензий МОЖЕТ быть привязана к нескольким группам Пользователей (в т.ч. Default).
К одной группе Пользователей НЕ МОЖЕТ быть привязано более одной группы лицензий.

2. Ввод номера лицензии с одновременным включением данной лицензии в группу.

Внимание!

Некоторые типы лицензий не могут находиться в одной и той же группе. Возможные комбинации лицензий описаны в соответствующем разделе.

$licenseSerial1 = "%aaaa-aaaa-aaaa-aaaa%"
$licenseSerial2 = "%bbbb-bbbb-bbbb-bbbb%"
$companyName = "%Company_Name%"

# Добавление лицензии в группу лицензий
Add-DssStsLicense -SerialNumber $licenseSerial1 -CompanyName $companyName -LicenseGroupId <ID группы лицензий 1>
Add-DssStsLicense -SerialNumber $licenseSerial2 -CompanyName $companyName -LicenseGroupId <ID группы лицензий 2>

, где LicenseGroupId - значение строки Name в выводе командлета Get-DssStsLicense

Примечание

После внесения изменений в конфигурацию экземпляра необходимо перезапустить пул веб-приложения при помощи соответствующей команды.

Пример перезапуска:

# Перезапуск пула приложений ЦИ:
Restart-DssStsInstance -DisplayName <string>

Первый ввод лицензии

При первом вводе лицензии можно воспользоваться одним из следующих сценариев.

Первый ввод Демонстрационной лицензии

foreach ($licenseGroup in Get-DssStsLicenseGroup)
{
   Set-DssStsLicenseGroup -LicenseGroupId $licenseGroup.Id -LicenseeGroups @{}
}

$licGroup = Add-DssStsLicenseGroup -Name "Demo Lic Group" -LicenseeGroups Default

# Получить список серийных номеров можно при помощи командлета Get-DssStsLicense
$licenseSerial1 = "DSS Client Trial License"
Set-DssStsLicense -SerialNumber $licenseSerial1 -LicenseGroupId $licGroup.ID

Restart-DssStsInstance -DisplayName <string>

Первый ввод лицензии

foreach ($licenseGroup in Get-DssStsLicenseGroup)
{
   Set-DssStsLicenseGroup -LicenseGroupId $licenseGroup.Id -LicenseeGroups @{}
}

$licGroup = Add-DssStsLicenseGroup -Name "Default Lic Group" -LicenseeGroups Default

$licenseSerial1 = "%aaaa-aaaa-aaaa-aaaa%"
$companyName = '%Company_Name%'

Add-DssStsLicense -SerialNumber $licenseSerial1 -CompanyName $companyName -LicenseGroupId $licGroup.ID

Restart-DssStsInstance -DisplayName <string>

Сочетания лицензий

Каждая из введенных лицензий принадлежит некоторой группе лицензий. При этом следует учитывать следующие свойства лицензий при распределении их по группам:

Компонент ЦИ, на который вводится лицензия
Тип лицензии

В таблице ниже на пересечениях столбцов и полей символом "+" или "-" указаны возможности размещения типов лицензий в одной группе. При этом необходимо учитывать следующее:

Демонстрационная лицензия (на любой компонент ЦИ) не сочетается с другими типами лицензий. При создании нового экземпляра ЦИ Демонстрационная лицензия не прикреплена к какой-либо группе. При этом при назначении метода аутентификации Пользователю использование этой лицензии тратится. Если выполнялось обновление экземпляра DSS более ранней версии, Демонстрационная лицензия помещается в группу лицензий Default и назначается группе Пользователей Default. Для назначения группе Пользователей Default другой группы лицензий необходимо удалить привязку. Если группе Пользователей Default дополнительно назначены лицензии других типов, необходимо перенести Демонстрационную лицензию в другую группу лицензий.
Лицензии на myDSS и DSS Client НЕ МОГУТ находиться в одной группе.
Базовые лицензии и лицензии На расширение МОГУТ комбинироваться в одной группе на различные методы аутентификации и на различное число Пользователей в каждой. При этом Базовая лицензия в одной группе может быть введена только одна.
Лицензии, ограниченные по времени, могут комбинироваться только при условии, что их сроки действия в пределах одной группы одинаковы (например, каждая на 1 месяц). При этом допустимое количество пользователей в данных лицензиях может быть различным.

Таблица 1 - Сочетания лицензий

Типы лицензий	Базовая	На расширение	Ограниченная по времени	Демонстрационная
Демонстрационная	-	-	-	+ (с Демонстрационными лицензиями на другие компоненты ЦИ)
Базовая	+	+	-	-
На расширение	+	+	-	-
Ограниченная по времени	-	-	+ (только с одинаковым сроком действия)	-

Устранение неполадок

Перенос Демонстрационной лицензии в отдельную группу

При обновлении с предыдущих версий на версии DSS 2.0.2849 и выше Демонстрационная лицензия может попасть в одну группу с лицензиями других типов. В этом случае ввод новых лицензий в данной группе после окончания имеющихся будет невозможен. Для корректной работы КриптоПро DSS необходимо выполнить следующие действия:

Создать новую группу лицензий.
Прикрепить к этой группе Демонстрационную лицензию.

Примечание

Значение параметра -SerialNumber фиксировано для Демонстрационных лицензий на все компоненты ЦИ и должно соответствовать следующему списку:

myDSS Trial License
DSS Client Trial License
SimAuth Trial License
CloudCSP Trial License

$g =  Add-DssStsLicenseGroup -Name mydss_trial 
Set-DssStsLicense -SerialNumber "myDSS Trial License" -LicenseGroupId $g.Id

$g =  Add-DssStsLicenseGroup -Name dssclient_trial 
Set-DssStsLicense -SerialNumber "DSS Client Trial License" -LicenseGroupId $g.Id

$g =  Add-DssStsLicenseGroup -Name simauth_trial 
Set-DssStsLicense -SerialNumber "SimAuth Trial License" -LicenseGroupId $g.Id

$g =  Add-DssStsLicenseGroup -Name cloudcsp_trial 
Set-DssStsLicense -SerialNumber "CloudCSP Trial License" -LicenseGroupId $g.Id

Сброс привязки группы лицензий

При включении лицензии в группу лицензий, где присутствуют некомбинирующиеся с ней типы, могут возникать ошибки. В данном случае необходимо сбросить привязки групп лицензий к группам Пользователей:

foreach ($licenseGroup in Get-DssStsLicenseGroup)
{
   Set-DssStsLicenseGroup -LicenseGroupId $licenseGroup.Id -LicenseeGroups @{}
}

Примечание

Данная команда уничтожает все ранее созданные привязки групп лицензий к группам Пользователей. Необходимо назначить лицензиям новые группы при помощи следующей команды:

Set-DssStsLicenseGroup -LicenseGroupId <ID группы лицензий> -LicenseeGroups <"Имя группы Пользователей 1","Имя группы Пользователей 2">

, где Имя группы Пользователей - значение строки Name в выводе командлета Get-DssIdentityGroup. После завершения настройки необходимо перезапустить пул приложений Центра Идентификации.

Нештатные ситуации

Примечание

Обработка нештатных ситуаций применяется только для лицензий на модуль аутентификации myDSS и DSS Client.

Нештатной ситуацией при использовании лицензий на компоненты ЦИ КриптоПро DSS называется ситуация, когда в течение короткого периода времени для одной и той же учетной записи пользователя выполняется слишком много настроек аутентификации. К примеру, нештатные ситуации могут возникать при использовании одной и той же учетной записи для создания подписи документов от имени различных пользователей.

Допустимое количество нештатных ситуаций составляет не более 10% от числа пользователей в лицензии. Если в группе лицензий есть несколько лицензий одного типа, то допустимое количество нештатных ситуаций будет составлять также 10% от общего числа пользователей, входящих в лицензии этого типа.

Количество нештатных ситуаций подсчитывается за период продолжительностью (30 суток) для всех пользователей группы. Период НЕ зависит от календарного месяца и подсчитывается автоматически.

При превышении числа нештатных ситуаций за последние 30 суток становится невозможным добавление нового устройства и/или обновление вектора аутентификации Пользователя.

Изменения в схеме аутентификации пользователя, которые могут приводить к возникновению нештатных ситуаций:

Добавление нового устройства (и вектора аутентификации) Пользователя (данное событие встречается только для myDSS).
Обновление вектора аутентификации ранее, чем через год от момента создания (данное событие встречается только для модуля аутентификации myDSS).
Отключение метода аутентификации.
Удаление Пользователя DSS.
Удаление устройства (и вектора аутентификации) Пользователя.

Данные события не всегда приводят к возникновению нештатной ситуации. Для этого необходимо учитывать механизм возникновения нештатных ситуаций, описанный в следующем разделе.

Механизм возникновения нештатных ситуаций

Механизм возникновения нештатных ситуаций позволяет определить, какие события и характеристики учетных записей пользователей в КриптоПро DSS влияют на лицензионную политику и приводят к возникновению нештатных ситуаций.

Лицензия на модуль аутентификации myDSS

События, приводящие к возникновению нештатной ситуации:

Обновление вектора аутентификации ранее, чем через год от момента создания.
Отключение метода аутентификации (только для Базовой или На расширение, см. доп. условия).
Удаление Пользователя DSS (только для Базовой или На расширение).
Удаление устройства (и вектора аутентификации) Пользователя (только для Базовой или На расширение).

Примечание

Нештатная ситуация возникает, только если вектор аутентификации, с котором произошло событие, валиден (срок действия более 30%).

Лицензия на модуль аутентификации DSS Client

События, приводящие к возникновению нештатной ситуации:

Отключение метода аутентификации (только для Базовой или На расширение, см. доп. условия).
Удаление Пользователя DSS (только для Базовой или На расширение).
Удаление устройства (и вектора аутентификации) Пользователя (На все типы лицензии, см. доп. условия).

Примечание

Перечисленные события приводят к возникновению нештатной ситуации только при наличии у пользователя хотя бы одного "валидного" ключа, т.е. вектора аутентификации, остаток срока действия которого составляет более 30%.

Нештатная ситуация при отключении метода аутентификации

Таблица 2 - Возникновение нештатной ситуации при отключении метода аутентификации для лицензий различных типов в зависимости от срока действия вектора аутентификации пользователя

Примечание

В таблице ниже используются следующие обозначения:

"+" - пересечение условий приводит к возникновению нештатной ситуации;
"-" - пересечение условий НЕ приводит к возникновению нештатной ситуации.

Срок действия вектора аутентификации	Типы лицензий
Срок действия вектора аутентификации	Базовая / На расширение	Ограниченная по времени
Осталось более 30% срока действия	+	-
Осталось менее 30% срока действия	-	-

Из приведенной таблицы следует, что отключение метода аутентификации не приводит к возникновению нештатной ситуации, если у вектора аутентификации пользователя осталось менее 30% от срока его действия.

Дополнительно из данной таблицы следует, что если у вектора аутентификации пользователя осталось более 30% от срока его действия, отключение метода аутентификации приводит к возникновению нештатной ситуации только для лицензий типа Базовая и На расширение. Такое поведение связано с тем, что Ограниченная по времени лицензия закрепляется за пользователем и не может быть отсоединена до ее истечения.

Штатные способы удаления и вывода учетных записей из эксплуатации

Процесс удаления (вывода из эксплуатации) учетной записи пользователя отличается в зависимости от типа лицензии (Базовая/На расширение или Ограниченная по времени).

Примечание

Перед выводом учетной записи из эксплуатации необходимо удалить все связанные с данной учетной записью сертификаты и запросы на сертификаты. Неудаленные сертификаты и запросы на сертификаты занимают лицензии Сервиса Подписи и не могут быть штатно удалены.

Для Базовой лицензии (или лицензии На расширение)

Массовое удаление пользователей без учета лицензионных особенностей может приводить к нарушениям в работе КриптоПро DSS. Допустимое количество нештатных ситуаций составляет не более 10% от числа пользователей в лицензии в течение каждых 30 дней.

Удаление пользователя без возникновения нештатной ситуации возможно только если у учетной записи данного пользователя нет ни одного вектора аутентификации с остатком срока действия более 30%.

Таким образом, перед удалением учетной записи необходимо получить список устройств пользователя и проверить их срок действия. Если среди устройств присутствует хотя бы одно устройство, остаток срока действия вектора аутентификации которого более 30%, удаление учетной записи приведет к нештатной ситуации.

Безопасным способом вывода пользователей из эксплуатации, позволяющим избежать появления нежелательных нештатных ситуаций, является блокировка учетной записи пользователя. Заблокированная учетная запись может быть удалена без возникновения нештатных ситуаций, когда у нее не останется ни одного вектора аутентификации с остатком срока действия более 30%.

Отключение метода аутентификации также НЕ является безопасным выводом учетной записи из эксплуатации, так как может приводить к возникновению нештатных ситуаций аналогично удалению пользователя, описанному выше.

Для Ограниченной по времени лицензии

Использование Ограниченной по времени лицензии позволяет удалять (выводить из эксплуатации) пользователей без возникновения нештатных ситуаций.

Даже неиспользуемая учетная запись продолжает автоматически расходовать лицензии, если для нее все еще включен метод аутентификации. Таким образом, вывод учетных записей из эксплуатации обязателен при использовании Ограниченной по времени лицензии и может быть выполнен следующими способами:

удаление учетной записи;
отключение метода аутентификации;
перевод учетной записи пользователя в группу без лицензии.

Перевод пользователя в группу без лицензии позволяет реализовать следующий жизненный цикл учетной записи пользователя:

1. Создание учетной записи пользователя со следующими параметрами:

назначен способ аутентификации myDSS или DSS Client;
группа пользователя привязана к определенной группе лицензий (например, со сроком действия 1 месяц).

2. Перенос учетной записи в группу без лицензии.

3. Штатная работа пользователя в течение 1 месяца.

4. Автоматическое прекращение возможности использования способа аутентификации ввиду невозможности повторной активации лицензии.

Данный сценарий возможен при установленном значении параметра -DisableLicenseAutoRebind 1 командлета Set-DssStsProperties.

Соответствие типов лицензий форме заказов

Перечисленные в данной статье названия типов лицензий используются для краткости. Точное соответствие типов лицензий названиям из формы заказов представлено в таблице ниже.

Примечание

Соответствие Демонстрационной лицензии в данной таблице не приводится, т.к. данный тип лицензии доступен сразу после установки и настройки КриптоПро DSS вне зависимости от других приобретенных лицензий.

Таблица 3 - Соответствие типов лицензий форме заказов

Тип лицензии	Наименование позиции в форме заказов
Базовая	Лицензия на право использования ПО "<имя компонента ЦИ> для ПАК "КриптоПро DSS" версии 2.0 до <количество> пользователей
На расширение Базовой лицензии	Лицензия на расширение права использования ПО "<имя компонента ЦИ> для ПАК "КриптоПро DSS" версии 2.0 на <количество> пользователей
Ограниченная по времени	Лицензия на право использования ПО "<имя компонента ЦИ> для ПАК "КриптоПро DSS" версии 2.0 до <количество> пользователей (<срок, например "годовая">)

Примечание

Доступные лицензии в форме заказа (количество пользователей, условия и др.) могут быть изменены. Информацию в Форме заказа следует считать приоритетной.