Доверенные стороны
Приложение, которое в своей работе опирается на утверждения (claims), называется приложением доверенной стороны (relying party, RP). Доверенной стороной может быть, как веб-приложение, так и веб-служба. Приложение доверенной стороны принимает маркеры, выданные службой маркеров безопасности (Security Token Service, STS), и извлекает из них утверждения, чтобы использовать их в задачах, связанных с аутентификацией.
На схеме выше представлен веб-сайт (приложение доверенной стороны) и веб-клиент (веб-браузер), желающий использовать данный сайт.
- Пользователь посредством веб-браузера (веб-клиента) запрашивает ресурсы (например, веб-страницу) приложения доверенной стороны (например, Веб-интерфейса Пользоваетеля);
- Приложение доверенной стороны перенаправляет его на поставщика удостоверений (STS).
- Пользователь предоставляет поставщику удостоверений свои учетные данные, например, имя Пользователя и пароль, билет Kerberos и т.д.
- Поставщик удостоверений создает токен и отправляет его веб-клиенту.
- Клиент отправляет доверенной стороне запрос вместе с полученным токеном, и доверенная сторона решает, соответствует ли токен условиям доступа и стоит ли удовлетворять запрос веб-клиента.
- Если запрос веб-клиента удовлетворен, доверенная сторона предоставляет Пользователю свои ресурсы.
В КриптоПро DSS поставщиком удостоверений является Центр Идентификации, а доверенными сторонами являются Сервис Подписи, Веб-интерфейс Пользователя, Сервис Аудита и Сервис Обработки Документов.
Регистрация доверенных сторон и управление зарегистрированными доверенными сторонами осуществляется с помощью командлетов Add-DssRelyingPartyTrust, Set-DssRelyingPartyTrust, Enable-DssRelyingPartyTrust, Disable-DssRelyingPartyTrust, Remove-DssRelyingPartyTrust.
Регистрация доверенной стороны
Регистрация доверенной стороны на Центре Идентификации решает следующие задачи:
- Ограничение сервисов и приложений в сторону, которых ЦИ может выпускать маркеры безопасности.
- Шифрование маркеров безопасности.
- Отображение понятного имени доверенной стороны в веб-интерфейсе ЦИ при аутентификации Пользователя.
- Задание адреса Веб-интерфейса для управления Пользователем.
Доверенными сторонами в КриптоПро DSS являются:
- Сервис Подписи;
- Веб-интерфейс Пользователя;
- Сервис Аудита;
- Сервис Обработки Документов.
Регистрация доверенных сторон может осуществляться следующими способами:
Загрузка метаданных
Каждый из компонентов DSS публикует собственные метаданные по протоколу WS Federation Metadata.
Адреса публикации метаданных:
Сервис Подписи
http://<HostName>/<SignServer>/FederationMetadata/2007-06/FederationMetadata.xml
Загрузка возможна как по http, так и по https.
Веб-интерфейс Пользователя
https://<HostName>/<Frontend>/FederationMetadata/2007-06/FederationMetadata.xml
Загрузка возможна только по https.
Сервис Аудита
https://<HostName>/<Analytics>/FederationMetadata/2007-06/FederationMetadata.xml
Загрузка возможна как по http, так и по https.
Сервис Обработки Документов
Метаданные отсутствуют.
По универсальному идентификатору ресурсов
В данном случае каждая доверенная сторона определяется идентификатором, который имеет следующий вид:
urn:cryptopro:dss:<apptype>:<appname>
, где
apptype– компонент DSS,appname– имя экземпляра компонента.
| Компонент | URI |
|---|---|
| Сервис Подписи | urn:cryptopro:dss:signserver:<appname> |
| Веб-интерфейс Пользователя | urn:cryptopro:dss:frontend:<appname> |
| Сервис Аудита | urn:cryptopro:dss:analytics:<appname> |
| Сервис Обработки Документов | urn:cryptopro:dss:documentstore:<appname> |
Данные идентификаторы используются в том числе при интеграции с КриптоПро DSS через API.
Примеры регистрации доверенных сторон на ЦИ
Помимо выполнения рекомендаций данного раздела необходимо на каждой из зарегистрированных
доверенных сторон зарегистрировать ЦИ DSS как доверенного поставщика маркеров безопасности.
Данное действие выполняется при помощи командлета Add-Dss...ClaimsPtoviderTrust, где ...:
- не добавляются для Сервиса Подписи;
Fe- для Веб-интерфейса Пользователя;Analytics- для Сервиса АудитаDocumentStore- для Сервиса Обработки Документов.
Внимание!
Если сервисный сертификат какого-либо из компонента был изменен, необходима перерегистрация доверенной стороны.
Регистрация Веб-интерфейса Пользователя
Для работы Пользователей через Веб-интерфейс Пользователя его необходимо зарегистрировать в качестве доверенной стороны на Центре Идентификации.
Веб-интерфейс поддерживает публикацию метаданных по протоколу WS Federation Metadata, которые могут использоваться для настройки доверенной стороны на Центре Идентификации.
Add-DssRelyingPartyTrust -Name "Frontend" -MetadataUri https://<HostName>/<Frontend>/FederationMetadata/2007-06/FederationMetadata.xml
При этом автоматически регистрируется сертификат аутентификации доверенной стороны. Если был изменен сервисный сертификат, полная перерегистрация метаданных необязательна (см. раздел про смену сертификатов).
Также можно настроить понятное имя, которое будет отображаться в процессе аутентификации в веб-интерфейсе ЦИ.
Set-DssRelyingPartyTrust -Id 2 -Name 'СКО ООО "Рога и копыта"'
При добавлении Веб-интерфейса Пользователя в качестве доверенной стороны регистрируется специфический для
него параметр – адрес личного кабинета Оператора DSS (-AdministrativeUrl). Если сервер, на котором развернут
Веб-интерфейс Пользователя, имеет несколько имен (к примеру, внутреннее и внешнее), значение по умолчанию
может потребоваться изменить. Данная операция выполняется при помощи следующей команды:
Set-DssRelyingPartyTrust –Id <FrontendId> -ForOperator $true AdministrativeUrl https://<hostname>/<Frontend>/Admins/
Регистрация Сервиса Подписи
Для работы Пользователей через SOAP-интерфейс веб-сервис Сервиса Подписи необходимо зарегистрировать в качестве доверенной стороны на Центре Идентификации.
Сервис Подписи поддерживает публикацию метаданных по протоколу WS Federation Metadata, которые могут использоваться для настройки доверенной стороны на Центре Идентификации.
Add-DssRelyingPartyTrust -Name "SignServer" -MetadataUri http://<HostName>/SignServer/FederationMetadata/2007-06/FederationMetadata.xml
При добавлении Сервиса Подписи в качестве доверенной стороны регистрируется специфический для него параметр
– адрес взаимодействия с Сервисом Подписи ( -BackChannelUrl). Данный параметр применяется только при
использовании вторичной аутентификации. Если сервер, на котором развернут Веб-интерфейс Пользователя, имеет
несколько имен (к примеру, внутреннее и внешнее), значение по умолчанию может потребоваться изменить.
Данная операция выполняется при помощи следующей команды:
Set-DssRelyingPartyTrust –Id <SignServerId> -BackChannelUrl https://<hostname>/<SignServer>/SignService.svc/transactiontokens -SupportsBackChannel
Регистрация Сервиса Аудита
Для того, чтобы пользователь мог просматривать свои операции через Сервис Аудита, сервис необходимо зарегистрировать в качестве доверенной стороны на Центре Идентификации.
Сервис Аудита поддерживает публикацию метаданных по протоколу WS Federation Metadata, которые могут использоваться для настройки доверенной стороны на Центре Идентификации.
Add-DssRelyingPartyTrust -Name "AnalyticsService" -MetadataUri https://<HostName>/AnalyticsService/FederationMetadata/2007-06/FederationMetadata.xml
При этом автоматически регистрируется сертификат аутентификации доверенной стороны. Если был изменен сервисный сертификат, полная перерегистрация метаданных необязательна (см. раздел про смену сертификатов).
Также можно настроить понятное имя, которое будет отображаться в процессе аутентификации в веб-интерфейсе ЦИ.
Set-DssRelyingPartyTrust -Id 2 -Name 'СКО ООО "Рога и копыта"'
Регистрация Сервиса Обработки Документов
Для того, чтобы Сервис Обработки Документов предоставлял возможности загрузки, конвертации и выгрузки документов, отправленных на подпись/шифрование/расшифрование в КриптоПро DSS, его необходимо зарегистрировать в качестве доверенной стороны на Центре Идентификации.
СОД не поддерживает публикацию метаданных, поэтому добавление доверенной стороны возможно только вручную:
Add-DssRelyingPartyTrust -Name DocumentStore -Identities urn:cryptopro:dss:documentstore:<DocumentStore_web_app>