Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

 



Column
width62%

Buypass Access Manager 

Buypass Access Manager inngår i Buypass Bedriftsløsning som er en brukervennlig løsning for fysisk og elektronisk sikring av bedriftens informasjon og kommunikasjon internt og mot eksterne. Buypass Bedriftsløsninger benytter smartkort og sertifikater.  Buypass Access Manager inkluderer nødvendige elementer for å oppgradere eksisterende infrastruktur for å ta i bruk smartkort og sertifikater. Dette inkluderer administrasjonsverktøy for håndtering av kort og sertifikater. Buypass Access Manager er et verktøy for Local Registration Authority - LRA. Løsningsbeskrivelsen gir oversikt over hva som skal til for å integrere Buypass Bedriftsløsning og LRA i bedriftens infrastruktur. Tilpasningsbehov og forutsetninger for infrastruktur beskrives.

Egnethet 

Buypass Bedriftsløsninger passer best for bedrifter som har ønske om å utstede sertifikater selv eller evt. via tredjepart. Gjerne i kombinasjon med visualisering (bilde og signatur) og fysisk adgangskontroll (magnetstripe/RFID/strekkode).

Bruksområde

Smartkort med sertifikater kan blant annet ha følgende bruksområder:

  •  Sikker pålogging til bedriftens IT-systemer og ressurser fra intern arbeidsplass (MS Smartcard logon / Terminalserver)
  •  Sikker pålogging til bedriftens IT-systemer og interne ressurser fra fjernarbeidsplass (VPN)
  •  Single Sign On (SSO)
  •  Signering og kryptering i fagsystemer med kvalifiserte sertifikater (Buypass kvalifiserte sertifikater)
  •  Signering og kryptering av dokumenter og e-post (Microsoft Outlook) med kvalifiserte sertifikater
  •  Identifisering, signering og kryptering med kvalifiserte sertifikater i bedriftens 3. parts programvare
  •  Tilgang til offentlige tjenester med kvalifisert sertifikater som AltInn, NAV m.m.

Kvalifiserte sertifikater - PKI

Buypass er registrert hos Post- og teletilsynet som utsteder av kvalifiserte sertifikater i henhold til Lov om e-signatur. LOV 2001-06-15-81: Lov om elektronisk signatur og FOR-2001-06-15-611: Forskrift om krav til utsteder av kvalifiserte elektroniske sertifikater. Buypass kvalifiserte sertifikater er deklarert i henhold til Selvdeklarasjonsforskriften og tilfredsstiller Kravspesifikasjon for PKI i offentlig sektor, versjon 2.0, fra 2012.

Buypass arbeider etter nasjonale og internasjonale standarder for å tilfredsstille beste praksis på området. Buypass kvalifiserte sertifikater er i henhold til ”SEID – Anbefalte sertifikatprofiler for personsertifikater og Virksomhetssertifikater, versjon 1.02” (tilgjengelig på www.npt.no). Buypass kvalifiserte sertifikater utstedes av Buypass Class 3 CA.

Buypass RA - delegering av ansvar

Buypass er utsteder av og sertifikatautoritet for Buypass kvalifiserte elektroniske sertifikater, regulert i LOV 2001-06-15-81: Lov om elektronisk signatur og FOR-2001-06-15-611: Forskrift om krav til utsteder av kvalifiserte elektroniske sertifikater.

Bedrifter som skal benytte Buypass kvalifiserte sertifikater må inngå en avtale med Buypass hvor Buypass delegerer myndighet til å utstede og administrere kvalifiserte sertifikater på vegne av Buypass. Bedriften blir registrert som en Buypass RA (Registration Authority). Bedriften godtar ved inngåelse av avtalen Buypass’ krav og retningslinjer for utstedelse av kvalifiserte sertifikater. I den forbindelse utnevner bedriften et antall personer (minimum 2 personer) som RA-ADMINer (Registration Authority Administrator). RA-ADMIN får rettigheter til å delegere ansvaret videre internt i bedriften til LRA Operatører.

Ansvar og plikter for involverte parter/personell er beskrevet i Certificate Policy (CP) for Buypass Class 3 Certificates. Denne finner du under Personlige kvalifiserte sertifikater under CA Dokumentasjon (juridisk) på Buypass' nettsider.

Brukere av Buypass Access Manager

Det vil kun være autoriserte Operatører som kan betjene LRA-klienten. Operatører er fellesbenevnelse på RA-ADMINer og LRA Operatører. Begge er roller som har ansvaret for utstedelse og administrasjon av sertifikater til brukere / ansatte. Rollene benevnes som Operatører i fortsettelsen med mindre funksjoner er forbeholdt en av rollene.

  

Neste >>

Utgangspunktet for en bedriftsløsning er at smartkort med sertifikater skal benyttes for innlogging ved elektronisk identifisering, signering, evt kryptering/dekryptering, i bedriftens IT-systemer og interne og eksterne tjenester.


For at smartkort skal fungere må eksisterende infrastruktur være oppdatert med følgende komponenter: 

  • Buypass Access Manager - BAM-klient – programvare som utsteder og administrerer sertifikater for bedriftens brukere fra lokal CA og Buypass CA
  • Smartkort med Buypass chip som kan inneholde kombinasjonen av lokale og kvalifiserte sertifikater
  • Lokal MS CA (Microsoft Certificate Authority) med tilhørende CRL (Certificate Revocation List)
    • Lokal CA utsteder lokale sertifikater som kan benyttes internt i bedriften
    • CRL er en liste over sperrede lokale sertifikater
    • Alle PCer og terminaler må ha tilgang til CRL
  • Lokal MS AD (Microsoft Active Directory) for administrasjon av bedriftens brukere
  • Åpning mot Buypass CA med tilhørende CRL'er (Certificate Revocation List)
    • Buypass CA utsteder kvalifiserte sertifikater som kan benyttes internt i bedriften eller eksternt mot lukkede fagsystemer eller åpne tjenester
    • CRL er en liste over sperrede kvalifiserte sertifikater      
  • Buypass Access Enterprice – programvare som kommuniserer med smartkortet. Programvaren installeres på PCer, terminalservere og eventuelt andre servere hvor smartkort skal benyttes. Programvaren omtales også som en CSP (Certificate Service Provider)

  • PC-er og/eller terminaler må ha tilkoblet kortleser for smartkort

 

Buypass Access Manager – BAM-klienten

Buypass Access Manager er en klientapplikasjon, kjent som BAM-klienten. Klienten benyttes for utstedelse og administrasjon av lokale påloggingssertifikater og kvalifiserte sertifikater fra Buypass. Sertifikatene utstedes til brukere / ansatte tilknyttet virksomheten, og lastes ned i Buypass chip på ID-kortene.

BAM-klienten installeres på en PC eller stasjonær maskin som befinner seg på egnet området hindret for innsyn direkte på skjermen pga brukerinformasjon. Buypass har ingen eksplisitte krav til PC/maskin, men anbefaler bruk av PC/maskin med oppdatert OS, litt størrelse på skjerm og stor strømkapasitet for tilkobling av periferiutstyr.


BAm-klienten betjenes av en Operatør som selv benytter sitt personlige ID-kort for autentisering og elektronisk signering. I forbindelse med utstedelse av sertifikater skal det gjennomføres en legitimasjonskontroll som inkluderer innskanning av legitimasjonsdokument og innhenting av ansattes håndskrevne signatur.


BAM-klienten henter opplysninger om ansatte som skal ha sertifikater fra et lokalt Microsoft Active Directory (AD). De lokale sertifikatene utstedes fra en lokalMicrosoft Certificate Authority (CA).


Lokalt dokument register, er et område i nettverket med begrenset tilgang, hvor alle kontrolldokumenter (PDFer) fra BAM-klienten lagres. De fleste operasjoner som utføres i BAM-klienten blir dokumentert i form av disse kontrolldokumentene. Operatøren bekrefter operasjonene gjennom å signere disse dokumentene elektronisk. For operasjoner som også inkluderer kvalifiserte sertifikater vil en kopi av kontrolldokumentet bli oversendt Buypass.


BAM-klienten kommuniserer med Buypass sentrale systemer (BPS) via et eget grensesnitt (WebLTS/BAS Service) hvor alle meldinger signeres og krypteres. Dette benyttes ved pålogging på BAM-klienten og i forbindelse med operasjoner som involverer kvalifiserte sertifikater. Hvis Buypass ikke er tilgjengelig, vil BAM-klienten operere i lokal modus og kun utstede og administrere lokale sertifikater.


Smartkort

Et ID-kort er et Buypass smartkort. Smartkortet har en chip med Multos operativsystem og en elektronisk ID-applikasjon som kan inneholde flere sertifikattyper, både lokale og kvalifiserte. Virksomheten avgjør i hvert enkelt tilfelle hvilke sertifikater en bruker skal ha.

Fysiske tilganger og utseende på smartkortet er ikke en del av Buypass Bedriftsløsninger, men ivaretas av virksomheten internt eller via annen aktør. 


Lokal CA/AD

Lokale sertifikater utstedes via Microsoft Certificate Authority (CA). Lokale sertifikater kan være sertifikater beregnet for brukere (brukersertifikater) eller for klienter/pc/servere/andre fysiske enheter (maskinsertifikater). BAM-klienten administrerer lokale brukersertifikater.


En CA forutsetter tett integrasjon med Microsoft Active Directory (AD) som administrerer brukerne av sertifikatene. Det er en en-til-en kobling mellom CA og AD. Installasjon av lokal CA medfører at det også må opprettes brukere og grupper i lokal AD.


En lokal CA åpner for at virksomheten selv kan sette varigheten på sertifikatene. Det er også mulig å definere forskjellige sertifikattyper med ulike varighet. Dette gir for eksempel bedriften mulighet til å utstede lånekort med kun få dagers/timers gyldighet.


Ved etablering av en lokal CA kan bedriften velge å utarbeide egen Certificate Policy (CP), samt en Certificate Practice Statement (CPS). En CP inneholder et sett med regler som sier hvordan sertifikatene utstedes og behandles, mens en CPS beskriver hvordan reglene i CPen etterleves. Dette er ikke et krav – mange støtter seg til Certificate Policy for Buypass Class 3 Qualified Certificates (CP) og Certificate Practice Statement for Buypass Class 3 Qualified Certificates (CPS) som finnes på Buypass nettside under CA Dokumentasjon og Personlige kvalifiserte sertifikater.


Lokal CA kan og bør inkluderes i et CA hierarki i form av rotsignering. Det åpner for tillit mellom bedrifter i samme CA hierarki. Sikkerhetsmessig bør rotCA være offline, mens underliggende utstedende CAer er online. Når lokal CA inngår i et hierarki skal rot CAens CP aksepteres. Hvordan bedriften etterlever rot CAens CP, kan dokumenteres for eksempel i en CPS.


MS CA er en del av MS Windows Server (forutsetter en Enterprise versjon). 

CRL

MS CA produserer jevnlig lister over sperrede sertifikater også kalt sperrelister eller CRLer. Sperrelistene har en varighet som settes av bedriften. Sperrelisten må publiseres på en, men gjerne flere kilder (AD, http, fil). Lenke(r) legges inn som informasjonselement i sertifikatene.

Alle arbeidsstasjoner, terminalservere og lignende som benyttes til pålogging må ha tilgang til sperrelisten. I de tilfeller hvor sperrelisten er utilgjengelig eller gått ut på dato vil pålogging ikke være mulig.  Det er kritisk for bedriften at en gyldig sperreliste er tilgjengelig til en hver tid. Sperrelisten bør derfor være redundant.


Buypass Access Enterprice - CSP

Klientprogramvaren Buypass Access benyttes for kommunikasjon med smartkortet og må installeres på bedriftens arbeidsstasjoner og/eller terminalservere.

Buypass Access omtales også som en CSP (Certificate Service Provider). Enterpriceversjon gir virksomhetsspesifikt oppsett i forhold til virksomhetens infrastruktur. Eget skjema fylles ut for virksomhetsspesifikke tilpasninger. Dette gjøres sammen med teknisk konsulent fra Buypass elelr en Buypass Partner før oppstart.



Column
width2%


Column
width26%


Div
classright-navigation


Div
classright-navigation

Tilbake til hovedside for BAS


Innhold Løsningsbeskrivelse 

Page Tree
root@parent
startDepth2

Include Page
INCLIB:_right_navigation_styleINCLIB:_right_navigation_style





Column
width10%

   

Section


div
Column
width62%
classmain-panel
Panel
borderColor#a2b9ce
bgColor#a2b9ce
Section



div

Column
width
50%
Div
classmacro-list
classsmall-heading
Image Removed INNEHOLD NYLIG LAGT TIL
Recent updates
typespage
max5
spaces@self
themeconcise

Column
width50%
Div
classmacro-list
Div
classsmall-heading
Image Removed MEST BESØKTE

Popular Labels
count5

Column
width2%


Column
width26%
 


Column
width10%
Include PageINCLIB:_navigation_buttons_styleINCLIB:_navigation_buttons_style Include PageINCLIB:doc_center_styleINCLIB:doc_center_style  Include PageINCLIB:_template_styleINCLIB:_template_style