Политика доступа к операциям
При создании экземпляра ЦИ КриптоПро DSS, для него автоматически создается политика доступа к операциям. Политика доступа к операциям является многоуровневой, в которой нижние уровни наследуют по умолчанию настройки от верхних уровней политики. В настоящий момент возможно произвести редактирование политики доступа к операциям на трех уровнях: уровне ЦИ КриптоПро DSS, уровне группы Пользователей и уровне Пользователя. При добавлении новой группы в ЦИ для нее создается политика, в которую копируются настройки из политики ЦИ. При создании нового Пользователя внутри группы, в его индивидуальные настройки доступа к операциям копируется список операций, к которым разрешен доступ, из политики группы.
Настройка политики доступа к операциям осуществляется при помощи командлетов Get-DssAccessPolicy, Set-DssAccessPolicy.
Примечание
Изменение настроек политики доступа к операциям для пользователей возможно только через Веб-интерфейс Пользователя или API DSS.
Политика доступа к операциям представляет собой набор следующих настроек:
| Параметр | Тип | Описание |
|---|---|---|
| Доступ к операциям | -AllActionsAllowed ИЛИ -AllActionsDisallowed ИЛИ -DisallowedActions <DSSActions> |
Набор операций, к которым настраивается доступ. |
| AllowChangeByOperator | bool | Определяет, может ли Оператор изменять политику доступа к операциям. |
| AllowChangeByUser | bool | Определяет, может ли Пользователь изменять политику доступа к операциям. |
| AllowOverride | bool | Определяет, может ли политика быть переопределена на более низком уровне иерархии. |
Примечание
В зависимости от того, политика какого уровня настраивается — уровня ЦИ или уровня группы —
необходимо также соответственно использовать параметр –IdpId со значением 1, ИЛИ параметр
–GroupId со значением идентификатора настраиваемой группы.
После создания экземпляра ЦИ глобальная политика ЦИ и политика группы группы по умолчанию (Default) автоматически заполняются следующим образом:
- Доступ к операциям =
AllActionsAllowed AllowChangeByUser=trueAllowChangeByOperator=trueAllowOverride=true
Если в иерархии политик есть политика с AllowOverride = false, настройки политики уровнем ниже
не имеют силы. Если все политики в иерархии имеют AllowOverride = true, параметры
AllowChangeByUser и AllowChangeByOperator используются из политики группы, а настройка самого
доступа к операциям применяется индивидуально для каждого Пользователя (настраивается в
Веб-интерфейсе Пользователя).
Примечание
Перед изменением настроек политики доступа к операциям при помощи командлетов (уровень ЦИ DSS
или уровень группы), убедитесь, что на уровень выше не применялось значение AllowOverride = false.
Примеры:
Получение политики доступа к операциям по уровням:
# Получение политики ЦИ DSS:
Get-DssAccessPolicy -IdpId 1
# Если в выводе данной команды содержится AllowOverride = False,
# настройки уровня группы не имеют силы.
# Получение политики группы
Get-DssAccessPolicy -GroupId 1
# Если в выводе данной команды содержится AllowOverride = False,
# Пользователь не сможет изменить политику доступа к операциям в Веб-
# интерфейсе.
Примеры настроек политики доступа к операциям:
Для применения глобального требования подтверждать все операции необходимо выполнить следующую PowerShell-команду:
Set-DssAccessPolicy -IdpId 1 -AllActionsAllowed -AllowOverride 0
Для применения глобального требования не подтверждать никакие операции необходимо выполнить следующую PowerShell-команду:
Set-DssAccessPolicy -IdpId 1 -AllActionsDisallowed -AllowOverride 0
Чтобы указать набор операций, доступ к которым запрещен, необходимо использовать параметр
–DisallowedActions, указывая в его значении список операций следующим образом:
Set-DssAccessPolicy -IdpId 1 -DisallowedActions Issue, SignDocument
ИЛИ
Set-DssAccessPolicy -IdpId 1 –DisallowedActions 1, 2
В случае, если необходимо изменить политику группы, следует вместо параметра –IdpId указывать
параметр –GroupId.
Полный список операций и их кодов аналогичен списку на странице политики подтверждения операций.