14.2. デフォルトグループ

ユーザーの権限は、ユーザーのグループ (ロール) メンバーシップにより決定されます。ユーザーを割り当てることのできる 3 つのグループ (ロール) があります。
  • 管理者。このグループには、管理インターフェイスで利用可能なすべてのタスクへの完全なアクセスが付与されます。
  • エージェント。このグループには、エージェントサービスインターフェイスで利用可能なすべてのタスクに完全アクセスできます。
  • 監査者。このグループには、署名済み監査ログを表示するためのアクセスが付与されます。このグループには他の権限がありません。
サブシステム間の通信のみに限り作成される 4 つ目のロールがあります。管理者は、実際のユーザーをこのようなロールに割り当てることはできません。
  • エンタープライズ管理者。各サブシステムインスタンスには、設定中にセキュリティードメインに参加していると、エンタープライズ管理者としてサブシステム固有のロールが自動的に割り当てられます。これらのロールはセキュリティードメインのサブシステム間で信頼できる関係を自動的に提供し、各サブシステムが他のサブシステムと効率的に対話できるようにします。

14.2.1. 管理者

管理者には、すべての管理タスクを実行できるパーミッションがあります。ユーザーは、グループの Administrators グループに追加され、管理者として特定されます。このグループの各メンバーには、Certificate System のそのインスタンスに対する管理権限が必要です。
Certificate System インスタンスごとに少なくとも 1 つの管理者を定義する必要がありますが、インスタンスに割り当てることのできる管理者の数に制限はありません。インスタンスの設定時に最初の管理者エントリーが作成されます。
管理者は、Certificate System ユーザー ID とパスワードを使用して単純なバインドで認証されます。

表14.1 セキュリティードメインのユーザーロール

ロール 説明
セキュリティードメインの管理者
  • セキュリティードメインのユーザーおよびグループデータベースでユーザーを追加および変更します。
  • 共有信頼ポリシーを管理します。
  • ドメインサービスのアクセス制御を管理します。
デフォルトでは、ドメインをホストする CA の CA 管理者はセキュリティードメイン管理者として割り当てられます。
エンタープライズ CA 管理者
  • ドメインのサブ CA、サーバー、およびサブシステムの証明書を自動的に承認します。
  • セキュリティードメインで CA サブシステム情報を登録および登録解除します。
エンタープライズ KRA 管理者
  • ドメインの CA からトランスポート、ストレージ、サーバー、およびサブシステム証明書を自動的に承認します。
  • セキュリティードメインで KRA サブシステム情報を登録および登録解除します。
  • KRA コネクター情報を CA にプッシュします。
エンタープライズ OCSP 管理者
  • ドメイン内の CA から OCSP、サーバー、およびサブシステム証明書を自動的に承認します。
  • セキュリティードメインで OCSP サブシステム情報を登録および登録解除します。
  • CRL を公開する情報を CA にプッシュします。
エンタープライズ TKS 管理者
  • ドメインの CA からサーバー証明書およびサブシステム証明書を自動的に承認します。
  • セキュリティードメインで TKS サブシステム情報を登録および登録解除します。
エンタープライズ TPS 管理者
  • ドメインの CA からサーバー証明書およびサブシステム証明書を自動的に承認します。
  • セキュリティードメインで TPS サブシステム情報を登録および登録解除します。
必要に応じて、セキュリティードメイン管理者はセキュリティードメインおよび個別のサブシステムでアクセス制御を管理できます。たとえば、セキュリティードメイン管理者はアクセスを制限することで、KRA の管理者のみが 座有無部門の KRA を設定できるようにすることができます。
Enterprise サブシステムの管理者は、ドメインのサブシステムで操作を実行するのに十分な特権が付与されます。たとえば、エンタープライズ CA の管理者は、設定中にサブ CA 証明書を自動的に承認する特権があります。セキュリティードメイン管理者は、必要に応じてこの適切な制限を行うことができます。

14.2.2. 監査者

監査人は、署名された監査ログを表示でき、システムの動作を監査するために作成されます。監査人はサーバーを管理することはできません。
監査人は、ユーザーを Auditors グループに追加して、監査人の証明書をユーザーエントリーに保存することによって作成されます。監査人の証明書は、監査ログの署名に使用されるキーペアの秘密キーを暗号化するために使用されます。
サブシステムの設定時に Auditors グループが設定されます。設定中、このグループには監査人は割り当てられません。
監査人は、UID とパスワードを使用した単純なバインドで管理コンソールに認証されます。 認証が終わると、監査ログのみを表示できます。システムの他の部分は編集できません。

14.2.3. エージェント

エージェントは、エンドエンティティー証明書と鍵管理の特権が割り当てられているユーザーです。エージェントは、エージェントサービスインターフェイスにアクセスできます。
エージェントは、ユーザーを適切なサブシステムエージェントグループに割り当て、エージェントからの要求を処理するためにサブシステムへの SSL クライアント認証にエージェントが使用する必要のある証明書を識別することによって作成されます。各サブシステムには独自のエージェントグループがあります。
  • 証明書マネージャーエージェントグループ。
  • キーリカバリー認証局エージェントグループ。
  • オンライン証明書ステータスマネージャーエージェントグループ。
  • トークンキーサービスエージェントのグループ。
  • Token Processing System Agents グループ。
各 Certificate System サブシステムには、サブシステムで定義されたロールを持つ独自のエージェントがあります。各サブシステムには少なくとも 1 つのエージェントが必要ですが、サブシステムを持つエージェントの数に制限はありません。
Certificate System は、内部データベース内でユーザーの SSL クライアント証明書をチェックして、エージェント権限を持つユーザーを特定し、認証します。

14.2.4. エンタープライズグループ

注記
実際のユーザーはこのグループに割り当てることができません。
サブシステムの設定中に、すべてのサブシステムインスタンスがセキュリティードメインに参加します。各サブシステムインスタンスには、サブシステム固有のロールがエンタープライズ管理者として自動的に割り当てられます。これらのロールはセキュリティードメインのサブシステム間で信頼できる関係を自動的に提供し、各サブシステムが他のサブシステムと効率的に対話できるようにします。たとえば、これにより、OCSP はドメイン内のすべての CA に CRL 公開情報をプッシュし、KRA は KRA コネクター情報をプッシュし、CA は CA 内で生成された証明書を自動的に承認します。
Enterprise サブシステムの管理者は、ドメインのサブシステムで操作を実行するのに十分な特権が付与されます。各サブシステムには独自のセキュリティードメインロールがあります。
  • エンタープライズ CA 管理者
  • エンタープライズ KRA 管理者
  • エンタープライズ OCSP 管理者
  • エンタープライズ TKS 管理者
  • エンタープライズ TPS 管理者
また、ドメイン内のセキュリティードメイン、アクセス制御、ユーザー、および信頼関係を管理する CA インスタンス用の Security Domain Administrators のグループもあります。
各サブシステム管理者は、セキュリティードメイン CA によって設定時に発行されたサブシステム証明書を使用した SSL クライアント認証を使用して他のサブシステムに対して認証します。