Versions Compared

Old Version 6

changes.mady.by.user Stine Granviken

Saved on

compared with

New Version 7

changes.mady.by.user Stine Granviken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

 

Column
width62%

Fra og med versjon 3.5 av .net versjonen av BAM-klienten er det mulig å laste 2 lokale påloggingssertfikater for en vanlig ansatt. Hittil har det kun vært mulig for Operatører hvor BAM-klienten laster et lokal påloggingssertifikat (LC) og et lokalt Entrollment Agent sertifikat (EA).

 

Forutsetninger:

  1. BAM-klienten må være satt opp i Local Mode eller Mixed Mode - Buypass Mode er uaktuell for lokale sertifikater
     
  2. BAM-klienten må være konfigurert for å tillate utstedelse av flere lokale sertifikater
     
  3. En fysisk bruker må være satt opp
med
  1. med 
    1. 2 AD-brukere - begge linket til i en og samme AD (implementert fra v3.5)
    2. 2 AD-brukere i forskjellige ADer hvor ADer må være definert under samme CA og tilgjengelig fra samme BAM-klient - om ADene er tilknyttet forskjellige CAer se pkt 8 (implementert fra v3.6)
       
  2. Kortet må ha ledig lomme for å kunne laste et nytt sertifikat - det betyr at
når
  1. kortet er "fullt" når det er lastet ned 2 lokale sertifikater
     
  2. Operatørkort kan IKKE få lastet flere lokale påloggingssertifikater da Operatørkort krever EA-sertifikat i tillegg til påloggingssertifikat (LC)
     
  3. Operatøren får et utvidet ansvar for å sjekke at
de lokale
  1. sertifikatene som lastes i et kort tilhører en og samme fysiske bruker
     
  2. Dersom begge AD-brukerne er satt opp med tilknytning til kvalifiserte sertifikater (QC) vil det lastes kvalifiserte sertifikater tilknyttet første AD-bruker - for andre AD-bruker blir QC ignorert
     
  3. Dersom en bruker har 2 AD-kontoer i ADer knyttet til ulike CAer MÅ sertifikatene utstedes fra 2 BAM-klienter - følgende gjelder:
    1. To eller flere BAM-klienter tilhørende samme organisasjon må konfigureres med hver sine CAer og tilhørende ADer
    2. Hver av BAM-klientene må ha Operatører som har EA-sertifikat tilhørende tilknyttet CA - dersom samme Operatør skal kunne operere flere klienter må Operatøren ha flere smartkort hvor hvert kort har sertifikater fra hver sin CA
    3. Når et Brukerkort har sertifikater fra ulike CAer som ikke er koblet med trust (= kjent for hverandre) vil Operatøren få melding om at det foreligger andre lokale sertifikater på kortet som er "ukjente" og vise sertifikatinformasjon lest fra kortet. Operatøren må være oppmerksom og har ansvar for å sjekke at sertifikatene som lastes i et kort tilhører en og samme fysiske bruker

  4. Når et Brukerkort allerede har sertifikater fra samme eller ulike ADer/CAer vil det alltid bli sjekket at Brukerkortet tilhører organisasjonen, dvs. at den kortspesifikke nøkkelen (Kcard) er generert av et Operatørkort med riktig organisasjonsspesifikk nøkkel (Korg)


Et smartkort som brukes som ansattkort i BAS-løsningen har en applikasjon i chippen med 4 lommer hvor det er plass til totalt 4 sertifikater. 2 av lommene er "lukket", dvs. her kan det kun lastes kvalifiserte sertifikater fra Buypass. 2 av lommene er "åpne", dvs at det kan lastes lokale sertifikater fra en Bedrifts egen CA.

 

Konfigurering

Tillat bruk av flere påloggingssertifikater:

  • Start Buypass Access Manager Configuration Application Tool
  • Trykk på Open-knappen og åpne MASTER-filen
  • Gå til fanen IssueProcess
  • Slå på Allow More Local Certificates
  • Husk å lagre endringen - trykk på Save-knappen

Image Added

 

Definer flere ADer:

  • Start Configuration Application Tool
  • Trykk på Open-knappen og åpne MASTER-filen
  • Gå til fanen AD: <navn på AD> - du får nå opp fanene Common, Employee mappings og Group mappings ved siden av hverandre midt i bildet til høyre for AD-fanen
    • Er BAM-klienten allerede operativ vil du finne registrerte verdier for den ADen som allerede har vært brukt så langt (AD_1) - denne oppfattes nå som hoved AD
    • Er dette en ny BAM-klient må verdier for den ADen som har flest tilknyttede Brukere registreres
  • Når neste AD skal konfigureres kan du enten trykke på
    • ADD-knappen - du vil da få en ny fane til venstre i bildet under den første AD-fanen og du har mulighet til å registrere alle verdier for denne
    • COPY-knappen - du vil få opp en ny fane til venstre i bildet under den AD-fanen du står på når du taster COPY som er en kopi av forrige AD med alle verdier dens verdier - gjør nødvendige endringer
  • Gjenta ADD/COPY inntil du har fått registrert det antall ADer du ønsker tilknyttet BAM-klienten
  • Husk å lagre endringene - trykk på Save-knappen

 

Image Added

 

Egen brukerguide for Configuration Application Tool finnes her.


ID-kort funksjonene - ny, erstatt og forny sertifikater

Tomt kort

Ingen endringer i funksjonalitet i forhold til dagens løsning. Når kortet settes i kortleseren og kortet kontrolleres vil Operatøren gå direkte til manuelt søk.

 

Kort med ett eksisterende lokalt sertifikat

Når kortet settes i kortleseren og kortet kontrolleres vil Operatøren få opp et bilde som viser eksisterende sertifikat med tilhørende AD-bruker pluss en ny knapp - Last Nytt LC.

Dersom Operatøren ønsker å administrere eksisterende sertifikat velges dette og trykker deretter Forsett - her går Operatøren inn i ordinært senario med forny sertifikat.

Dersom Operatøren ønsker å legge til et nytt sertifikat på kortet for denne brukeren trykkes Last Nytt LC og Operatøren gå til manuelt søk.

Operatør søker etter ny relevant AD-bruker, velger ønsket AD-bruker og trykker deretter Fortsett - her går Operatøren inn i ordinært senario med nytt sertifikat.

 

Kort med to eksisterende lokale sertifikater

Når kortet settes i kortleseren og kortet kontrolleres vil Operatøren få opp et bilde som viser eksisterende sertifikat med tilhørende AD-brukere og knappen Last Nytt LC er dektivert, fordi det er ikke plass til mer enn 2 lokale sertifikater i kortet. Det er altså ikke mulig å laste flere sertifikater når alle "lommene" er opptatt. 

Dersom Operatøren ønsker å administrere et av de eksisterende sertifikatene velges det som skal fornyes og trykker deretter Forsett - her går Operatøren inn i ordinært senario med forny sertifikat.

 

Eksempler 

 BAM-klient modusBrukerGrupperKort FØR ID funksjonKort ETTER ID-kort funksjon
Local ModeLiseLCTomtLC for Lise
Local ModeLiseAdministratorLCLC for LiseLC for Lise & LC for LiseAdministrator
Local ModeLiseSikkerhetLCLC for Lise & LC for LiseAdministrator"Fullt" - ikke mulig å laste flere sertifikat
     
Local ModeLiseOperatørLC+EATomtLC+EA for Lise
Local ModeLiseAdministratorLCLC+EA for Lise"Fullt" - ikke mulig å laste flere sertifikat
     
Mixed ModeBobLCTomtLC for Bob
Mixed ModeBobAdministratorLCLC for BobLC for Bob & LC for BobAdministrator
Mixed ModeBobSikkerhetLCLC for Bob & LC for BobAdministrator"Fullt" - ikke mulig å laste flere sertifikat
     
Mixed ModeBobLC+QCTomtLC+QC for Bob
Mixed ModeBobAdministratorLC+QCLC+QC for BobLC+QC for Bob & LC for BobAdministrator (QC for BobAdministrator ignorert - kort har allerede QC)
Mixed ModeBobSikkerhetLC+QCLC+QC for Bob & LC for BobAdministrator"Fullt" - ikke mulig å laste flere sertifikat
     
Mixed ModeLiseOperatørLC+EA+QCTomtLC+EA+QC for Lise
Mixed ModeLiseAdministratorLCLC+EA+QC for Lise"Fullt" - ikke mulig å laste flere sertifikat
     

 

Kort med eksisterende kvalifiserte sertifikater

Det er fullt mulig å laste nytt LC på et kort som har QC utstedt fra Buypass eller annen utsteder (Issuer), men da vil eventuell gruppetilhørighet til QC (Kvalifiserte sertifiakter) for de brukerne som søkes frem i AD bli ignorert. 

BAM-klient modusBrukerGrupperKort FØR ID funksjonKort ETTER ID-kort funksjon
Mixed Mode Knut LC+QC QC for Knut utstedt fra BuypassLC for Knut & QC for Knut utstedt fra Buypass (QC for Knut ignorert - kort har allerede QC)
Mixed Mode KnutSikkerhet LC+QC LC for Knut & QC for Knut utstedt fra Buypass LC for Knut & LC for KnutSikkerhet & QC for Knut utstedt fra Buypass (QC for Knut ignorert - kort har allerede QC) 

 

Kort med eksisterende lokale sertifikater fra flere ADer/CAer

En BAM-klient kan konfigureres til å gå mot en lokal AD og en lokal CA i tillegg til Buypass CA for kvalifiserte sertifikater. I en bedrift er det mulig å sette opp flere BAM-klienter som går mot ulike AD/CAer i bedriften, og det gis nå støtte for at det kan utstedes lokale sertifikater fra ulike CAer i et og samme kort.

Forutsetninger:

Det må settes opp en BAM-klient pr CA i bedriften

Hver av BA-klientene må ha egne Operatører med kort knyttet til tilhørende AD/CA

Operatørene må tilhøre bedriftens BAM-regime, dvs. alle har samme Korg-nøkkel i Operatørkortet

 

Kort med eksisterende lokale sertifikater fra flere ADer tilknyttet samme CA

I neste versjon av BAM-klienten (v3.6) vil vi gi støtte for at en BAM-klient kan konfigureres til å støtte flere ADer underlagt en CA i tillegg til Buypass CA for kvalifiserte sertifikater. 

 


Column
width2%

Column
width26%
Div
classright-navigation

Innhold  

Page Tree
root@parent
startDepth2

Include Page
INCLIB:_right_navigation_style
INCLIB:_right_navigation_style

Column
width10%

Section
Column
width62%

Include Page
INCLIB:_bottom_bar
INCLIB:_bottom_bar

Column
width2%

Column
width26%
 
Column
width10%

Include Page
INCLIB:_navigation_buttons_style
INCLIB:_navigation_buttons_style
Include Page
INCLIB:doc_center_style
INCLIB:doc_center_style
 
Include Page
INCLIB:_template_style
INCLIB:_template_style