Политика подтвеждения операций
При создании экземпляра ЦИ КриптоПро DSS для него автоматически создается политика подтверждения операций. Политика подтверждения операций является многоуровневой, в которой нижние уровни наследуют по умолчанию настройки от верхних уровней политики. В настоящий момент возможно произвести редактирование политики подтверждения операций на трех уровнях: уровне ЦИ КриптоПро DSS, уровне группы Пользователей и уровне Пользователя. При добавлении новой группы в ЦИ для нее создается политика, в которую копируются настройки из политики ЦИ. При создании нового Пользователя внутри группы, в его индивидуальные настройки подтверждения операций копируется список операций для подтверждения из политики группы.
Настройка политики подтверждения операций осуществляется при помощи командлетов Get-DssConfirmationPolicy, Set-DssConfirmationPolicy.
Примечание
Изменение настроек политики подтверждения операций для пользователей возможно только через Веб-интерфейс Пользователя или API DSS.
Политика подтверждения операций представляет собой набор следующих настроек:
| Параметр | Тип | Описание |
|---|---|---|
| Операции для подтверждения | -OpcActions <DssActions> ИЛИ NoneOpcActions ИЛИ AllOpcActions | Набор операций, для которых необходимо подтверждение. |
| AllowChangeByOperator | bool | Определяет, может ли Оператор изменять список операций для подтверждения. |
| AllowChangeByUser | bool | Определяет, может ли Пользователь изменять список операций для подтверждения. |
| AllowOverride | bool | Определяет, может ли политика быть переопределена на более низком уровне иерархии. |
Примечание
В зависимости от того, политика какого уровня настраивается — уровня ЦИ или уровня группы —
необходимо также соответственно использовать параметр –IdpId со значением 1, ИЛИ параметр
–GroupId со значением идентификатора настраиваемой группы.
После создания экземпляра ЦИ глобальная политика ЦИ и политика группы группы по умолчанию (Default) автоматически заполняются следующим образом:
- Список операций =
NoneOpcActions AllowChangeByUser=trueAllowChangeByOperator=trueAllowOverride=true
Если в иерархии политик есть политика с AllowOverride = false, настройки политики уровнем ниже
не имеют силы. Если все политики в иерархии имеют AllowOverride = true, параметры
AllowChangeByUser и AllowChangeByOperator используются из политики группы, а настройка
OpcActions применяется индивидуально для каждого Пользователя (настраивается в Веб-интерфейсе
Пользователя).
Примечание
Перед изменением настроек политики подтверждения операций при помощи командлетов (уровень ЦИ
DSS или уровень группы), убедитесь, что на уровень выше не применялось значение AllowOverride =
false.
Примеры:
Получение политик подтверждения операций по уровням:
# Получение политики ЦИ DSS:
Get-DssConfirmationPolicy -IdpId 1
# Если в выводе данной команды содержится AllowOverride = False,
# настройки уровня группы не имеют силы.
# Получение политики группы
Get-DssConfirmationPolicy -GroupId 1
# Если в выводе данной команды содержится AllowOverride = False,
# Пользователь не сможет изменить политику подтверждения операций в Веб-
# интерфейсе.
Примеры настроек политики подтверждения операций:
Для применения глобального требования подтверждать все операции необходимо выполнить следующую PowerShell-команду:
Set-DssConfirmationPolicy -IdpId 1 -AllOpcActions -AllowOverride 0
Для применения глобального требования не подтверждать никакие операции необходимо выполнить следующую PowerShell-команду:
Set-DssConfirmationPolicy -IdpId 1 -NoneOpcActions -AllowOverride 0
Чтобы указать набор операций, которым требуется подтверждение, необходимо использовать параметр
–OpcActions, указывая в его значении список операций, требующих подтверждения, следующим образом:
Set-DssConfirmationPolicy -IdpId 1 -OpcActions Issue, SignDocument
ИЛИ
Set-DssConfirmationPolicy -IdpId 1 –OpcActions 1, 2
В случае, если необходимо изменить политику группы, следует вместо параметра –IdpId указывать
параметр –GroupId.
Полный список операций и их кодов приведен в таблице ниже.
| Наименование | Код | Описание |
|---|---|---|
| Issue | 1 | |
| SignDocument | 2 | |
| SignDocuments | 4 | |
| DecryptDocument | 8 | |
| CreateRequest | 16 | |
| ChangePin | 32 | |
| RenewCertificate | 64 | |
| RevokeCertificate | 128 | |
| HoldCertificate | 256 | |
| UnholdCertificate | 512 | |
| DeleteCertificate | 1024 | |
| PrivateKeyAccess | 2048 |