14.2. 默认组

用户的特权由用户的 group(role)成员身份决定。用户可以分配给以下三个组(角色):
  • 管理员。此组被授予对管理界面中所有可用任务的完全访问权限。
  • 代理。此组被授予对代理服务接口中所有可用任务的完全访问权限。
  • 审核员.通过此组查看签名的审计日志,可以访问此组。这个组没有任何其他特权。
有一个专为子系统之间的通信而创建的第四个角色。管理员绝对不应将真实用户分配给这样的角色:
  • 企业管理员。在配置期间,每个子系统实例将自动分配一个特定于子系统的角色,作为企业管理员。这些角色在安全域的子系统之间自动提供可信关系,这样每个子系统都可以高效地与其他子系统交互。

14.2.1. 管理员

管理员具有执行所有管理任务的权限。用户通过将 添加到组的 Administrators 组来指定或识别为管理员。该组的每个成员均具有证书证书系统nbsp;System 的管理权限。
必须至少为每个证书证书系统nbsp;System 实例定义了一个管理员,但实例可以拥有的管理员数量没有限制。配置实例时会创建第一个管理员条目。
管理员使用其证书证书系统nbsp 并通过简单的绑定进行身份验证;系统用户 ID 和密码。

表 14.1. 安全域用户角色

角色 描述
安全域管理员
  • 在安全域的用户和组数据库中添加和修改用户。
  • 管理共享信任策略。
  • 管理域服务中的访问控制。
默认情况下,托管域的 CA 管理员将作为安全性域管理员分配。
Enterprise CA 管理员
  • 从域中的任何 CA 自动批准任何子 CA、服务器和子系统证书。
  • 在安全域中注册和取消注册 CA 子系统信息。
企业 KRA 管理员
  • 从域中的任何 CA 自动批准任何传输、存储、服务器和子系统证书。
  • 在安全域中注册和取消注册 KRA 子系统信息。
  • 将 KRA 连接器信息推送到任何 CA。
Enterprise OCSP 管理员
  • 从域中的任何 CA 自动批准所有 OCSP、服务器和子系统证书。
  • 在安全域中注册和取消注册 OCSP 子系统信息。
  • 将 CRL 发布信息推送到任何 CA。
Enterprise TKS 管理员
  • 从域中的任何 CA 自动批准任何服务器和子系统证书。
  • 在安全域中注册和取消注册 TKS 子系统信息。
Enterprise TPS 管理员
  • 从域中的任何 CA 自动批准任何服务器和子系统证书。
  • 在安全域中注册和取消注册 TPS 子系统信息。
必要时,安全域管理员可以管理安全域和各个子系统的访问控制。例如,安全域管理员可以限制访问,使只有财务部门 KRA 管理员才能设置财务部门 KRA。
企业子系统管理员具有足够的特权,以便对域中的子系统执行操作。例如,企业 CA 管理员在配置过程中自动批准了子 CA 证书的权限。或者,如果必要,安全域管理员可以限制此限制。