Настройка компонентов имени Пользователя
Общие сведения
При формировании запроса на сертификат поля формы заполняются из данных, которые могут передаваться в утверждении X500DistinguishedName (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname) от Центра Идентификации. Данное утверждение должно содержать различительное имя Пользователя в следующем виде:
CN=Иванов Иван, E=ivanov@ivanov.ru,C=RU,O=КРИПТО-ПРО
Центр Идентификации КриптоПро DSS позволяет формировать такое утверждение на основе данных имени Пользователя. Настройка компонентов имени Пользователя осуществляется c помощью командлетов Set-DssRDN, Add-DssRDN, Get-DssRDN, Remove-DssRDN. Различительное имя Пользователя состоит из отдельных компонентов, называемых относительными различительными именами (RDN - Relative Distinguished Name). Для каждого такого компонента возможно настроить параметры, описанные в таблице ниже.
| Параметр | Тип | Описание |
|---|---|---|
| Id | String | Идентификатор компонента имени в БД ЦИ |
| Oid | String | Идентификатор в общем каталоге объектов |
| StringIdentifier | String | Идентификатор строки, содержащей компонент имени |
| FriendlyName | String | Отображаемое имя компонента имени |
| MaxLength | int | Максимальная длина компонента имени |
| MinLength | int | Минимальная длина компонента имени |
| ValueType | String | Тип значения компонента имени Пользователя. Может принимать значения Numeric или String. |
| ClaimType | String | Тип утверждения (сведений о Пользователе), содержащего данный компонент |
| Description | String | Описание компонента имени Пользователя |
По умолчанию в экземпляре ЦИ КриптоПро DSS зарегистрированы следующие RDN:
| Компонент (Отображаемое имя) | Идентификатор строки | Мах длина | Min длина | Тип значения | OID |
|---|---|---|---|---|---|
| Общее имя | CN | 128 | 0 | String | 2.5.4.3 |
| Имя Отчество | G | 128 | 0 | String | 2.5.4.42 |
| Фамилия | SN | 40 | 0 | String | 2.5.4.4 |
| Инициалы | I | 5 | 0 | String | 2.5.4.43 |
| Электронная почта | E | 128 | 0 | String | 1.2.840.113549.1.9.1 |
| ИНН | INN | 12 | 12 | Numeric | 1.2.643.3.131.1.1 |
| ОГРН | OGRN | 13 | 13 | Numeric | 1.2.643.100.1 |
| ОГРНИП | OGRNIP | 15 | 15 | Numeric | 1.2.643.100.5 |
| СНИЛС | SNILS | 11 | 11 | Numeric | 1.2.643.100.3 |
| Страна | C | 2 | 0 | String | 2.5.4.6 |
| Область | S | 128 | 0 | String | 2.5.4.8 |
| Город | L | 128 | 0 | String | 2.5.4.7 |
| Адрес | Street | 30 | 0 | String | 2.5.4.9 |
| Организация | O | 64 | 0 | String | 2.5.4.10 |
| Подразделение | OU | 64 | 0 | String | 2.5.4.11 |
| Должность | T | 64 | 0 | String | 2.5.4.12 |
| ИНН ЮЛ | INNLE | 10 | 10 | Numeric | 1.2.643.100.4 |
Политики компонентов имени Пользователя
КриптоПро DSS позволяет настроить компоненты имени Пользователя на двух уровнях: глобальном
(уровень настройки ЦИ) и уровне группы. Для каждого из указанных уровней существует собственная
политика RDN. Политика RDN представляет собой набор идентификаторов глобально зарегистрированных
RDN и соответствующих каждому из них параметров Required и DefaultValues.
Настройка политики RDN уровня ЦИ (глобального) и уровня группы КриптоПро DSS осуществляется при помощи командлетов Add-DssRdnPolicy, Get-DssRdnPolicy, Set-DssRdnPolicy, Remove-DssRdnPolicy.
Политики RDN обладают следующими особенностями:
- Для Пользователя могут быть заполнены только те компоненты имени, которые зарегистрированы в политике группы, в которой находится Пользователь.
- Нельзя удалить RDN из глобальной политики ЦИ, если в политике группы зарегистрирован этот RDN.
- Нельзя удалить RDN из политики группы, если в этой группе существуют Пользователи, у которых заполнен данный компонент имени.
- Для редактирования политики определенной группы необходимо указать параметр GroupId. В случае, если параметр GroupId не указан, будет производиться редактирование глобальной политики ЦИ КриптоПро DSS.
- После создания экземпляра ЦИ КриптоПро DSS глобальная политика ЦИ и группа по умолчанию (Default) автоматически заполняются глобально зарегистрированными RDN. Каждый такой RDN является необязательным и может принимать любые значения.
- При добавлении новой группы в определенный ЦИ для нее создается политика, в которую по умолчанию копируются настройки из глобальной политики ЦИ КриптоПро DSS.
Примечание
Изменение настроек политики компонентов имени Пользователя не распространяется на уже созданных с использованием данной политики Пользователей. Это изменение будет распространяться только на вновь созданных Пользователей.