Tunnisteet &; roolit#

Tunnisteiden avulla voidaan asettaa pääsyrajoituksia tietyille avaimille. Esimerkiksi:

Käyttäjä JaneUser:

{
  "realName": "Jane User",
  "role": "Operator"
  "tags": [ "berlin" , "frankfurt" ]
}

Avain mykey:

        {
  "mechanisms": [
    "RSA_Signature_PSS_SHA256"
  ],
  "restrictions": {
      "userTag": "berlin"
  }
  "type": "RSA",
  "key": {
    "modulus": "FhJQl11CiY0ifRHXeAqFh4rdSl6",
    "publicExponent": "FhJQl11CiY0ifRHXeAqFh4rdSl6"
  },
  "operations": 242
}

Tunnisteita hallinnoivat järjestelmänvalvojan käyttäjät:

  • Avaimiin voidaan soveltaa rajoitusluetteloa: joukko tunnisteita, joista yhden on täytyttävä, jotta avainta voidaan käyttää.

  • Operaattorikäyttäjille osoitetaan joukko tunnisteita, joiden avulla he voivat käyttää vastaavia näppäimiä. Käyttäjä voi lukea, mutta ei muokata sitä.

  • Rajoitukset validoidaan, kun käytetään avainta, jolloin määritellyn käyttäjän tunnisteen on vastattava yhtä kutsuvan käyttäjän tunnisteista.

  • Vain järjestelmänvalvojat voivat asettaa tunnisteita käyttäjäprofiileihin.

  • Tunnisteet ovat yksinkertaisia merkkijonoja, ja kaikki ylläpitäjät voivat asettaa tunnisteita ilman rajoituksia.

  • Jokainen operaattori näkee kaikki avaimet, myös ne, joilla on vieras tunniste (mutta he eivät voi käyttää sitä).

  • Tunnisteet ovat valinnaisia.

  • (Tulevaisuudessa rajoituksia voidaan laajentaa useammilla ehtotyypeillä, esim. sallitulla aikarajalla.)

Roolit#

Jokaiselle NetHSM:ään määritetylle käyttäjätilille on määritetty jokin seuraavista rooleista. Seuraavassa on yleiskuvaus yksittäisten roolien sallimista toiminnoista, päätepistekohtaiset yksityiskohdat löytyvät REST API -dokumentaatiosta.

R-Administrator Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin REST API:n tarjoamiin toimintoihin, lukuun ottamatta ”avainten käyttö” -toimintoja eli viestien allekirjoittamista ja purkamista.

R-Operator Käyttäjätilillä, jolla on tämä rooli, on pääsy kaikkiin ”avainten käyttö”-toimintoihin, ”avainten hallinta”-toimintojen vain lukemiseen tarkoitettuun osajoukkoon ja ”käyttäjien hallinta”-toimintoihin, jotka mahdollistavat muutokset vain omalle tilille.

R-Metrics Käyttäjätilillä, jolla on tämä rooli, on vain lukuoikeudet metriikkatoimintoihin.

R-Backup Käyttäjätilillä, jolla on tämä rooli, on käyttöoikeus vain järjestelmän varmuuskopioinnin käynnistämiseen tarvittaviin toimintoihin.