Ролевая модель в Rutoken KeyBox позволяет гибко управлять доступом администраторов и операторов к функциям Консоли управления. Каждой роли назначается набор привилегий, которые определяют, какие действия могут выполнять члены роли.
Роли и привилегии настраиваются в разделе Конфигурация → Роли. Пока роли не назначены, все действия запрещены.
Предварительные настройки
При первоначальной настройке Rutoken KeyBox доступ к Консоли управления есть только у специальной учетной записи администратора ролей. Администратор ролей назначается в Мастере настройки в разделе Контроль доступа → Администратор ролей.
Учетная запись администратора ролей должна иметь атрибут User Principal Name (UPN) и входить в каталог пользователей.
Для первоначальной настройки прав доступа используйте администратора ролей, чтобы предоставить права управления Rutoken KeyBox другим пользователям:
- Войдите в Консоль управления под учетной записью администратора ролей.
- Перейдите в раздел Конфигурация → Роли.
- Нажмите напротив роли Администратор.
- В параметре Состав роли нажмите Добавить.
- Добавьте всех сотрудников, которые должны иметь полный доступ к функциям Консоли управления, в том числе к управлению ролями. Выберите:
- Группа, чтобы добавить группу пользователей. В поисковой строке введите Общее имя группы, чтобы найти группу пользователей.
- Пользователь, чтобы добавить определенного пользователя. В поисковой строке введите Общее имя или Логин, чтобы найти пользователя.
- Нажмите Сохранить.
Все пользователи с ролью Администратор могут управлять ролевой моделью Rutoken KeyBox — создавать новые роли, назначать привилегии и добавлять пользователей в роли.
Роли по умолчанию
По умолчанию в Rutoken KeyBox установлены роли Администратор и Оператор.
| Администратор |
|
| Оператор |
|
Типы роли
| Глобальная | Права распространяются на все политики использования устройств |
| Локальная | Права распространяются только на конкретные политики, к которым эта роль привязана. Члены локальной роли могут управлять только теми пользователями, которые попадают в область действия определенной политики |
Тип роли нельзя изменить после того, как роль уже создана.
Создание роли
Роль для работы службы Card Monitor
Для работы службы Card Monitor создайте отдельную сервисную роль, включите в нее учетную запись, от имени которой будет работать Card Monitor, и определите для роли следующие привилегии:
- выключение устройства;
- обновление устройства;
- отмена обновления устройства;
- отзыв устройства;
- очистка устройства;
- отмена назначения устройства;
- удаление устройства;
- удаление агента;
- удаление задачи;
- удаление записи из журнала учета.
Если в инфраструктуре настроена интеграция с КриптоПро DSS и AirCard Enterprise, задайте привилегии для работы с данными устройствами:
- выключение устройства КриптоПро DSS;
- обновление устройства КриптоПро DSS;
- отмена обновления устройства КриптоПро DSS;
- отзыв устройства КриптоПро DSS;
- удаление устройства КриптоПро DSS;
- удаление AirCard.





















































































































































































































































