Page tree
Skip to end of metadata
Go to start of metadata

Role

Mechanizmy kontroli dostępu w systemie QR-CERT są odpowiedzialne za zidentyfikowanie (rozpoznanie) i potwierdzenie tożsamości użytkownika (w przypadku jeżeli jest autoryzowanym użytkownikiem – czy posiada indywidualne konto w systemie) oraz ustaleniu roli w ramach której użytkownik będzie przeprowadzał interakcje z systemem. Identyfikacja i potwierdzenie tożsamości użytkownika odbywa się z użyciem mechanizmów w ramach których użytkownik udowadnia bezpośrednio lub pośrednio, że jest tym za kogo się podaje. Rolę użytkownika system kontroli dostępu ustala na podstawie przynależności do grupy lub na podstawie jawnie wyspecyfikowanych atrybutów opisujących rolę. W systemie QR‑CERT zaimplementowane następujące role:

Administrator Inicjujący (InitAdmin) - Rola ma możliwość założenie konta Administratora, które jest używane do dalszej konfiguracji systemu. Okno główne aplikacji operatorskiej dla roli Administratora Inicjującego umożliwia wyłącznie zarządzanie kontami Administratorów.

Główny Audytor (MainAuditor) - Rola umożliwia eksportowanie rejestrów bezpieczeństwa, rejestrów aktywności oraz rejestrów aktywności sieciowej do plików. Ponadto umożliwia podgląd zawartości obiektów przestrzeni wirtualnych VSPACE, kont użytkowników systemowych oraz obiektów modułów HSM.

Administrator - Rola ma uprawnienia do:

Audytor - Rola umożliwia eksportowanie rejestrów bezpieczeństwa, rejestrów aktywności oraz rejestrów aktywności sieciowej do plików. Ponadto umożliwia podgląd zawartości obiektów przestrzeni wirtualnych VSPACE, kont operatorów systemu oraz obiektów modułów HSM.

Administrator VSPACE - Rola uprawniona do instalacji, konfiguracji i zarządzania systemem realizującym funkcjonalność centrum certyfikacji, tworząca i zarządzająca kontami użytkowników, konfigurująca profile i parametry audytu oraz generująca klucze modułów.

Audytor VSPACE - Rola uprawniona do przeglądania i zarządzania dziennikami zdarzeń (w tym rejestrem zdarzeń bezpieczeństwa).

Operator VSPACE - Rola uprawniona do akceptacji wniosków o wydanie certyfikatu i wniosków o unieważnienie lub zawieszenie certyfikatu.

Inspektor Bezpieczeństwa - Rola umożliwia potwierdzenie wniosku o unieważnienie certyfikatu urzędu (CA).

Uprawnienia

System QR-CERT wyróżnia 4 poziomy uprawnień. W ramach każdego poziomu można założyć konta z uprawnieniami do kont niższego poziomu. Poza kontami użytkownicy z poszczególnych poziomów mogą zakładać też inne obiekty w systemie.

W ramach pierwszego poziomu uprawnień mogą istnieć tylko dwa konta:

  • Administrator inicjujący
  • Główny Audytor

Oba konta są zakładane przy tworzeniu instancji systemu (nie można ich założyć z aplikacji operatorskiej).

Administrator Inicjujący umożliwia założenie konta Administratora które jest używane do dalszej konfiguracji systemu. Główny Audytor umożliwia przeglądanie zdarzeń bezpieczeństwa oraz obiektów całej instalacji systemu QR-CERT.

W ramach drugiego poziomu uprawnień za pomocą założonych kont Administratorów dokonuje się tworzenia struktur działającego systemu: zakładania przestrzeni wirtualnych, tworzenia kont administratorów tych przestrzeni, przypisywania modułów HSM do poszczególnych przestrzeni. Administrator umożliwia założenia konta Audytora który ma dostęp do raportów działania i bezpieczeństwa systemu oraz obiektów kont i modułów HSM.

Trzeci poziom uprawnień występuje na poziomie przestrzeni wirtualnych. W ramach tych przestrzeni Administratorzy VSPACE mogą skonfigurować docelowe systemy urzędów certyfikacji CA: zakładać urzędy CA, konfigurować polityki wydawania certyfikatów i list CRL, definiować profile X.509, tworzyć konta dla Operatorów VSPACE i Audytorów VSPACE.

W ramach czwartego poziomu uprawnień poruszają się Operatorzy VSPACE, którzy wykonują standardowe prace związane z użytkowaniem systemu: obsługa wniosków o certyfikację, wydawanie certyfikatów subskrybentów, ręczne generowanie list CRL, edycje tokenów itp.

Rysunek Hierarchia poziomów uprawnień

Lista szczegółowych uprawnień

Poniżej zostały wyszczególnione wszystkie uprawnienia wykorzystywane w systemie.

Uprawnienia dotyczące Subskrybenta

Tworzenie kont nowych klientów
Modyfikacja kont istniejących klientów
Aktywacja kont klientów
Blokowanie kont klientów
Wyszukiwanie i przeglądanie kont klientów

Uprawnienia dotyczące rejestracji wniosków CA/RA

Rejestracja wniosków o wydanie certyfikatu
Wnioskowanie o wygenerowanie CRL na żądanie
Wyszukiwanie i przeglądanie zarejestrowanych wniosków

Uprawnienia dotyczące obsługi wniosków

Obsługa wniosków o wydanie certyfikatu subskrybenta
Obsługa wniosków o uchylenie zawieszenia certyfikatu

Uprawnienia dotyczące certyfikatów Subskrybenta

Unieważnianie certyfikatów subskrybentów
Zawieszanie certyfikatów subskrybentów
Uchylanie zawieszenia certyfikatów subskrybentów
Eksport certyfikatów subskrybentów
Wyszukiwanie i przeglądanie certyfikatów subskrybentów

Uprawnienia dotyczące certyfikatów CA

Wyszukiwanie i przeglądanie danych o certyfikatach urzędów CA
Eksport certyfikatów urzędów CA

Uprawnienia dotyczące tokenów

Personalizacja tokenów
Zmiana statusu tokenów
Wyszukiwanie i przeglądanie danych o tokenach

Uprawnienia dotyczące CRL

Wyszukiwanie i przeglądanie danych o listach CRL
Eksport list CRL

Uprawnienia dotyczące dokumentów

Rejestracja dokumentów
Wyszukiwanie i przeglądanie danych o utworzonych dokumentach
Ponowne drukowanie dokumentów

Inne uprawnienia

Wyszukiwanie i eksport kluczy prywatnych subskrybentów
Naprawianie niepoprawnych powiązań unikalności
Raport ilościowy o utworzonych obiektach

Uprawnienia dotyczące magazynu kart

Importowanie danych do magazynu tokenów
Wyszukiwanie i przeglądanie zawartości magazynu tokenów
Zmiana statusu tokenów w magazynie tokenów
Wgląd do danych wrażliwych w magazynie tokenów
Wgląd do danych wrażliwych w edycji tokenów

Uprawnienia pozostałe

Pobieranie danych klientów z systemów zewnętrznych
Wgląd do kodów uwierzytelniających certyfikatów
Wgląd do danych wrażliwych w dokumentach

Widoki w CAO

Widok - rejestracja wniosków
Widok - klienci zewnętrzni
Widok - klienci
Widok - dokumenty
Widok - e-mail
Widok - certyfikaty subskrybentów
Widok - certyfikaty CA
Widok - listy CRL
Widok - wnioski CA/RA
Widok - tokeny
Widok - CHIP
Widok - MIFARE
Widok - magazyn kart
Widok - obsługa wniosków CA/RA
Widok - wnioski o wydanie tokenu
Widok - obsługa procesów masowych
Widok - komunikaty systemowe
Widok - raporty

Wnioski o wydanie tokenu

Rejestracja wniosków o centralne wydanie karty przez operatora
Rozpatrywanie wniosków o centralne wydanie karty złożonych przez subskrybenta
Rozpatrywanie wniosków o samoobsługowe wydanie karty złożonych przez subskrybenta
Obsługa wniosków o kartę na potrzeby procesu produkcji kart -- tylko w cao
Przejmowanie kart do produkcji i dystrybucja statusów obsługi wniosków po produkcji
Personalizacja kart dla indywidualnych klientów -- tylko w cao

Wydawanie certyfikatów

Wydawanie certyfikatu na podstawie wniosku PKCS#10
Wydawanie certyfikatu na podstawie klucza publicznego
Generowanie klucza i wydawanie certyfikatu

Na tej stronie

Szukaj w dokumentacji

  • No labels