Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2022(UTC) Сообщений: 5  Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Добрый день. Планируется развернуть DSS для подписи документов. DSS интегрируется с корпоративным STS (Keycloak). Пользователи из AD, аутентифицируются на Keycloak по OAuth2 и с этим маркерами "ходят" в DSS. Выпуск сертификатов планируется сделать через операторскую учетную запись: 1) приходит запрос в какую-то систему на создание сертификата 2) происходит аутентификация оператора (по сертификату + client_id/client_secret) 3) получаем access_token оператора 4) получаем делегирующий маркер пользователя 5) делаем запрос на создание сертификата от лица пользователя (то есть с его маркером доступа) И тут вопросы: 1) Что мне нужно указать в качестве unique_name при запросе делегирующего маркера (документация)? Это id пользователя внешней системы (KeyCloak)? Или это id-пользователя в DSS? Или какой-то другой идентификатор?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332  Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Добрый день.
В unique_name указывайте логин пользователя DSS (внешний/локальный). |
|
 1 пользователь поблагодарил Андрей Солдатов за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2022(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
А такой еще доп. вопрос. Пользователю же не нужно как-то предварительно логиниться в DSS (или как-то инициализировать свою уз) чтобы можно было получить его делегирующий маркер? То есть, например, создали пользователя где-то во внешней системе и он ни разу не входил в DSS. Я, как оператор, могу получить его маркер (зная только его внешний идентификатор) и выполнить от его лица выпуск сертификата? А он, к примеру, потом уже сам будет логиниться в системе и пользоваться этим сертификатом. Отредактировано пользователем 20 мая 2022 г. 14:17:41(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Добрый день.
Получить делегирующий маркер доступа для пользователя, что еще не был создан - нельзя.
Можно использовать один из методов:
Создать пользователя под УЗ оператора. Получить делегирующий маркер доступа.
ИЛИ:
Включить т.н. "прозрачную" аутентификацию, выполнив на сервере DSS командлеты:
Set-DssAccountPolicy -AccountCreationMode Transparent
Restart-DssStsInstance
После этого пользователь проходит авторизацию через внешний логин в ЦИ DSS, для него прозрачно создается УЗ в DSS и для пользователя можно получать делегирующий маркер доступа.
Обратите внимание: если на сервере DSS включено по умолчанию подтверждение авторизации с использованием вторичного метода аутентификации - второй способ Вам не подойдет, т.к. при первой авторизации пользователя будет запрошено подтверждение входа, а методы вторичной аутентификации не назначаются и не создаются прозрачно. |
|
1 пользователь поблагодарил Андрей Солдатов за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2022(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Спасибо большое за ответ.
Теперь картинка прояснилась.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
