Aprobaciones
EJBCA proporciona amplios mecanismos para la revisión redundante y la autorización de acciones específicas mediante Aprobaciones . Los diversos perfiles de aprobación permiten flujos de trabajo desde simples hasta complejos y dinámicos.
Acciones Aprobables
Las siguientes acciones se pueden configurar para requerir aprobación:
Nombre de la acción | Descripción |
Agregar/Editar entidad final | Para requerir aprobaciones para esta acción se requerirá aprobación para cualquier operación que involucre inscripción o cualquier forma de edición de una entidad final, lo que incluye cambiar el estado como precursor para la renovación del certificado. |
Recuperación de claves | Si la CA tiene habilitada la recuperación de clave , elegir esta acción requerirá la aprobación de un administrador antes de recuperar el par de claves y ponerlo a disposición del usuario final. |
Revocación | Se requiere aprobación para que una solicitud de revocación sea procesada. |
Activación del servicio de CA | Habilitar aprobaciones para esta acción significa que para cambiar una CA de fuera de línea a en línea, se requieren las aprobaciones de otros administradores. |
Si se requieren varios administradores para aprobar una acción, el rechazo de cualquiera de ellos rechazará toda la acción.
Configuración
Las aprobaciones se pueden configurar en dos ubicaciones: en una CA o en los perfiles de certificado.
Aprobaciones en la CA
Aprobaciones en los perfiles de certificados
Dado que es posible establecer aprobaciones (con perfiles potencialmente diferentes) para la misma acción tanto en la configuración de la CA como en el perfil de certificado utilizado, el perfil de certificado seleccionado precederá al seleccionado en la CA. Si no se selecciona ningún perfil de aprobación para la acción en el perfil de certificado, EJBCA utilizará por defecto el seleccionado en la CA.
Perfiles de aprobación
Debido a los requisitos de EJBCA para la multi-inquilino y a los diferentes flujos de trabajo de las distintas CA, EJBCA proporciona Perfiles de Aprobación. Cada Perfil de Aprobación proporciona una plantilla básica para un flujo de trabajo reutilizable, desde el más simple hasta el más complejo. Para obtener más información, consulte Perfiles de Aprobación . Hasta la fecha, EJBCA ofrece dos tipos de Perfiles de Aprobación configurables.
Tipo de perfil de aprobación | Descripción |
Aprobaciones acumulativas | Este es el tipo de perfil de aprobación más simple, ya que solo requiere una cantidad n de administradores con privilegios de aprobación (consulte Roles y reglas de acceso para obtener más información) para que se aprueben las solicitudes. |
Aprobaciones particionadas | Los perfiles particionados ofrecen un marco mucho más dinámico donde las acciones de aprobación se dividen en pasos (que se resuelven secuencialmente) y cada paso se puede dividir en particiones (que se resuelven en paralelo dentro del paso). Cada partición puede asignarse a roles específicos para aprobar o revisar, y se pueden agregar campos de metadatos adicionales (texto, casillas de verificación, botones de opción, etc.) a cada partición para que los complete el administrador que aprueba, lo que proporciona un registro de auditoría de la acción realizada. |
Aprobación de acciones
Las aprobaciones se resuelven posteriormente en la interfaz de usuario de RA por administradores autenticados y autorizados. Para obtener más información, consulte "Administración de solicitudes en la interfaz de usuario de RA" .
Notificaciones
Los perfiles de aprobación se pueden configurar para notificar tanto al usuario solicitante sobre el cambio de estado (según la información de la entidad final) como a los administradores aprobatorios para notificarles sobre una acción que requiere su atención.