Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline gefimov  
#1 Оставлено : 19 мая 2022 г. 10:54:07(UTC)
gefimov

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.05.2022(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Добрый день.

Планируется развернуть DSS для подписи документов.

DSS интегрируется с корпоративным STS (Keycloak).
Пользователи из AD, аутентифицируются на Keycloak по OAuth2 и с этим маркерами "ходят" в DSS.

Выпуск сертификатов планируется сделать через операторскую учетную запись:
1) приходит запрос в какую-то систему на создание сертификата
2) происходит аутентификация оператора (по сертификату + client_id/client_secret)
3) получаем access_token оператора
4) получаем делегирующий маркер пользователя
5) делаем запрос на создание сертификата от лица пользователя (то есть с его маркером доступа)

И тут вопросы:
1) Что мне нужно указать в качестве unique_name при запросе делегирующего маркера (документация)?
Это id пользователя внешней системы (KeyCloak)? Или это id-пользователя в DSS? Или какой-то другой идентификатор?
Offline Андрей Солдатов  
#2 Оставлено : 19 мая 2022 г. 23:37:17(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 326
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 69 раз в 65 постах
Добрый день.
В unique_name указывайте логин пользователя DSS (внешний/локальный).
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
gefimov оставлено 20.05.2022(UTC)
Offline gefimov  
#3 Оставлено : 20 мая 2022 г. 8:39:21(UTC)
gefimov

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.05.2022(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
А такой еще доп. вопрос.

Пользователю же не нужно как-то предварительно логиниться в DSS (или как-то инициализировать свою уз) чтобы можно было получить его делегирующий маркер?

То есть, например, создали пользователя где-то во внешней системе и он ни разу не входил в DSS.
Я, как оператор, могу получить его маркер (зная только его внешний идентификатор) и выполнить от его лица выпуск сертификата?
А он, к примеру, потом уже сам будет логиниться в системе и пользоваться этим сертификатом.

Отредактировано пользователем 20 мая 2022 г. 14:17:41(UTC)  | Причина: Не указана

Offline Андрей Солдатов  
#4 Оставлено : 25 мая 2022 г. 1:55:09(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 326
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 69 раз в 65 постах
Добрый день.
Получить делегирующий маркер доступа для пользователя, что еще не был создан - нельзя.
Можно использовать один из методов:
Создать пользователя под УЗ оператора. Получить делегирующий маркер доступа.

ИЛИ:

Включить т.н. "прозрачную" аутентификацию, выполнив на сервере DSS командлеты:
Set-DssAccountPolicy -AccountCreationMode Transparent
Restart-DssStsInstance
После этого пользователь проходит авторизацию через внешний логин в ЦИ DSS, для него прозрачно создается УЗ в DSS и для пользователя можно получать делегирующий маркер доступа.
Обратите внимание: если на сервере DSS включено по умолчанию подтверждение авторизации с использованием вторичного метода аутентификации - второй способ Вам не подойдет, т.к. при первой авторизации пользователя будет запрошено подтверждение входа, а методы вторичной аутентификации не назначаются и не создаются прозрачно.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
gefimov оставлено 25.05.2022(UTC)
Offline gefimov  
#5 Оставлено : 25 мая 2022 г. 9:14:00(UTC)
gefimov

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.05.2022(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Спасибо большое за ответ.

Теперь картинка прояснилась.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.