Funções
Visão geral
O Redtrust implementa o RBAC (Role Based Access Control, controle de acesso baseado em função) usando funções para gerenciar permissões. No Redtrust, uma função define um conjunto de ações que um usuário pode executar, determinando seu acesso ao console de administração e a quaisquer APIs associadas. Esse modelo RBAC possibilita um controle refinado sobre as permissões, permitindo que os administradores personalizem o acesso para usuários e grupos específicos. Por exemplo, uma função pode permitir que um grupo de usuários gere Solicitações de Assinatura de Certificado (CSRs) e importe certificados, enquanto outra pode restringir os usuários a apenas visualizar eventos de uso de certificados.
Configurações de função
| Configuração | Descrição |
|---|---|
| Nome | Nome da função. |
| Descrição | Campo opcional para inserir informações descritivas adicionais sobre essa função. |
| Prioridade | Prioridade atribuída à função. Os níveis de prioridade são numerados a partir de 0, sendo 0 o mais alto. |
Entendendo a prioridade da função
O Redtrust lida com as atribuições de prioridade de função dando às atribuições diretas de função a prioridade mais alta. Se uma função for atribuída diretamente a um usuário e ele também for membro de um grupo com uma função diferente, a atribuição direta terá precedência, mesmo que a função do grupo tenha uma prioridade mais alta. Quando um usuário for membro de vários grupos com diferentes atribuições de função, será aplicada a função com a prioridade mais alta. Para evitar inconsistências, é importante não atribuir funções a vários grupos com o mesmo nível de prioridade. Para obter mais detalhes sobre como a prioridade da função afeta as atribuições, consulte o exemplo de funções.
Usuários e grupos
Esse campo permite selecionar os usuários aos quais essa função se aplicará. Esses são os usuários que, em última análise, terão as permissões definidas na última etapa do assistente de criação de função. Não é necessário que os usuários sejam atribuídos imediatamente durante a criação da função; eles podem ser adicionados posteriormente, editando a função.
| Usuários da função | Descrição |
|---|---|
| Domínios | O domínio em que estão os usuários aos quais você deseja atribuir essa função. Comece a digitar o nome do seu domínio e ele será preenchido automaticamente. Você pode selecionar vários domínios, se necessário. |
| Usuários (ou grupos) | Os usuários ou grupos de usuários específicos que fazem parte do domínio selecionado ao qual você deseja atribuir essa função. Comece a digitar o nome dos seus usuários ou grupos e eles serão preenchidos automaticamente. É possível selecionar vários usuários ou grupos de usuários. |
Escopo da função
A atribuição de domínios para a função define quais domínios estarão no escopo dessa função. Se um domínio estiver no escopo, os usuários dessa função poderão pesquisar e ver os usuários desse domínio ao atribuir políticas. Se necessário, vários domínios podem ser selecionados. Esse campo permite definir o escopo do domínio para essa função. Ele não precisa ser definido durante a criação da função; pode ser alterado posteriormente, editando a função.
Grupos de certificados
Os grupos de certificados atribuídos à função dão aos usuários dessa função a capacidade de usar esses certificados ao criar políticas.
Para adicionar um grupo de certificados, selecione o botão Adicionar grupo de certificados e todos os grupos de certificados disponíveis serão exibidos. Você pode marcar a caixa de seleção de cada grupo que deseja adicionar. Quando terminar, clique em Adicionar para atribuir os grupos de certificados selecionados à função.
Você também pode criar um novo grupo de certificados na mesma janela, clicando em Criar grupo de certificados. Isso abrirá uma caixa de diálogo para inserir o nome do novo grupo de certificados e, opcionalmente, um limite para o número de certificados que ele pode conter.
Com um grupo de certificados selecionado, é possível definir as permissões do grupo de certificados para os usuários aos quais está sendo atribuída a função que está sendo criada.
| Permissões de grupo de certificados | Descrição |
|---|---|
| Adicionar | Dá aos usuários permissão para adicionar certificados ao grupo. |
| Remover | Dá aos usuários permissão para remover certificados do grupo. |
| Atribuir a políticas | Dá aos usuários permissão para atribuir certificados desse grupo a políticas. |
| Nenhum | Os usuários sem nenhuma das permissões acima podem ver os certificados. |
Se você precisar excluir um grupo de certificados da função, clique no botão de ações da linha que deseja excluir e será apresentada a opção de removê-lo.
Atribuição de permissões a uma função
A seção Configurações de permissões do assistente de criação de função permite definir permissões granulares para os usuários da função. Essas configurações se aplicam ao console de administração e a quaisquer APIs associadas.
- Para ativar uma permissão para um usuário, marque a caixa de seleção ao lado da permissão que deseja ativar.
- Para desativar uma permissão para um usuário, não marque a caixa de seleção.
Um usuário atribuído a uma função sem grupo de certificados e sem permissões poderá se autenticar no console de administração, mas não poderá visualizar ou acessar nada.
Para obter mais informações sobre as configurações de permissão, verifique as configurações de permissão de função.