Aprobación de acciones
A continuación se proporciona información sobre aprobaciones y flujos de trabajo.
EJBCA permite que otros administradores aprueben una acción para garantizar que se ingresen los datos correctos.
Las siguientes acciones están habilitadas para las aprobaciones en la interfaz de usuario de RA:
Agregar entidad final
Editar entidad final
Cambiar el estado del usuario
Revocar entidad final
Revocar token (aprobación para cada certificado)
Revocar certificado
Reactivar certificado en espera
Las siguientes acciones están habilitadas para las aprobaciones en la interfaz de usuario de CA:
Activación de CA
La opción de menú "Aprobar Acciones" permite a los administradores buscar solicitudes en espera, revisar sus datos y aprobar o rechazar la acción. Tenga en cuenta que las aprobaciones relacionadas con la RA no se muestran aquí. Solo se ven las aprobaciones de Activación de CA. Las aprobaciones relacionadas con la Entidad Final se gestionan en la interfaz de usuario de la RA.
La opción "Administrar solicitudes" del menú de la interfaz de RA permite a los administradores buscar solicitudes en espera, revisar sus datos y aprobar o rechazar la acción. Tenga en cuenta que las aprobaciones relacionadas con la CA no se muestran aquí. Para obtener más información, consulte " Administrar solicitudes en la interfaz de RA" .
Configuración de aprobaciones
Las aprobaciones se configuran para cada CA, en la página Autoridades de certificación y para cada perfil de certificado en la página Perfiles de certificado .
Seleccione las acciones que requieren aprobación y el perfil de aprobación que desea usar y guardar (consulte Perfiles de aprobación ) . Las acciones "Agregar entidad final" , "Cambiar entidad final" y "Cambiar estado de usuario" se incluyen en la configuración "Agregar/Editar entidad final" . Las acciones "Revocar entidad final" , "Revocar certificado" , "Revocar token" y "Reactivar certificado" se incluyen en la configuración "Revocación" . Se requerirán aprobaciones si la CA o el perfil de certificado las aplican. Si tanto la CA como el perfil de certificado especifican perfiles de aprobación diferentes para las mismas acciones, ambos perfiles de aprobación se aplicarán en secuencia: primero el perfil de aprobación definido en la CA y, a continuación, el definido en el perfil de certificado.
Tenga en cuenta que ningún administrador puede realizar acciones con respecto a la misma solicitud de aprobación más de una vez.
Perfiles de aprobación
Hay dos tipos de perfiles de aprobación: perfil de aprobación acumulativo y perfil de aprobación particionado.
Perfil de aprobación acumulativa
En el perfil de aprobación acumulativa, solo se establece el número de aprobaciones requeridas. No se especifican requisitos para los administradores que aprueban, salvo que ningún administrador puede aprobar la misma solicitud más de una vez.
Perfil de aprobación particionado
En el perfil de aprobación particionado, se pueden configurar varias opciones para especificar qué administradores pueden aprobar o rechazar una solicitud. También es posible especificar datos adicionales que deben obtenerse al aprobarse una solicitud.
Una aprobación particionada consta de dos conceptos, Pasos y Particiones:
Los pasos de aprobación deben realizarse secuencialmente, es decir, el paso 1 debe aprobarse antes de poder ejecutar el paso 2.
Las Particiones de Aprobación son partes no secuenciales que pueden aprobarse independientemente una de otra, dentro de un mismo paso. Es decir, cuando se debe aprobar el paso 1, las Particiones 1 y 2 dentro de este paso pueden aprobarse en cualquier orden, independientemente una de la otra.
Ambos tipos de perfiles de aprobación permiten configurar el envío de una notificación al usuario final o al administrador que debe aprobar la solicitud (consulte Notificación de Aprobación ). Los perfiles también permiten establecer el plazo de vencimiento de la aprobación y de la solicitud (consulte Estado de Aprobación ) .
Para obtener más información sobre los campos de Perfil de aprobación disponibles, consulte Perfiles de aprobación .
Autorización de administradores aprobadores
Para autorizar a un administrador a revisar solicitudes de aprobación, realice una de las siguientes acciones.
Uso de conjuntos de reglas básicas
Asigne a un rol la plantilla de rol de SuperAdmin, CAAdmin o RAAdmin con la opción Aprobar entidades finales seleccionada.
El SuperAdmin y el CAAdmin otorgan acceso para aprobar reglas no asociadas con ningún perfil de entidad final (es decir, configuración de CA con doble autenticación (aún no implementada)), mientras que el RAAdmin solo puede aprobar acciones relacionadas con perfiles de entidad final autorizados.
Uso de conjuntos de reglas avanzadas
Hay tres nuevas reglas de acceso:
'/cafunctionality/approve_caaction' , una regla que otorga acceso a acciones no relacionadas con el perfil de entidad final, como aprobar la edición y creación de CA (aún no implementada). Un administrador debe tener esta regla o la regla '/rafunctionalty/approve_end_entity' para acceder a las páginas web de "Aprobar acciones".
'/rafunctionalty/approve_end_entity' , una regla (junto con la regla correspondiente del perfil de entidad final) que otorga acceso a las reglas de acceso relacionadas con el perfil de entidad final, como añadir y editar entidades finales. El administrador también debe tener la regla 'approve_end_entity' para al menos una de las '/endentityprofilerules/' para poder aprobar cualquier acción.
'/endentityprofilerules/<endentityprofilename>/approve_end_entity' consulte la regla anterior.
Dos solicitudes de aprobación diferentes
En el sistema, existen básicamente dos tipos de solicitudes. Una es la solicitud de realizar una acción, como añadir una entidad final, que se ejecuta inmediatamente después de que el último administrador requerido la haya aprobado. Este tipo se denomina "Solicitud de Acción Ejecutable". La otra es la solicitud de obtener información, como códigos PUK de tokens físicos o claves archivadas. Este tipo de solicitud se aprueba cuando el último administrador da su consentimiento y es válida durante un periodo definido (establecido en el perfil de aprobación). En este caso, el administrador solicitante debe comprobar si la solicitud de aprobación ha sido aprobada. Estas solicitudes se denominan "Solicitudes de Acción No Ejecutables".
Estado de aprobación
A continuación se enumeran los diferentes estados de solicitud de aprobación:
Estado de aprobación | Descripción |
Espera | Significa que la solicitud de acción está esperando ser procesada por administradores autorizados, las solicitudes son válidas durante el tiempo especificado en el perfil de aprobación (Período de expiración de la solicitud) antes de que se establezca en estado Expirado. |
Aprobado | Significa que la solicitud de acción está aprobada y es válida durante el tiempo especificado en el perfil de aprobación (Período de Vencimiento de la Aprobación). Después de este tiempo, se establece como Vencida. Se utiliza en solicitudes de acción no ejecutables. |
Rechazado | Significa que la solicitud de acción se rechaza y no se permitirá. El rechazo dura el tiempo especificado en el perfil de aprobación (Período de Vencimiento de la Aprobación). Después, se establece en Vencido y se puede realizar una nueva solicitud. Se utiliza en solicitudes de acción no ejecutables. |
Venció | Significa que la solicitud de acción ya no es válida y no se puede procesar. El administrador solicitante debe realizar una nueva solicitud para aprobarla. |
Vencido y notificado | Igual que Expirado, pero también indica que se le ha notificado al administrador solicitante que la solicitud ha expirado. |
Ejecutado | Significa que la solicitud de acción se ha ejecutado correctamente. Se utiliza en solicitudes de acción ejecutables. |
Ejecución fallida | Significa que la solicitud de acción falló por algún motivo durante la ejecución. Consulte el registro para obtener más información. Se utiliza en solicitudes de acción ejecutables. |
Ejecución denegada | Significa que la solicitud de acción no ha sido aprobada y no se ejecutará. La diferencia con el estado "Rechazado" es que este solo se usa con solicitudes ejecutables y no tiene fecha de caducidad. Esto significa que el administrador solicitante puede volver a solicitarla inmediatamente después del rechazo. |
Notificación de aprobación
La funcionalidad de aprobación de EJBCA permite enviar notificaciones por correo electrónico a los administradores afectados por el flujo de trabajo de aprobación y/o al usuario final.
Las notificaciones se configuran por partición de aprobación. Se envía una notificación de aprobación para una partición cuando esta:
Se ha actuado en consecuencia.
Se vuelve aprobable debido a que el paso anterior está finalizado.
Ya no es aprobable porque se ha rechazado una partición paralela o la solicitud ha expirado.
Asegúrese de configurar los ajustes del servidor de correo para permitir que EJBCA envíe correos electrónicos.
Variables de sustitución dinámica para notificaciones de aprobación
Las siguientes variables se utilizan con las notificaciones de aprobación:
Variable | Descripción |
${solicitud de aprobación.ID} | El identificador de la solicitud de aprobación. |
${solicitud de aprobación.STEP_ID} | El paso de aprobación al que se refiere esta notificación. |
${solicitud de aprobación.PARTITION_ID} | El ID de la partición de aprobación en el paso al que se refiere esta notificación. |
${solicitud de aprobación.NOMBRE_DE_PARTICIÓN} | El nombre de la partición de aprobación en el paso al que se refiere esta notificación. |
${solicitud de aprobación.TYPE} | El tipo de solicitud de aprobación. |
${solicitud de aprobación.ESTADO DEL FLUJO DE TRABAJO} | El estado del flujo de trabajo desde la perspectiva de los responsables de manejar la partición. |
${solicitud de aprobación.SOLICITANTE} | La versión legible por humanos del token de autenticación que se utilizó para crear la solicitud. |
${solicitud de aprobación.APPROVALADMIN} | La versión legible por humanos del token de autenticación que se utilizó para aprobar la solicitud por última vez, si la hubiera. |
Los estados del flujo de trabajo son:
Estado del flujo de trabajo | Descripción |
APROBADO | La partición ha sido aprobada y ya no requiere ninguna acción. |
APROBADO_PARCIALMENTE | La partición ha sido aprobada, pero aún está pendiente de aprobaciones adicionales. |
RECHAZADO | La partición ha sido rechazada y ya no requiere ninguna acción. |
REQUIERE_ACCIÓN | La partición requiere una acción del administrador. |
VENCIÓ | La partición (y actualmente también toda la aprobación) ha expirado y ya no requiere ninguna acción. |