Column | ||
---|---|---|
| ||
Buypass Access Solution inngår i Buypass Bedriftsløsning. Det er en løsning for effektiv og sikker tilgang til virksomhetens interne og eksterne tjenester som krever elektronisk ID for identifisering, signering og kryptering. Løsningen inkluderer eget administrasjonsgrensesnitt for lokal utstedelse av smartkort med elektronisk ID på ulike sikkerhetsnivå, og kan inkludere fysisk adgangskontroll i samme kort. Løsningen støtter bruk av bedriftens egne sertifikater for tilgang til nettverk og andre lokale tjenester, samt Buypass kvalifiserte sertifikater som blant annet brukes for meldingsutveksling og tilgang til en rekke offentlige tjenester – i ett og samme kort. Buypass Access Solution består av følgende komponenter:
Dette siden er en Systembeskrivelse og teknisk guide for Buypass Access Solution. Siden beskriver Buypass Access Manager - LRA-klienten (System) som benyttes hos virksomheten (Brukerstedet). Systemeierskap og drift tillegges bedriftens IT-drift (Systemeier / driftsansvarlig). Leverandør av systemet er Buypass AS (Leverandøren). Disse begrepene blir benyttet videre. Buypass Access ManagerBuypass Access Manager er klientprogramvare utviklet av Buypass. Tidligere var den kun kjent som Buypass LRA (Local Registry Authority), men i 2014 fikk den navnet Buypass Access Manager som en del av Buypass Bedriftsløsning – Buypass Access Solution.
BAM-klienten er utviklet i .NET. BAM har følgende enheter/komponenter/grensesnitt:
BAM må ha følgende portåpninger:
BAM-PCVirksomheten må selv skaffe en PC / stasjonær maskin hvor BAM-klienten skal installeres. Buypass har ingen eksplisitte krav til BAM-PC, men anbefaler bruk av stasjonær maskin eller en bærbar PC med litt størrelse på skjerm og stor strømkapasitet for tilkobling av periferiutstyr. RA-ADMIN og Operatører som skal operere BAM-klienten trenger ikke være lokal administrator. HardwareStandard oppsett. OperativsystemBuypass Access Manager støtter flere WIN-versjoner. Vi anbefaler Win10 64-bits, men kan kjøres på Win7, da fortrinnsvis 64-bits maskin. 32 bits fungerer, men anbefales ikke lenger. DiskoppsettStandard diskoppsett. KonfigurasjonIngen avhengigheter til standard Windows konfigurering. USB porterSkanner, Signaturplate, Secure PIN PAD, Operatør-kortleser, mus og tastatur krever 6 ledige USB porter. Vi anbefaler bruk av en USB-hub - husk denne må ha egen strømforsyning. StrømI tillegg til skjerm og PC, trenger skanneren en egen strømkilde, eventuelt også USB-hub. SkjermSkjerm bør ha minimum oppløsning på 1280x1024 for best mulig utnyttelse av BAM-klienten. Programvare og installasjonBuypass Access Manager består av programvare for selve klienten og diverse drivere for periferutstyr. Klientapplikasjonen er utviklet i .NET. Sørg for at siste versjon av .NET er installert. Utvikling og oppgradering av funksjonalitet i BAM vil kunne kreve nyere . NET versjoner. Når dette skjer vil det blir angitt i releasenotater - se Releaser. Driverprogramvare for periferutstyr er beskrevet i de neste kapitlene i tilknytning til hver komponent. Lenker til Leverandørenes nettsteder er gjengitt, men vi gjør oppmerksom på at disse kan bli lagt ned eller endret uten at vi får slik informasjon og kan være helt oppdatere her. Installasjonspakken består av et setup-program – install wizard som guider deg gjennom installasjonen. Programpakken lagres i en lokal katalog på BAM-PCs C-disk.
For detaljer om installasjon se Installation guide - ClientReadMe og om konfigurering i Configuration Application Tool - guide. BAM-klienten vil få et ikon på skrivebordet og et i startmenyen. KortlesereBAM-klienten krever minimum 1 kortleser for Operatørens ID-kort. Kortlesere som benyttes må være PC/SC kompatible, for eksempel:
Det finnes løsninger hvor kortleser er integrert i PC- eller PIN-tastaturet, og mange ønsker å bruke disse for smartkortene. NB! Vi har erfart noen problemer med ulike typer av disse, så vi anbefaler at dette testes.
Figur: Kortleser OMNIKEY CardMan 1021 koblet til BAM-PC med USB kabel. DrivereVed installasjon av Buypass Access Manager vil siste versjon av driver software bli levert av Buypass. Som oftest blir disse driverne lastet ned automatisk fra Microsoft, men ny software slippes jevnlig, og oppdateringer kan lastes ned fra leverandørenes egne nettsider – søk deg frem til «din» modell - f.eks:
Husk å legge inn originaldriverne til kortleserne - ellers vil standard Windowsdrivere benyttes, og disse kan være gamle! PIN tastaturBrukes når brukeren skal taste sin PIN, enten når PIN settes ved nyutstedelse av ID-kort, når PIN skal avblokkeres eller endres, eller ved identifisering. PIN tastaturet som benyttes for BAM-klienten er en PIN-PAD Gemalto CT700 med display og kortleser. PIN tastaturet er PC/SC kompatibel, og kobles til BAM-PC med USB kabel som følger med.
Figur: Pintastatur (PinPad) Gemalto CT700 koblet til BAM-PC med USB kabel. DrivereVed installasjon av Buypass Access Manager vil siste versjon av driver software bli levert av Buypass. Ny software slippes jevnlig, og oppdateringer bør lastes fra Gemaltos supportsider. SignaturplateSignaturplaten brukes ved aksept av brukererklæring og avtalevilkår for sertifikater i tillegg til innhenting av brukernes signatur. Signaturplaten Topaz SignatureGemLCD 1x5 kobles til BAM-PC via USB kabel som følger med. Signaturplater av denne typen er utstyrt med aktive elektroniske penner som har batteri. Levetiden for batteriet er estimert til å vare ca 100 000 signaturer. For å bytte batterier skru av lokket bak på pennen. Figur: Signaturplate (SignPad) Topaz SignatureGemLCD 1x5 koblet til BAM-PC med USB kabel. DrivereVed installasjon av Buypass Access Manager vil siste versjon av driver software bli levert av Buypass. Ny software slippes jevnlig, og oppdateringer bør lastes fra Topaz System Incs egne nettsider: https://www.topazsystems.com/siggemlcd1x5.html SkannerSkanneren brukes ved innskanning av legitimasjonsdokumenter ved utstedelse av sertifikater. Skannerne Fujitsu fi-65F er A6-dokument skannere kobles som kobles til BAM-PC med USB kabel som følger med. Figur: Skanner Fujitsu fi-65F koblet til BAM-PC med USB kabel. DrivereVed installasjon av Buypass Access Manager vil siste versjon av driver software bli levert av Buypass. Ny software slippes jevnlig, og oppdateringer bør lastes fra Fujitsus egne nettsider: http://www.fujitsu.com/us/support/products/computing/peripheral/scanners/support/paperstream-ip-software/ Microsoft CA og ADBuypass Access Manager kommuniserer med AD og lokal CA. BAM-PC må være i samme domene som AD og lokal CA og ha nødvendige port åpninger mot disse serverne. Microsoft CABuypass Access Manager benytter et COM-basert grensesnitt mot Microsoft CA i forbindelse med utstedelse og sperring av lokale sertifikater. Ved kommunikasjon mot CA benytter klienten port 80,135 og 443 som må åpnes i brannmur. Se forøvrig RSAT - Remote Server Administration Tools for Windows og TIPS - .NET-versjon på Win10. Sertifikattemplates
Ved utstedelse av sertifikater på ID-kort og lånekort sender BAM-klienten en signert sertifikatforespørsel inn til lokal CA og får en respons i retur med det nye sertifikatet. Forespørselen signeres elektronisk av Operatøren ved bruk av Operatørens Enrollment Agent sertifikat (EA). Sjekk eksempel på konfigurering av templates under ulike Server-versjoner. Active Directory (AD)Buypass Access Manager henter opplysninger om brukere fra Active Directory (AD). Oppslaget skjer via port 389 LDAP (Lightweight Directory Access Protocol) og autentisering mot AD i denne protokollen - se beskrivelse av konfigurering Configuration Application Tool - guide. Opplysninger som hentes om en bruker er:
Denne informasjonen må være tilgjengelig i AD og er en mapping mellom attributter i AD og disse informasjonselementene i klienten spesifiseres i konfigurasjonsfilene. NOTE: Det skjer ingen oppdatering av brukerdata i AD fra BAM-klienten. Kun informasjon om utstedte og sperrede sertifikater oppdateres basert på CA-informasjon. Sertifikatgrupper i AD AD opererer med 4 sertifikatgrupper for BAM:
CRLMS CA produserer jevnlig lister over sperrede sertifikater også kalt sperrelister eller CRLer. Sperrelistene har en varighet som settes av bedriften. Sperrelisten må publiseres på en, men gjerne flere kilder (AD, http/https, fil). Lenke(r) legges inn som informasjonselement i sertifikatene. Alle arbeidsstasjoner, terminalservere og lignende som benyttes til pålogging må ha tilgang til sperrelisten. I de tilfeller hvor sperrelisten er utilgjengelig eller gått ut på dato vil pålogging ikke være mulig. Det er kritisk for bedriften at en gyldig sperreliste er tilgjengelig til enhver tid. Sperrelisten bør derfor være redundant. Buypass Sentrale Systemer (BPS)BAM-klienten kommuniserer med Buypass’ sentrale systemer ved pålogging og i forbindelse med operasjoner med kvalifiserte sertifikater. Porten som må åpnes i brannmur mot Buypass er 443. Kommunikasjonsprotokollen går kryptert over internett. Åpningen mot internett krever at brukerstedet har en åpning i brannmur mot Buypass. https://lts.buypass.no/weblts/p1 I tillegg til bruk av https benyttes et Buypass Brukerstedssertifikat for signering av kommunikasjonen fra BAM til Buypass webservicemottak (WebLTS). Dette må bestilles spesielt fra Buypass ved inngåelse av en Abonnementsavtale for Brukerstedssertifikat. Brukerstedssertifikatet er tilknyttet organisasjonen, slik at samme sertifikat installeres via Microsoft Management Console på hver BAM-PC. Lokale filområderBuypass Access Manager må settes opp med tilgang til 3 filområder som håndterer tre ulike sett med dokumenter.
Porter som må åpnes mot nettverkslagring er standard porter for filoverføring i Windows nettverk (135,137 og 139). Område for kontrolldokumentBAM-klienten genererer og lagrer PDF-filer som dokumenterer de kontroller som er gjennomført ifbm operasjoner i BAM-klienten, såkalte kontrolldokumenter. Disse filene lagres og arkiveres i et dokumentregister i nettverket som mappes opp fra BAM-klienten når den starter. Operatøren bekrefter operasjonene gjennom å signere disse dokumentene elektronisk. For operasjoner som også inkluderer kvalifiserte sertifikater vil en kopi av kontrolldokumentet bli oversendt Buypass. Alle som skal operere BAM-klienten, RA-ADMIN og Operatører må ha minimum skrive-tilgang til dokumentområdet. Utover det bør dokumentene ikke være tilgjengelig for alle i organisasjonen. Kun autorisert personell, eller de som virksomheten ønsker skal ha tilgang bør få lesetilgang til området. Det bør vurderes hvem som skal ha rettigheter til å slette/kopiere dokumentene for vedlikehold og driftsoppgaver, f.eks. personell i Sikkerhetsavdelingen. NOTE:
Område for rapporterBAM-klienten kan settes opp med et filområde for rapportersom ikke er det samme filområde som PDF-dokumentene. Rapporten vist i skjermbildet kan lagres som Excel-dokument på rapportområdet. Område for fjernfunksjonerOm fjernfunksjonerer i bruk må det defineres et eget filområde hvor sertifikatforespørsler og sertifikatresponser skal plasseres. Dette er filer som inneholder sertifikatrequester (.req) og den offentlige delen av sertifikatene (.cer) når disse er produsert og er klare for lasting i kortene. Filområdet må være et område som uautoriserte brukere har skrive og lese-tilgang til siden brukerne for flere av funksjonene ikke er pålogget domenet. NB! Gjelder kun administrering av lokale sertifikater. Aksess og tilgangsrettigheter
Kommunikasjon og tilgjengelighetBasert på hvilken Mode BAM-klienten er satt opp i er klienten avhengig av å kommunisere med lokal CA/AD, lokale filområder og Buypass’ sentrale systemer (BPS) ved oppstart og underveis ved utstedelse og administrasjon av kort og sertifikater. Figur: Oppstart av BAM-klienten når denne er konfigurert til MixedMode. «BakcupMode» I MixedMode skal BAM-klienten ha kommunikasjon både lokalt mot egen CA/AD og mot Buypass. Dersom forbindelsen mot Buypass av en eller annen årsak mistes vil BAM-klienten gi melding til Operatøren om dette og gi mulighet for Operatøren å fortsette med lokale operasjoner, dvs. lokal utstedelse og administrasjon av sertifikater og kort som om BAM-klienten ble satt i Local Mode. Forbindelsen til Buypass vil bli forsøkt gjenopprettet når ny funksjon som krever kommunikasjon mot Buypass startes, men Operatøren må da starte klienten på nytt og autentisere seg mot Buypass. DatabaserBuypass Access Manager har ikke egne databaser. BAM-klienten henter all brukerinformasjon fra lokal AD og Buypass avhengig av Mode.
NOTE: Det skjer ingen oppdatering av brukerdata i AD fra BAM-klienten. Kun informasjon om utstedte og sperrede sertifikater oppdateres basert på CA-informasjon. |
Column | ||
---|---|---|
| ||
Column | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
|
Column | ||
---|---|---|
| ||
Section | ||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Include Page | ||||
---|---|---|---|---|
|
Include Page | ||||
---|---|---|---|---|
|
Include Page | ||||
---|---|---|---|---|
|