Reglas de acceso
Al editar las reglas de acceso, seleccione el modo avanzado para acceder a su configuración. Este modo muestra todas las reglas de acceso disponibles y le permite aceptar o rechazar reglas específicas para el rol que está editando. Al usar las reglas de acceso avanzadas, puede definir sus propios roles y crear un conjunto de roles compatible con la mayoría de los esquemas de auditoría.
Tenga en cuenta que las reglas que no estén disponibles para el administrador actual se deshabilitarán y las reglas relacionadas con las CA y los tokens criptográficos a los que el administrador no tiene acceso se ocultarán.
Conceptos
Las reglas de acceso EJBCA heredan el estado de su regla principal de forma predeterminada, a menos que se especifique individualmente. Cada regla de acceso consta de los estados Permitir, Denegar y Heredar.
En el siguiente ejemplo, las reglas /ca_functionality/ , /ca_functionality/approve_caaction/ y /ca_functionality/activate_ca/ se interpretan como Permitir y /ca_functionality/create_crl/ como Denegar (como se especifica individualmente):
/ca_functionality/ PERMITIR
/ca_functionality/approve_caaction/ HEREDADO
/ca_functionality/activate_ca/ HEREDADO
/ca_functionality/create_crl/ NEGAR
Tenga en cuenta que para usar las operaciones de agregar, editar y eliminar, también se requiere el acceso /view correspondiente. Configurar las reglas /view como Denegar (o heredar la denegación) impedirá que el componente se muestre en la interfaz gráfica de administración.
Para obtener información sobre todas las reglas de acceso necesarias para llamar a la API de servicios web (EjbcaWS), consulte la sección "Reglas de acceso necesarias al usar la API de servicios web" de la sección "Interfaz de servicios web" . Para obtener una descripción general de las reglas obsoletas, consulte "Reglas de acceso obsoletas" .
Internamente, EJBCA almacena reglas relacionadas con objetos específicos utilizando el ID del objeto (y, por lo tanto, no se ve afectado por los cambios de nombre de los objetos).
Lista de reglas de acceso
Las reglas de acceso se enumeran en las siguientes tablas utilizando el nombre de los objetos, tal como se presentan en la GUI de administración:
Reglas de acceso basadas en roles
/ | Acceso root. Todas las subreglas heredarán del root. El valor predeterminado es Denegar . ADVERTENCIA: Configurar la raíz como Permitir permitirá todas las subreglas, a menos que se especifiquen individualmente. Excepto para la creación de nuevas CA, ninguna operación individual requiere acceso de raíz. |
/administrador/ | Requiere permiso para acceder a la funcionalidad y los recursos web de administración en la API de servicio web (EjbcaWS), excepto isAuthorized e isApproved, que solo necesitan un certificado válido y confiable. |
Reglas de acceso regulares
/ ca_funcionalidad/ | Permite todas las subreglas de /ca_functionality/. Ninguna operación de CA individual requiere que se configure como Permitir . Tenga en cuenta que esto no incluye todos los elementos enumerados en Funciones de CA en la GUI de administración. |
/ca_funcionalidad/ aprobar_caacción/ | Necesario para aprobar o rechazar las aprobaciones solicitadas relacionadas con CA, como la activación del servicio de CA. |
/ca_funcionalidad/ activar_ca/ | Necesario para activar el servicio de CA. Para activar el token criptográfico utilizado por la CA, también se requiere acceso a /cryptotoken/activate/%token name%/ . |
/ca_funcionalidad/ crear_certificado/ | Necesario para emitir certificados y aprobar solicitudes de certificados. |
/ca_funcionalidad/ crear_crl/ | Necesario para crear una nueva Lista de Revocación de Certificados (CRL). |
/ca_functionality/ editar_perfiles_de_aprobación/ | Necesario para agregar o editar perfiles de aprobación. |
/ca_funcionalidad/ editar_ca/ | Permite editar la CA desde la interfaz gráfica de usuario y la CLI de administración. Tenga en cuenta que el ID, el nombre y el DN del sujeto de la CA no se pueden editar.
|
/ca_functionality/ editar_perfiles_de_certificado/ | Necesario para editar perfiles de certificado. Además, estas operaciones requieren que la CA esté disponible. |
/ca_funcionalidad/ editar_editor/ | Necesario para agregar o editar editores. |
/ca_functionality/ validador_de_edición/ | Necesario para agregar o editar validadores. |
/ca_funcionalidad/ renovar_ca/ | Necesario para permitir la renovación del certificado de CA. (Esto no afectará el acceso para renovar los certificados de entidad final). También podría requerirse acceso adicional a tokens criptográficos, según la configuración. |
/ca_functionality/ usar_id_de_solicitud_de_aprobación/ | Necesario para utilizar la página "Usar ID de solicitud" en la interfaz de usuario de RA |
/ca_funcionalidad/ usar_nombre_de_usuario/ | Necesario para utilizar la página "Usar nombre de usuario" en la interfaz de usuario de RA |
/ca_functionality/ ver_perfiles_de_aprobación/ | Necesario para ver y acceder a los perfiles de aprobación existentes. |
/ca_funcionalidad/ vista_ca/ | Se requiere para ver y acceder a la Activación de CA, la Estructura y CRL de CA, y las Autoridades de Certificación. El acceso a esta regla es obligatorio incluso si /ca/%ca name%/ está permitido. |
/ca_functionality/ ver_certificado/ | Necesario para ver los certificados de entidad final. |
/ca_functionality/ ver_perfiles_de_certificado/ | Necesario para ver y acceder a los perfiles de certificados. |
/ca_funcionalidad/ vista_editor/ | Necesario para ver y acceder a Editores. |
/ca_funcionalidad/ vista_editor/ | Necesario para ver y acceder a los Validadores. |
/ funcionalidad_hardtoken/ | Permite todas las subreglas de /hardtoken_functionality/ |
/funcionalidad_de_hardtoken/ editar_emisores_de_hardtoken/ | Necesario para ver, agregar y editar emisores de tokens duros. Los administradores con acceso a esta regla también deben tener acceso a /hardtoken_functionality/ issue_hardtokens/ . |
/funcionalidad_de_hardtoken/ editar_perfiles_de_hardtoken/ | Necesario para ver, agregar y editar perfiles de token duro. |
/funcionalidad_hardtoken/ problema_administradores_hardtoken/ | Necesario para emitir tokens duros de administrador. |
/funcionalidad_hardtoken/ problema_hardtokens/ | Necesario para emitir tokens duros. |
/ ra_funcionalidad/ | Permite el acceso a todas las funciones de RA enumeradas en /ra_functionality/. Tenga en cuenta que ninguna operación de RA requiere que esta opción esté configurada en "Permitir" . |
/ra_funcionalidad/ aprobar_entidad_final/ | Necesario para buscar y aprobar solicitudes relacionadas con la entidad final, como Agregar/Editar entidad final y revocar/recuperar certificado. |
/ra_funcionalidad/ crear_entidad_final/ | Necesario para crear entidades finales. |
/ra_funcionalidad/ eliminar_entidad_final/ | Necesario para eliminar entidades finales. |
/ra_funcionalidad/ editar_entidad_final/ | Necesario para editar entidades finales. |
/ra_funcionalidad/ editar_perfiles_de_entidad_final/ | Necesario para editar perfiles de entidad final. |
/ra_functionality/ editar_fuentes_de_datos_del_usuario/ | Necesario para ver y editar fuentes de datos de usuario. |
/ra_functionality/ recuperación de claves/ | Necesario para realizar una recuperación de clave. Tenga en cuenta que esta regla no regula la posibilidad de activar la recuperación de clave para perfiles y entidades finales. |
/ra_functionality/ revocar_entidad_final/ | Necesario para revocar entidades finales. |
/ra_functionality/ ver_aprobaciones/ | Obligatorio para ver las aprobaciones pendientes. Tenga en cuenta que esta regla no es necesaria para los administradores que crearon las solicitudes de aprobación en cuestión. |
/ra_funcionalidad/ entidad_final_vista/ | Necesario para visualizar entidades finales. |
/ra_functionality/ historial_de_entidades_finales_de_vista/ | Necesario para ver el historial de la entidad final. |
/ra_functionality/ ver_perfiles_de_entidad_final/ | Necesario para ver los perfiles de entidad final. |
/ra_funcionalidad/ view_hardtoken/ | Se requiere para ver los tokens duros. Tenga en cuenta que esta regla no aplica a los emisores ni a los perfiles de tokens duros. |
/ra_funcionalidad/ver_hardtoken/ datos_puk/ | Necesario para acceder a los datos PUK de los Hard Tokens, por ejemplo, el código PUK de la tarjeta inteligente. |
/servicios/ editar/ | Necesario para agregar o editar servicios del sistema. |
/servicios/ ver/ | Necesario para ver los servicios del sistema. |
/ funcionalidad_del_sistema/ | Permite el acceso a todas las subreglas de /system_functionality/. Tenga en cuenta que esto no incluye todas las funciones enumeradas en "Funciones del sistema" en la interfaz gráfica de administración. |
/funcionalidad_del_sistema/ editar_privilegios_de_administrador/ | Necesario para agregar o editar roles de administrador y sus reglas de acceso (como se describe en esta documentación). Esta función también permite agregar o editar miembros de roles. Para acceder a estas operaciones, también se requiere acceso a /system_functionality/view_administrator_privileges/ . |
/funcionalidad_del_sistema/ editar_extensiones_de_certificado_personalizadas_disponibles/ | Necesario para agregar o editar extensiones de certificado personalizadas. Para acceder a estas operaciones, también se requiere acceso a / system_functionality / view_available_custom_certificate_extensions/ , / system_functionality / edit_systemconfiguration/ y / system_functionality /view_systemconfiguration /. Tenga en cuenta que esta regla solo se refiere a la configuración del sistema de las extensiones personalizadas y no regula la posibilidad de ver o editar las extensiones de los certificados. |
/funcionalidad_del_sistema/ editar_usos_de_claves_extendidas_disponibles/ | Necesario para agregar o editar usos extendidos de claves. Para editarlos, también se requiere acceso a / system_functionality / view_available_extended_key_usages/, / system_functionality / edit_systemconfiguration/ y / system_functionality /view_systemconfiguration / . |
/funcionalidad_del_sistema/ editar_configuración_del_sistema/ | Se requiere para editar la configuración del sistema, incluyendo la configuración básica, la configuración de CMP, la configuración de SCEP, las preferencias del administrador, el uso extendido de claves, los estilos de RA personalizados y los registros de transparencia de certificados. Tenga en cuenta que esto no incluye todas las opciones que aparecen en la sección "Configuración del sistema " de la interfaz gráfica de administración. |
/funcionalidad_del_sistema/ ver_privilegios_de_administrador/ | Necesario para ver la configuración relacionada con los privilegios de administrador, como roles de administrador, miembros del rol de administrador y reglas de acceso. |
/funcionalidad_del_sistema/ ver_extensiones_de_certificado_personalizadas_disponibles/ | Se requiere para ver las extensiones de certificado personalizadas. Tenga en cuenta que esta regla solo se aplica a la configuración del sistema de las extensiones personalizadas y no regula la posibilidad de ver las extensiones de los certificados. |
/funcionalidad_del_sistema/ ver_usos_de_claves_extendidas_disponibles/ | Necesario para ver usos extendidos de claves. |
/funcionalidad_del_sistema/ ver_configuración_del_sistema/ | Se requiere para ver la configuración del sistema, incluyendo la configuración de CMP, la configuración de SCEP, las preferencias del administrador y los registros de transparencia de certificados. Tenga en cuenta que esto no incluye todas las configuraciones que aparecen en la sección "Configuración del sistema" de la interfaz gráfica de administración. |
Reglas de acceso de CA
/California/ | Regula el acceso a todas las Autoridades de Certificación. El estado de esta regla de acceso determina la visibilidad y la posibilidad de editar cualquier entidad, certificado, perfil o configuración perteneciente a la CA. Para crear una nueva CA, esta regla debe estar configurada en Permitir y se requiere acceso a / cryptotoken/ use/ . |
/ca/ %ca nombre%/ | Regula el acceso a una CA específica, donde %ca name% es el nombre. Todas las CA disponibles deben aparecer como subreglas de /ca/. |
Reglas de acceso del validador
/validador/ | Regula el acceso a todos los validadores. El estado de esta regla de acceso determinará la visibilidad y la posibilidad de editar estos validadores. |
/validador/ %nombre del validador%/ | Regula el acceso a un validador específico, donde %validator name% es el nombre. Todos los validadores disponibles deben aparecer como subreglas en /ca/. |
Reglas de acceso al perfil de entidad final
Las reglas de acceso del perfil de entidad final funcionan junto con las reglas de /ra_functionality/ y /ca/.
Por ejemplo, para ver una entidad final que pertenece a un perfil de entidad final específico "SomeProfile", que tiene CA1 y CA2 seleccionados como CA disponible, se requiere acceso a '/ra_functionality/view_end_entity/' y '/endentityprofilerules/SomeProfile/view_end_entity/', así como a /ca/CA1 y /ca/CA2.
/ reglasdeperfilesdeidentidad/ | Permite el acceso a todas las subreglas de / endentityprofilesrules / para todos los perfiles de entidad final disponibles. |
/endentityprofilesrules / %nombre de perfil% / | Permite el acceso a todas las subreglas de un perfil de entidad final específico. |
/endentityprofilesrules/ %nombre de perfil% / aprobar_entidad_final/ | Necesario para buscar y aprobar solicitudes de entidad final que pertenecen al perfil de entidad final. |
/endentityprofilesrules/ %nombre de perfil% / crear_entidad_final/ | Necesario para crear entidades finales pertenecientes al perfil de entidad final. Tenga en cuenta que /endentityprofilesrules/%profile name%/edit_end_entity/ no es necesario para esta operación. |
/endentityprofilesrules/ %nombre de perfil% / delete_end_entity/ | Se requiere para eliminar las entidades finales pertenecientes al perfil de entidad final. Tenga en cuenta que también se requiere acceso a /endentityprofilesrules/%profile name%/view_end_entity/ . |
/endentityprofilesrules/ %nombre de perfil% / edit_end_entity/ | Se requiere para editar las entidades finales pertenecientes al perfil de entidad final. Tenga en cuenta que también se requiere acceso a /endentityprofilesrules/%profile name%/view_end_entity/ . |
/endentityprofilesrules/ %nombre de perfil% / keyrecovery/ | Se requiere para realizar una recuperación de claves en las entidades finales de edición pertenecientes al Perfil de Entidad Final. Tenga en cuenta que esta regla no regula la posibilidad de activar la recuperación de claves para los Perfiles de Entidad Final ni para las entidades finales, ni la posibilidad de crear un nuevo almacén de claves. |
/endentityprofilesrules/ %nombre de perfil% / revocar_entidad_final/ | Se requiere para revocar las entidades finales pertenecientes al perfil de entidad final. Tenga en cuenta que también se requiere acceso a /endentityprofilesrules/%profile name%/view_end_entity/ . |
/endentityprofilesrules/ %nombre de perfil% / view_end_entity/ | Necesario para visualizar una entidad final que pertenece al Perfil de entidad final. |
/endentityprofilesrules/ %nombre de perfil% / ver_historial_de_entidad_final/ | Necesario para ver el historial de una entidad final que pertenece al perfil de entidad final. |
/endentityprofilesrules/ %nombre de perfil% / view_hardtoken/ | Se requiere para ver los tokens físicos de una entidad final perteneciente al perfil de entidad final. Tenga en cuenta que esto no aplica a emisores ni perfiles de tokens físicos. |
/endentityprofilesrules/ %nombre de perfil% /view_hardtoken/ datos_puk/ | Necesario para acceder a los datos PUK de los Hard Tokens, por ejemplo, el código PUK de la tarjeta inteligente. |
Reglas de acceso a tokens criptográficos
/ criptotoken/ | Permite todas las subreglas de /cryptotoken/. Se aplica a todos los tokens. |
/cryptotoken/ activar/ | Necesario para activar cualquier Crypto Token desactivado. |
/cryptotoken/activate/ %nombre del token%/ | Necesario para activar un token criptográfico específico. |
/cryptotoken/ desactivar/ | Necesario para desactivar cualquier Crypto Token activado. |
/cryptotoken/ desactivar / %nombre del token%/ | Necesario para desactivar un token criptográfico específico. |
/cryptotoken/ eliminar/ | Necesario eliminar tokens criptográficos. |
/cryptotoken/keys/ generar/ | Necesario para generar un par de claves en cualquier Crypto Token. |
/cryptotoken/keys/generate/ %nombre del token/ | Necesario para generar un par de claves en un token criptográfico específico. |
/cryptotoken/keys/ eliminar/ | Necesario para eliminar pares de claves de un token criptográfico. |
/cryptotoken/keys/remove/ %nombre del token%/ |
Necesario para eliminar pares de claves de un token criptográfico específico. |
/cryptotoken/claves/ prueba/ | Es necesario utilizar la acción de prueba para cualquier par de claves perteneciente a cualquier token criptográfico. |
/cryptotoken/keys/test/ %nombre del token%/ | Es necesario utilizar la acción de prueba para cualquier par de claves que pertenezca a un token criptográfico específico. |
/cryptotoken/ modificar/ | Necesario para crear y editar tokens criptográficos. Esto incluye la generación de pares de claves. |
/cryptotoken/ uso/ | Permite el uso de todos los tokens criptográficos, por ejemplo, al crear una nueva CA. Denegar esta regla impedirá que el rol cree nuevas Autoridades de Certificación. |
/cryptotoken/use/ %nombre del token%/ | Es necesario utilizar un token criptográfico específico, por ejemplo, al crear una nueva CA. |
/cryptotoken/ vista/ | Necesario para ver cualquier token criptográfico. |
/cryptotoken/view/ %nombre del token/ | Necesario para ver un token criptográfico específico. |
Reglas de acceso a la fuente de datos del usuario
/ reglasdeorigendedatosdelusuario/ | Permite todas las subreglas de / userdatasourcesrules/. |
/userdatasourcesrules/%nombre de la fuente de datos%/ fetch_userdata/ | Necesario para obtener datos de la fuente de datos de usuario conectada. |
/userdatasourcesrules/ %nombre de la fuente de datos% / remove_userdata/ | Necesario para eliminar datos de la fuente de datos de usuario conectada. |
Reglas internas de asignación de teclas
/ combinación de teclas interna / | Permite acceso completo a las combinaciones de teclas internas. |
/internalkeybinding/ eliminar/ | Necesario para eliminar las asignaciones de teclas internas. |
/internalkeybinding/ modificar/ | Necesario para editar y/o modificar las combinaciones de teclas internas. |
/internalkeybinding/ vista/ | Necesario para ver las combinaciones de teclas internas. |
Reglas de gestión de pares
/ par/ | Permite todas las subreglas de /peer/. |
/peer/ administrar/ | Necesario para administrar e inicializar tareas de sincronización entre pares, así como para enviar mensajes entre pares. |
/peer/ modificar/ | Necesario para modificar sistemas pares. Esto incluye añadir, editar y permitir conexiones entrantes. Las conexiones salientes están permitidas por defecto, pero pueden denegarse. |
/par/ vista/ | Necesario para ver sistemas de pares. |
/ par entrante / | Necesario para permitir conexiones entrantes entre pares. Por ejemplo, la publicación desde una CA conectada o las invocaciones de API desde una RA conectada. |
Reglas del protocolo Peer RA
Las siguientes reglas de acceso se utilizan para restringir el acceso a ciertos protocolos para una instancia EJBCA externa (mediante conectores de pares). Estas reglas están diseñadas y se aplican únicamente a los roles de conectores de pares (es decir, roles que también permiten /ra_master/ invoke_api/ ). No se pueden usar para controlar el acceso de usuarios individuales o grupos de usuarios.
/protocolo/ | Permite que todos los protocolos para el certificado Peer Connector sean miembros del grupo de administradores. |
/ protocolo/ acme/ | Necesario para permitir el protocolo ACME para la instancia externa. |
/ protocolo/ cmp/ | Necesario para permitir el protocolo CMP para la instancia externa. |
/ protocolo/ est/ | Necesario para permitir el protocolo EST para la instancia externa. |
/ protocolo/ descanso/ | Necesario para permitir el protocolo de administración de certificados RESTFul para la instancia externa. |
/ protocolo/ scep/ | Necesario para permitir el protocolo SCEP para la instancia externa. |
/ protocolo/ servicios_web/ | Necesario para permitir los servicios web SOAP para la instancia externa. |
Reglas del registro de auditoría
/ auditoría segura/ | Permite todas las subreglas de /secureaudit/. |
/secureaudit/auditor/ seleccionar/ | Necesario para ver el registro de auditoría de eventos de seguridad. |
Reglas de RA entre pares
/ra_master/ invocar_api/ | Requerido por el sistema RA para invocar la API de RA. Configurado en la instancia de CA. |
/ra_slave/ administrar/ | Requerido por un host remoto para administrar la instancia local de EJBCA como RA. Configurado en la instancia de RA. |
Reglas para editores pares
/ publicación por pares/ | Permite todas las subreglas de /peerpublish/. Para publicar CRL y certificados a través de conectores de pares, también se requiere acceso a la CA dependiente, /ca/ %ca name% y /peerincoming/ (desde el sistema de conexión). Los mismos requisitos se aplican a la sincronización de datos de certificados. |
/peerpublish/ leer certificado/ | Necesario para leer certificados publicados. |
/peerpublish/ escribir certificado/ | Necesario para publicar certificados. |
/peerpublish/ escribircrl/ | Necesario para publicar listas de revocación de certificados (CRL). |
Reglas de acceso obsoletas
Las siguientes reglas de acceso se han eliminado de EJBCA porque eran redundantes o ya no tenían ningún efecto debido a cambios en el sistema.
/ usuario_web_público/ | Eliminado en EJBCA 6.8.0. Las reglas de acceso para usuarios de la Web pública se pueden configurar mediante roles de administrador utilizando el valor de coincidencia PublicAccessAuthenticationToken . |
/ca_funcionalidad/ funciones_básicas/ | Eliminado en EJBCA 6.8.0. |
/funcionalidad_ca/funciones_básicas/ activar_ca/ | Se agregó a ' /ca_functionality / activate_ca/' en EJBCA 6.8.0. |
/secureaudit/auditor/ exportar/ | Ya no es visible a partir de EJBCA 6.8.0. |
/secureaudit/auditor/ verificar/ | Ya no es visible a partir de EJBCA 6.8.0. |
/secureaudit/ registro/ | Ya no es visible a partir de EJBCA 6.8.0. |
/secureaudit/ registro_de_eventos_personalizados/ | Ya no es visible a partir de EJBCA 6.8.0. |
/secureaudit/management/ administrar/ | Ya no es visible a partir de EJBCA 6.8.0. |