Учетные записи Операторов
В КриптоПро DSS существуют следующие виды Операторов:
Примечание
Одна и та же учетная запись не может выполнять роль Оператора, Оператора-наблюдателя и Оператора Аудита одновременно.
Аутентификация Оператора в КриптоПро DSS осуществляется при помощи сертификата.
КриптоПро DSS поддерживает выделенное хранилище издателей сертификатов для аутентификации. Имя хранилища
можно получить в выводе командлета Get-DssStsProperties (без параметров)
напротив параметра ClientAuthenticationIssuersStoreName
(по умолчанию – STS Client Authentication Issuers).
Использование данного хранилища регулируется параметром IsClientAuthenticationIssuersStoreEnabled
командлета
Set-DssStsProperties.
Для проверки подлинности сертификата Оператора DSS веб-сервером необходимо добавить корневой сертификат
издателя сертификата оператора DSS в хранилище «Доверенные корневые центры сертификации»
локального
компьютера.
Для проверки подлинности сертификата Оператора со стороны КриптоПро DSS необходимо поместить корневой
сертификат издателя сертификата оператора DSS в специализированное хранилище
«<Имя_приложения_ЦИ> Client Authentication Issuers»
. Данная проверка возможна только после ее активации
(активирована по умолчанию). Для активации проверки необходимо выполнить следующую команду:
Set-DssStsProperties –IsClientAuthenticationIssuersStoreEnabled 1
Список командлетов по настройке учетных записей Операторов КриптоПро DSS:
- Add-DssIdentityOperator
- Get-DssIdentityOperator
- Set-DssIdentityOperator
- Enable-DssIdentityOperator
- Disable-DssIdentityOperator
- Remove-DssIdentityOperator
Оператор
Оператор СЭП «КриптоПро DSS» – привилегированный пользователь, имеющий право на создание, редактирование и удаление учётных записей Пользователей, а также на управление сертификатами Пользователей DSS. Оператор может быть включен в одну и более групп. Оператор может управлять учётными записями и сертификатами Пользователей только в рамках своих групп. При создании учётной записи Оператора ему назначается группа по умолчанию Default. В дальнейшем можно изменить набор групп, в которые включен Оператор.
Оператор СЭП «КриптоПро DSS» обеспечивает выполнение следующих задач:
- Регистрация Пользователей СЭП «КриптоПро DSS»;
- Управление (редактирование, удаление) учетными записями зарегистрированных Пользователей СЭП «КриптоПро DSS»;
- Настройка аутентификации Пользователей;
- Прием заявлений на регистрацию средств аутентификации Пользователей;
- Просмотр средств аутентификации, зарегистрированных в ЦИ КриптоПро DSS;
- Создание запросов на сертификаты Пользователей СЭП «КриптоПро DSS»;
- Выдача сертификатов Пользователям;
- Просмотр и печать событий аудита назначенных Оператору групп.
В целях обеспечения безопасности Центр Идентификации не имеет предустановленной встроенной учетной записи Оператора. Поэтому создание учетной записи Оператора возможно только локально на сервере, где установлен Центр Идентификации КриптоПро DSS. Роль Оператора назначается Администратором путем выдачи Оператору сертификата с расширенными правами и клиентской аутентификацией. Сертификат должен храниться в хранилище «Личные» текущего пользователя.
Создание учётной записи Оператора осуществляется с помощью командлета Add-DssIdentityOperator,
входящего в состав модуля CryptoPro.DSS.PowerShell.STS
.
Контактная информация Оператора
Учетная запись Оператора может содержать контактную информацию. Это необходимо, например, для настройки оповещения указанной учетной записи (получение SMS- или Email-сообщений). Для этого в профиле Оператора должны быть указаны номер мобильного телефона и/или адрес электронной почты.
Внимание!
Контактную информацию можно задать только для Оператора. Для Оператора Аудита или Оператора-наблюдателя это недоступно.
Оператору можно назначить не более одного адреса или номера телефона, при этом их подтверждение не требуется.
Пример:
# Задание контактной информации при создании учетной записи Оператора
Add-DssIdentityOperator -Login <Логин Оператора> -Name <Отображаемое имя Оператора> -IssuerName realsts -Type Operator -EmailAddress <Адрес эл. почты> -PhoneNumber <Номер телефона> -Certificate <Отпечаток сертификата Оператора>
# Изменение контакной информации Оператора
Set-DssIdentityOperator -Login <Логин Оператора> -IssuerName realsts -ClearEmailAddress -ClearPhoneNumber
Set-DssIdentityOperator -Login <Логин Оператора> -IssuerName realsts -EmailAddress <Новый адрес эл. почты> -PhoneNumber <Новый номер телефона>
Примечание
Оператор может просмотреть свою контактную информацию в личном кабинете. Редактировать контактную информацию через веб-интерфейс нельзя.
Оператор Аудита
Роль Оператора Аудита СЭП «КриптоПро DSS» существует для мониторинга событий, поступающих с компонентов СЭП от всех Пользователей. Поскольку Оператор Аудита прикрепляется только к экземпляру ЦИ, а не к группе, на веб-интерфейсе Сервиса Аудита ему доступны все события всех Пользователей данного экземпляра ЦИ, в отличие от других ролей (Пользователя и Оператора DSS), которым события доступны только в фильтрованном по группе/пользователю виде. Оператор Аудита существует только в пределах Сервиса Аудита и не имеет доступа к другим компонентам и функциям КриптоПро DSS.
Основной функцией Оператора Аудита является создание отчетов. Для этого требуются плагины формирования отчетности. В КриптоПро DSS существуют предопределенные типы отчетов, но для добавления возможности выпуска таких отчетов необходимо сначала настроить соответствующие плагины.
В целях обеспечения безопасности Центр Идентификации не имеет предустановленной встроенной учетной записи Оператора Аудита. Поэтому создание учетной записи Оператора Аудита возможно только локально на сервере, где установлен Центр Идентификации КриптоПро DSS. Роль Оператора Аудита назначается Администратором путем выдачи Оператору Аудита сертификата с клиентской аутентификацией. Сертификат должен храниться в хранилище «Личные» текущего пользователя.
Создание учётной записи Оператора Аудита осуществляется с помощью командлета Add-DssIdentityOperator,
с обязательным параметром –type Audit
, входящего в состав модуля CryptoPro.DSS.PowerShell.STS
.
Оператор-наблюдатель
Роль Оператора-наблюдателя позволяет исключительно просматривать информацию о Пользователях, поступающую с Сервиса Подписи и Центра Идентификации.
Оператор-наблюдатель может просматривать следующее:
- Список Пользователей СЭП «КриптоПро DSS»;
- Настройки аутентификации Пользователей;
- Просмотр средств аутентификации, зарегистрированных в ЦИ КриптоПро DSS;
- Просмотр сертификатов и/или запросов на сертификаты Пользователей СЭП «КриптоПро DSS»;
- Просмотр и печать событий аудита назначенных Оператору групп.
Роль Оператора-наблюдателя может использоваться также прикладными системами, которым необходим доступ к информации, указанной выше. Доступ возможен как через SOAP- и REST-интерфейсы, так и через Веб-интерфейс Пользователя — в этом случае у Оператора-наблюдателя будут отсутствовать некоторые элементы, отвечающие за изменение настроек аутентификации, сертификатов и проч.
Создание учётной записи Оператора-наблюдателя осуществляется с помощью командлета Add-DssIdentityOperator,
с обязательным параметром –type Readonly
.