Создание и настройка экземпляра Сервиса Аудита
Данный раздел определяет последовательность действий при разворачивании и настройке экземпляра Сервиса Аудита КриптоПро DSS.
Предварительные условия:
- Установленный SQL-Server;
- Установленная роль Сервер приложений (IIS);
- Настроенная привязка https на Сервере приложений (IIS);
- Выпущенный и установленный сервисный сертификат Сервиса Аудита.
- (Если планируется обеспечение целостности записей аудита) Установленный КриптоПро CSP (входит в комплект поставки) ();
Базовая последовательность шагов по настройке (обязательные):
1. Создание экземпляра службы Сервиса Аудита (командлет New-DssAnalyticsServiceInstance).
На данном шаге будет создано веб-приложение на Сервере приложений IIS, развёрнуты базы данных, зарегистрированы журналы Windows.
2. Настройка сервисного сертификата Сервиса Аудита.
На данном шаге экземпляру Сервиса Аудита назначается сервисный сертификат, который используется для аутентификации при межсервисном взаимодействии.
Set-DSSAnalyticsServiceProperties -ServiceCertificate <thumbprint>
Примечание
Учетной записи, под которой работает пул приложения Сервиса Аудита, необходимо выдать права на доступ к закрытому ключу сервисного сертификата.
3. Настройка конечной точки Сервиса Аудита для отображения записей аудита на веб-интерфейсе.
На данном шаге требуется задать параметр -AnalyticsServiceUri
командлета Set-DssAnalyticsServiceProperties.
Адрес конечной точки в общем виде выглядит следующим образом:
https://<hostname>/<АnalyticsAppName>/analyticsservice.svc/issuedtoken/transport/nosc
, где
hostname
- имя узла, на котором разворачивается Сервиса Аудита;
АnalyticsAppName
- имя веб-приложения Сервиса Аудита.
4. Настройка адреса ЦИ, куда Сервис Аудита обращается для аутентификации.
На данном шаге требуется задать параметр -StsAddress
командлета Set-DssAnalyticsServiceProperties.
Адрес ЦИ в общем виде выглядит следующим образом:
https://<hostname>/<STSAppName>/Active.svc/service
, где
hostname
- имя узла, на котором разворачивается Сервиса Аудита;
AnalyticsAppName
- имя веб-приложения Сервиса Аудита.
5. Настройка контроля целостности записей аудита.
6. Настройка отношений доверия с Центром Идентификации.
На данном шаге устанавливается отношение доверия между Центром Идентификации и Сервисом Аудита, необходимое для корректной работы Сервиса.
Настройка выполняется в два шага:
- Регистрация на Сервисе Аудита Центра Идентификации в качестве доверенного издателя маркеров безопасности.
Данное действие выполняется при помощи командлета Add-DssAnalyticsClaimsProviderTrust.
- Регистрация Сервиса Аудита в качестве доверенной стороны на Центре Идентификации.
Данное действие выполняется при помощи командлета Add-DssRelyingPartyTrust. Примеры регистрации доверенных сторон приведены также в соответствующем разделе.
Примечание
К моменту выполнения шага 5 в настройке Сервиса Аудита должен быть развёрнут экземпляр Центра Идентификации.
7. Настройка URL-адресов для доступа Пользователей и Операторов СЭП.
На данном этапе настраиваются URL-адреса, по которым веб-интерфейс Сервиса Аудита будет доступен Пользователям и Операторам для аутентификации и работы с DSS с использованием протокола WS-Federation. Настраиваемые URL-адреса имеют определенный формат, описанный ниже.
Настройка URL-адресов производится при помощи командлета Set-DssAnalyticsWSFederationSettings:
- URL Центра Идентификации - в параметре
-Issuer
. Формат адреса:https://<hostname>/<StsAppName>/sts/issue/
, где<hostname>
- имя узла, на котором развернут Центр Идентификации,StsAppName
- имя веб-приложения Центра Идентификации. - URL Веб-интерфейса Пользователя - в параметре
Realm
. Формат адреса:https://<hostname>/<AnalyticsAppName>/Audit
, где<hostname>
- имя узла, на котором развернут Сервис Аудита,AnalyticsAppName
- имя веб-приложения Сервиса Аудита. - URL-адрес доверенного Центра Идентификации - в параметре
HomeRealm
. По умолчанию не заполняется, зарезервирован для дальнейшего использования. - Требование защищенного соединения (флаг) в параметре
RequireHttps
. По умолчанию равен 0.
Примечание
У Пользователей и Операторов СЭП должен быть доступ к указанным на данном шаге URL-адресам.
8. Настройка отображения пункта меню "Аудит" на веб-интерфейсе ЦИ и Веб-интерфейсе Пользователя.
- В личном кабинете Пользователя (на веб-интерфейсе ЦИ) - при помощи параметра
-AnalyticsServiceAddress
командлета Set-DssStsProperties. - На Веб-интерфейсе Пользователя - при помощи параметра
-AnalyticsServiceAddress
командлета Set-DssFEProperties.
Значение параметра -AnalyticsServiceAddress
в общем виде выглядит следующим образом:
Для Центра Идентификации:
https://<hostname>/<АnalyticsAppName>/analyticsservice.svc/issuedtoken/transport/nosc
Для Веб-интерфейса Пользователя:
https://<hostname>/<АnalyticsAppName>
Примечание
После внесения изменений в конфигурацию экземпляра необходимо перезапустить пул веб-приложения при помощи соответствующей команды.
9. Включение аудита компонентов
Дополнительные действия по настройке (опциональные):
1. Настройка плагинов формирования отчетов.
2. Настройка шаблонов печатных форм.
3. Настройка журналирования экземпляра.
4. Кастомизация. Администратор DSS может кастомизировать веб-интерфейс Сервиса Аудита: изменить цвета фона, текста, логотипы, тексты заголовков и т.п. при помощи набора командлетов.