Учетные записи Операторов

В СЭП существуют следующие виды Операторов:

• Оператор;
• Оператор Аудита;
• Оператор-наблюдатель.

Примечание

Одна и та же учетная запись не может выполнять роль Оператора, Оператора-наблюдателя и Оператора Аудита одновременно.

Аутентификация Оператора в СЭП осуществляется при помощи сертификата. Настройка учетных записей Операторов осуществляется при помощи командлетов Add/Get/Set/Enable/Disable/Remove-IdsIdentityOperator.

Для проверки подлинности сертификата Оператора веб-сервером необходимо добавить корневой сертификат издателя сертификата Оператора в хранилище «Доверенные корневые центры сертификации» локального компьютера.

Для проверки подлинности сертификата Оператора со стороны СЭП необходимо поместить корневой сертификат издателя сертификата Оператора в хранилище Client Authentication Issuers. Данная проверка возможна только после ее активации (активирована по умолчанию). Для активации проверки необходимо выполнить следующую команду:

Set-IdsProperties –IsClientAuthenticationIssuersStoreEnabled 1

Оператор

Оператор – привилегированный пользователь, имеющий право на создание, редактирование и удаление учетных записей Пользователей, а также на управление сертификатами Пользователей. Оператор может быть включен в одну и более групп. Оператор может управлять учетными записями и сертификатами Пользователей только в рамках своих групп. При создании учетной записи Оператора ему назначается группа по умолчанию Default. В дальнейшем можно изменить набор групп, в которые включен Оператор.

Оператор обеспечивает выполнение следующих задач:

• Регистрация Пользователей СЭП;
• Управление (редактирование, удаление) учетными записями зарегистрированных Пользователей;
• Настройка аутентификации Пользователей;
• Прием заявлений на регистрацию средств аутентификации Пользователей;
• Просмотр средств аутентификации, зарегистрированных в ЦИ;
• Создание запросов на сертификаты Пользователей;
• Выдача сертификатов Пользователям;
• Просмотр и печать событий аудита назначенных Оператору групп.

В целях обеспечения безопасности Центр Идентификации не имеет предустановленной встроенной учетной записи Оператора. Поэтому создание учетной записи Оператора возможно только локально на сервере, где установлен Центр Идентификации. Роль Оператора назначается Администратором путем выдачи Оператору сертификата с расширенными правами и клиентской аутентификацией. Сертификат должен храниться в хранилище «Личные» текущего пользователя.

Создание учетной записи Оператора осуществляется с помощью командлета Add-IdsIdentityOperator, входящего в состав модуля CryptoPro.IdentityService.PowerShell.

Контактная информация Оператора

Учетная запись Оператора может содержать контактную информацию. Это необходимо, например, для настройки оповещения указанной учетной записи (получение SMS- или Email-сообщений). Для этого в профиле Оператора должны быть указаны номер мобильного телефона и/или адрес электронной почты.

Внимание!

Контактную информацию можно задать только для Оператора. Для Оператора Аудита или Оператора-наблюдателя это недоступно.

Оператору можно назначить не более одного адреса или номера телефона, при этом их подтверждение не требуется.

Пример:

# Задание контактной информации и сертификата при создании учетной записи Оператора
Add-IdsIdentityOperator -DisplayName STS -Login Admin -Name “Иванов Иван Иванович” -EmailAddress <Адрес почты>  -PhoneNumber <Номер телефона> –IssuerName realsts –Certificate $cert

# Изменение контакной информации Оператора
Set-IdsIdentityOperator -Login <Логин Оператора> -IssuerName realsts -ClearEmailAddress -ClearPhoneNumber 

Set-IdsIdentityOperator -Login <Логин Оператора> -IssuerName realsts -EmailAddress <Новый адрес эл. почты> -PhoneNumber <Новый номер телефона>

Примечание

Оператор может просмотреть свою контактную информацию в личном кабинете. Редактировать контактную информацию через веб-интерфейс нельзя.

Оператор Аудита

Роль Оператора Аудита существует для мониторинга событий, поступающих с компонентов СЭП от всех Пользователей. Поскольку Оператор Аудита прикрепляется только к экземпляру ЦИ, а не к группе, на веб-интерфейсе Сервиса Аудита ему доступны все события всех Пользователей данного экземпляра ЦИ, в отличие от других ролей (Пользователя и Оператора), которым события доступны только в фильтрованном по группе/пользователю виде. Оператор Аудита существует только в пределах Сервиса Аудита и не имеет доступа к другим компонентам и функциям СЭП.

Основной функцией Оператора Аудита является создание отчетов. Для этого требуются плагины формирования отчетности](../set/other.md#reports). В СЭП существуют предопределенные типы отчетов, но для добавления возможности выпуска таких отчетов необходимо сначала настроить соответствующие плагины.

В целях обеспечения безопасности Центр Идентификации не имеет предустановленной встроенной учетной записи Оператора Аудита. Поэтому создание учетной записи Оператора Аудита возможно только локально на сервере, где установлен Центр Идентификации. Роль Оператора Аудита назначается Администратором путем выдачи Оператору Аудита сертификата с клиентской аутентификацией. Сертификат должен храниться в хранилище «Личные» текущего пользователя.

Создание учетной записи Оператора Аудита осуществляется с помощью командлета Add-IdsIdentityOperator, с обязательным параметром –type Audit, входящего в состав модуля CryptoPro.IdentityService.PowerShell.

Оператор-наблюдатель

Роль Оператора-наблюдателя позволяет исключительно просматривать информацию о Пользователях, поступающую с Сервиса Подписи и Центра Идентификации.

Оператор-наблюдатель может просматривать следующее:

• Список Пользователей СЭП;
• Настройки аутентификации Пользователей;
• Просмотр средств аутентификации, зарегистрированных в ЦИ;
• Просмотр сертификатов и/или запросов на сертификаты Пользователей СЭП;
• Просмотр и печать событий аудита назначенных Оператору групп.

Роль Оператора-наблюдателя может использоваться также прикладными системами, которым необходим доступ к информации, указанной выше. Доступ возможен как через программный интерфейс, так и через Веб-интерфейс Пользователя — в этом случае у Оператора-наблюдателя будут отсутствовать некоторые элементы, отвечающие за изменение настроек аутентификации, сертификатов и проч.

Создание учетной записи Оператора-наблюдателя осуществляется с помощью командлета Add-IdsIdentityOperator, с обязательным параметром –type Readonly.