ID-kort - nytt, erstatning, fornyelse

Owned by Stine Granviken
Last updated: Dec 03, 2021 by Lise Kristoffersen
5 min read


  

Nytt kort og nye sertifikater

For å kunne få utstedt nytt kort og sertifikater må brukeren være registrert i lokal AD. BAM-klienten forholder seg kun til registrert informasjon i AD. Brukeren må minimum være registrert med fullt navn og brukernavn. Bedriften bestemmer og konfigurerer selv om epostadresse skal registreres og inkluderes i sertifikatene. Det samme gjelder registrering av fødselsdato og personnummer. Her vil behandlingsgrunnlag eller lovhjemmel være avgjørende for om dette kan registreres.


Brukeren må i tillegg være registrert med riktig sertifikatgruppe for å få utsted de(t) sertifikatene vedkommende skal ha. 

  • RA-ADMIN                                                      G_CA_LRA_Admins
  • Operatør                                                          G_CA_LRA_Operators
  • Brukere som skal ha kvalifiserte sertifikater    G_IDM_KvalifiserteSertifikater
  • Brukere som skal ha lokale sertifikater           G_IDM_LokaleSertifikater


Hvilke navn som benyttes i AD for de ulike sertifikatgruppene velges når gruppene defineres i AD. Hvordan gruppene defineres er beskrevet i Setup of Certificate Groups in AD.  

Brukere som skal ha kvalifiserte sertifikater må være preregistrert hos Buypass før utstedelse av sertifikatene – se Preregistrer Brukerinformasjon hos Buypass.


Brukere som skal ha rollen RA-Admin må ha fått delegert slik myndighet fra bedriften, og RA-avtale mellom Buypass og bedriften må være inngått. Se Administrere Operatører for beskrivelse av førstegangsutstedelse av kort og sertifikater for RA-ADMINer og Operatører.

For utstedelse av påloggings og/eller signeringssertifikater må Operatøren gjennom følgende steg:

  1. Søk frem ansatt - se detaljer Søk og søkeprosedyrer
  2. Legitimasjonskontroll - se detaljer Identitetskontroll i BAM-klienten
  3. Instalere påloggingssertifikat
  4. Installere signeringssertifikater
  5. Teste kortet
  6. Bekreftelse


For alle funksjoner bortsett fra sperring av sertifikater involveres et fysisk ID-kort som behandles av BAM-klienten. ID-kortet har i forkant blitt behandlet av de som håndterer adgangskontroll og har fått en visuell identifikasjon av brukeren. LRA Operatøren må alltid verifisere at ID-kortet tilhører fremmøtt person ved hjelp av visuell identifikasjon av brukeren.

Teste/sjekk av sertifikat

Når lokalt sertifikat utstedes må brukeren selv teste sertifikatet og kortet i etterkant. Det gjøres ved at brukeren forsøker å logge seg på bedriftens domene på en PC – eventuelt en test-PC på ID-kontoret, eller i umiddelbar nærhet. ID-kortet ansees som i orden hvis påloggingen med kort og PIN-kode går uten problemer.


Når kvalifiserte sertifikater utstedes vil disse bli testet automatisk når lasteprosessen er ferdig. Hvis testen er vellykket er installasjonen av sertifikatene vellykket. Hvis testen feiler, vises en forklarende feilmelding. Det er da mulig å velge menyvalget Smartkortdiagnose for å finne årsaken. Hvis det er feil med sertifikatene må Operatøren enten forsøke å utstede sertifikatene på nytt ved å benytte samme ID-kort (Fornyelse), eller utstede sertifikater på nytt ved å bruke et blankt ubrukt ID-kort (Erstatningskort).

Bekreftelse

Når utstedelse er gjennomført vil bekreftelse gis i BAM-klienten og Operatøren returnerer til hovedmenyen for å utføre andre funksjoner/oppgaver.


Erstatningskort

Når et ID-kort er mistet eller stjålet vil vedkommende gjerne ha utsted et nytt ID-kort – et erstatningskort. Eventuelt må erstatningskort utstedes når brukeren har glemt kortet sitt og har akutt behov for kvalifiserte sertifikater. Erstatningskortet vil bli et nytt permanent ID-kort med nye sertifikater som overtar for det opprinnelige. Sertifikatene på det opprinnelige ID-kortet sperres automatisk, og det er ikke nødvendig å gjennomføre funksjon for sperring spesifikt.


For å utstede erstatningskort, må Operatøren gjennom følgende steg:

  1. Søk frem ansatt - se detaljer Søk og søkeprosedyrer
  2. Legitimasjonskontroll - se detaljer Identitetskontroll i BAM-klienten
  3. Sperre påloggingssertifikat
  4. Sperre signeringssertifikater
  5. Installere påloggingssertifikat
  6. Installere signeringssertifikater
  7. Teste kortet                                        
  8. Bekreftelse                                         


Hvis ID-kortet allerede er sperret, vil punkt 3 og 4 utgå, og dersom bruker ikke skal ha kvalifiserte sertifikater vil punkt 4 og 6 utgå.


Et erstatningskort utstedt til brukere i bedriften vil få samme type sertifikater utsted i nytt ID-kort som vedkommende hadde i det som ble mistet/stjålet. Unntaket er dersom det er gjort endringer i AD som tilsier at vedkommende skal ha andre sertifikater. Det vil alltid være nåværende gruppetilhørighet i AD som bestemmer hvilke sertifikater som utstedes. 

Erstatningskort til Operatører

Et erstatningskort til bruker som har rollen RA-Admin eller LRA Operatør i AD når RA-Admin er pålogget BAM-klienten vil utstede de samme sertifikattypene i nytt ID-kort som brukeren hadde i det opprinnelige. Det betyr at lokalt LRA sertifikat (EA) blir utstedt i tillegg til lokalt påloggingssertifikat (LC) og eventuelt kvalifiserte sertifikater (QC).


Et erstatningskort til bruker som har rollen RA-Admin eller LRA Operatør i AD når LRA Operatør er pålogget BAM-klienten vil få utstedt lokalt påloggingssertifikat (LC) og eventuelt kvalifiserte sertifikater (QC), men ikke LRA sertifikatet (EA). Det gis melding om at det kun er RA-Adminer som kan utstede dette. En RA-Admin må logge på klienten og utstede et LRA sertifikatet for vedkommende i etterkant. Det gjøres via funksjonen Installer LRA-sertifikat i Administrasjonsmenyen. Uten et LRA sertifikat i kortet kan hverken RA-Admin eller LRA Operatører logget på BAM-klienten.


Fornyelse

Fornyelse kan gjennomføres fordi ID-kortet har en levetid på 6 år, mens sertifikatene har en levetid på 3 år. Fornyelse av sertifikater utføres enten på eksisterende ID-kort eller på nyutstedt ID-kort. BAM-klienten velger fornyelsesform basert på innholdet på ID-kortet.

  1. Fornyelse av kun sertifikater – bruk av eksisterende kort. Det finnes allerede sertifikater på ID-kortet. Brukeren kan legitimere seg ved hjelp av sitt lokale påloggingssertifikat. *)
  2. Fornyelse av kort og sertifikater – bruk av nytt blankt ID-kort uten sertifikater. Brukeren kan legitimere seg ved hjelp av gyldig legitimasjonsdokument eller ved tredjeparts legitimering. Dette vil av BAM-klienten oppfattes som erstatningskort, og funksjonen for dette kjøres.

*) I de tilfeller hvor sertifikatene på ID-kortet er inaktive (ugyldige), kan de ikke benyttes som legitimasjon. Legitimasjonskontrollen kan da gjennomføres ved at brukeren fremviser medbrakt gyldig og godkjent legitimasjonsdokument.


Når det gjelder lokale sertifikater kan disse fornyes i perioden 3 måneder før eller etter utløpsdato.

Perioden før/etter utløpsdatoen kan konfigureres og dermed bestemmes av bedriften. Kvalifiserte sertifikater som har nådd utløpsdato kan ikke fornyes i samme kort. Da må fornyelsen gjøres i nytt ID-kort. Sertifikatene bør fornyes i god tid før de utløper. Det kan genereres en rapport som henter informasjon om alle sertifikater som skal fornyes innenfor en gitt periode. Varighet på angitt periode bestemmer bedriften selv. Rapporten inneholder navn og epostadresse på brukerne som skal fornye sertifikatene. Basert på rapporten kan det sendes ut fornyelsesvarsel til brukerne. Varselet må inneholde informasjon om hvilken tidsperiode det er ønskelig at brukerne skal fornye sertifikatene sine.


Ved fornyelse av sertifikater vil brukerne få samme type sertifikater som allerede utstedt i eksisterende kort. Unntaket er dersom det er gjort endringer i AD som tilsier at vedkommende skal ha andre sertifikater.


For å fornye sertifikater, må Operatøren gjennom følgende steg:

  1. Søk frem ansatt - se detaljer Søk og søkeprosedyrer
  2. Legitimasjonskontroll - se detaljer Identitetskontroll i BAM-klienten
  3. Installere påloggingssertifikat
  4. Installere signeringssertifikater
  5. Teste kortet
  6. Bekreftelse

Fornyelse Operatører

Ved fornyelse av sertifikater til RA-ADMIN eller OPERATØR når RA-ADMIN er pålogget BAM-klienten vil utstede de samme sertifikattypene som vedkommende allerede har i eksisterende kort. Det betyr at lokalt LRA sertifikat (EA) blir utstedt i tillegg til lokalt påloggingssertifikat (LC) og eventuelt kvalifiserte sertifikater (QC).


Ved fornyelse av sertifikater til RA-ADMIN eller OPERATØR når Operatør er pålogget BAM-klienten vil utstede lokalt påloggingssertifikat (LC) og eventuelt kvalifiserte sertifikater (QC), men ikke LRA sertifikatet (EA). Det gis melding om at det kun er RA-ADMIN som kan utstede dette. En RA-ADMIN må logge på klienten og utstede et LRA sertifikatet for vedkommende i etterkant. Det gjøres via funksjonen Opprett og administrer Operatør i Administrasjonsmenyen. Uten et LRA sertifikat i kortet kan hverken RA-ADMIN eller Operatører logget på BAM-klienten.


Feilsituasjoner knyttet til utstedelse av kort og sertifikater

Feilsituasjoner vil opptre, men BAM-klienten gir meldinger til Operatøren om hva som gikk galt på det trinnet i prosessen hvor det feiler. Følg de anvisninger du får og prøv igjen.

Dersom du likevel trenger råd og tips bør du se under FAQ - Operatører.


Innhold