Roles
Descripción general
Redtrust implementa el control de acceso basado en roles (RBAC) utilizando roles para gestionar los permisos. En Redtrust, un rol define un conjunto de acciones que un usuario puede realizar, determinando su acceso a la consola de administración y a cualquier API asociada. Este modelo RBAC permite un control detallado de los permisos, permitiendo a los administradores adaptar el acceso a usuarios y grupos específicos. Por ejemplo, una función podría permitir a un grupo de usuarios generar solicitudes de firma de certificado (CSR) e importar certificados, mientras que otra podría restringir a los usuarios a ver únicamente los eventos de uso de certificados.
Configuración de roles
| Configuración | Descripción |
|---|---|
| Nombre | Nombre del rol. |
| Descripción | Campo opcional para introducir información descriptiva adicional sobre este rol. |
| Prioridad | Prioridad asignada a la función. Los niveles de prioridad se numeran empezando por 0, siendo 0 el más alto. |
Comprensión de la prioridad de roles
Redtrust gestiona las asignaciones de prioridad de roles dando la máxima prioridad a las asignaciones directas de los roles. Si a un usuario se le asigna directamente una función y también es miembro de un grupo con una función diferente, la asignación directa tendrá prioridad, incluso si la función del grupo tiene una prioridad más alta. Cuando un usuario es miembro de varios grupos con diferentes asignaciones de funciones, se aplicará la función que tenga mayor prioridad. Para evitar incoherencias, es importante no asignar a varios grupos de roles con el mismo nivel de prioridad. Para más detalles sobre cómo afecta la prioridad de roles a las asignaciones, consulta el ejemplo de roles.
Usuarios y grupos
Este campo permite seleccionar los usuarios a los que se aplicará este rol. Estos son los usuarios que finalmente tendrán los permisos definidos en el último paso del asistente de creación de roles. No es necesario asignar los usuarios durante la creación del rol, puedes añadirlos más tarde editando el rol.
| Usuarios del rol | Descripción |
|---|---|
| Dominios | Dominio en el que se encuentran los usuarios a los que desea asignar esta función. Comienza a escribir el nombre de su dominio y se rellenará automáticamente. Puedes seleccionar varios dominios si es necesario. |
| Usuarios (o grupos) | Usuarios o grupos de usuarios específicos que forman parte del dominio seleccionado a los que deseas asignar esta función. Comienza a escribir el nombre de usuarios o grupos y se rellenarán automáticamente. Puedes seleccionar varios usuarios o grupos de usuarios. |
Ámbito del rol
La asignación de dominios para el rol define qué dominios estarán en el ámbito de este rol. Si un dominio está en el ámbito, los usuarios de este rol podrán buscar y ver los usuarios de este dominio cuando asignen políticas. Si es necesario, se pueden seleccionar varios dominios. Este campo permite definir el ámbito de dominio para este rol. No es necesario establecerlo durante la creación del rol, puede cambiarse posteriormente editando el rol.
Grupos de certificados
Los grupos de certificados asignados al rol dan a los usuarios de este rol la capacidad de utilizar esos certificados al crear políticas.
Para añadir un grupo de certificados selecciona el botón Añadir grupo de certificados y se mostrarán todos los grupos de certificados disponibles. Puedes seleccionar la casilla de verificación de cada grupo que desees añadir. Una vez hayas terminado, haz clic en Añadir para asignar los grupos de certificados seleccionados al rol.
También puedes crear un nuevo grupo de certificados desde la misma ventana haciendo clic en Crear grupo de certificados. Aparecerá un cuadro de diálogo para introducir el nombre del nuevo grupo de certificados y, opcionalmente, un límite en el número de certificados que puede contener.
Una vez seleccionado el grupo de certificados, puedes establecer los permisos del grupo de certificados para los usuarios a los que se asigne el rol que se está creando.
| Permisos de grupo de certificados | Descripción |
|---|---|
| Añadir | Da permiso a los usuarios para añadir certificados al grupo. |
| Eliminar | Permite a los usuarios eliminar certificados del grupo. |
| Asignar a políticas | Permite a los usuarios asignar certificados de este grupo a políticas. |
| Ninguno | Los usuarios sin los permisos anteriores pueden ver los certificados. |
Si necesitas eliminar un grupo de certificados del rol, haz clic en el botón de acciones de la fila que deseas excluir y se te presentará la opción de eliminarlo.
Asignación de permisos a un rol
La sección de configuración de permisos del asistente de creación de roles te permite definir permisos granulares para los usuarios del rol. Estos ajustes se aplican a la consola de administración y a cualquier API asociada.
- Para habilitar un permiso para un usuario, selecciona la casilla situada junto al permiso que deseas habilitar.
- Para desactivar un permiso para un usuario, no selecciones la casilla.
Un usuario asignado a un rol sin grupo de certificados y sin permisos podrá autenticarse en la consola de administración pero no podrá ver ni acceder a nada.
Para obtener más información sobre la configuración de permisos, consulta la configuración role permission.