Page tree

Чтобы управлять пользователями, клиентами и группами, используйте сервис управления доступом KeyCloak.

Создайте сервисную учетную запись, от имени которой Рутокен KeyBox будет запрашивать сертификаты пользователей в SafeTech CA.

  1. Откройте веб-консоль администратора KeyCloak: https://<имя сервера УЦ>:8443/.
  2. В основном меню перейдите в раздел Manage realms и выберите Realm (область) из списка. Realm по умолчанию для SafeTech CA – st-ca.
  3. Используйте клиенты по умолчанию (CA Core и CA Gateway) или создайте новый клиент.
    1. Перейдите в раздел Clients и нажмите Create client.
    2. В разделе General settings:
      1. В выпадающем списке Client type выберите OpenID Connect.
      2. В поле Client ID введите идентификатор клиента.
    3. Нажмите Next.
    4. В разделе Capability config:
      1. Включите Client Authentication.
      2. В параметре Authentication flow включите опции Standard flow, Implicit flow, Direct access grants, Service accounts roles.
    5. Нажмите Next и Save.
    6. В меню управления клиентом назначьте созданному клиенту роль Администратора или Оператора УЦ:
      1. Перейдите на вкладку Service accounts roles.
      2. Нажмите Assign role.
      3. В фильтре выберите Filter by realm roles.
      4. Выберите роль CaAdministrator или CaOperator.
      5. Нажмите Assign.
    7. Настройте соответствие атрибута instance_relation, чтобы клиент имел доступ к нужному экземпляру SafeTech CA:
      1. Перейдите на вкладку Client scopes.
      2. Нажмите Add client scope.
      3. Выберите scope <имя_клиента>-dedicated.
      4. Нажмите Add mapper  By configuration  User Attibute.
      5. Заполните поля:
        • Name: укажите произвольное имя маппера
        • User Attribute: instance_relation
        • Token Claim Name: instance_relation
      6. Нажмите Save.
  4. Создайте сервисную учетную запись и добавьте ее в группу доступа SafeTech CA.
    1. В разделе Users нажмите Add user.
    2. Укажите Username.
    3. В поле Groups нажмите Join Groups.
    4. Выберите группу access-ST-CA-Root.
    5. Нажмите Create. Появится меню управления пользователем.
  5. Перейдите на вкладку Credentials и установите пароль для пользователя.
  6. Назначьте пользователю роль Администратора или Оператора УЦ:
    1. Перейдите на вкладку Role mapping и нажмите Assign role.
    2. В выпадающем списке выберите Realm roles.
    3. Выберите роль CaAdministrator или CaOperator.
    4. Нажмите Assign.
  • No labels