Fjernfunksjoner - distribuerte funksjoner
Denne siden er under oppdatering etter større omlegging av fjernfunksjoner i NetiD Enterprice fra og med versjon 6.6.0. Det er noen detaljer knyttet til fornyelse som ikke er helt på plass ennå pr sommer 2019, samt at noen av skjermbildene er på norsk - andre på engelsk.
Hilsen Produkseier Stine Granviken, Buypass
BAM-klienten sammen med Buypass Access har funksjonalitet for distribuert behandling av sertifikater også kalt fjernfunksjoner. Det er funksjoner som registrering, utstedelse og vedlikehold. Det vil si behandling av sertifikater for brukere som befinner seg på lokasjoner utenfor sentralt ID-kontor.
Følgende forutsetninger gjelder:
- Administrerer kun lokale sertifikater (LC)
- Krever BAM-klient v.2.5.4 eller senere
- Krever egen konfigurering av NetiD Enterprice versjon 6.6.0 eller senere
- Krever smartkort med chip-applikasjonen BEID 5 eller senere
- Krever tilgang til et felles filområde for requester og sertifikatresponser som BAM-klienten og de ansatte har tilgang til uten å være pålogget et domene
For å gjennomføre operajonene må Bruker og Operatør være i kontakt og dialog med hverandre enten på telefon eller Skype da nødvendige koder eller sertifikatforespørsel/sertifikat skal utveksles.
Operatøren har tilgang til følgende meny i BAM-klienten:
Brukeren har 2 måter å få tilgang til fjernfunksjoner:
- Bruker er selv logget på eller er logget på via en fellesbruker, og han/hun har da tilgang til menyen i Buypass Access (NetID) på sin PC:
Høyreklikk på NetID-logoen som ligger som applikasjon på toolbaren nederst i høyre hjørne på PC'n, eventuelt under "show hidden icons".
Eksempel på hvordan menyen ser ut:
Følgende funksjoner kan være tilgjengelig fra menyen - bruker må selv velge riktig funksjon:- Lånekort
- Aktiver ID-kort
- PIN Administrasjon
- Fornyelse
- Kortinnhold - oversikt over sertifikatene i kortet
- Bruker er ikke logget på og Buypass Access (NetID) trigger riktig fjernfunksjon med utgangspunktet i kortet som settes i kortleser:
- Lånekort - Bruker har glemt kortet sitt hjemme og trenger Lånekort for å få logget på
- Aktiver ID-kort - Bruker får nytt ID-kort (NB! kun lokale sertifikater) som er produsert lokalt og som brukr nå skal aktivere på fjernlokasjon
- PIN Administrasjon - Bruker har fått låst PIN-koden sin under pålogging (tastet feil PIN-kode 3 ganger)
- Fornyelse - Bruker logger på med sertifikater som snart når utløpsdato og trenger fornyelse
Alle funksjonene over er beskrevet videre her på denne siden. Stort sett vil funksjonsflyten i de ulike scenariene være lik om bruker trigger funksjonen selv eller om NetID trigger funksjonen for bruker.
Innholdet i skjermbildene og spørsmålene om input er stort sett lik, men layout kan være ulik. Dette er forsøkt beskrevet her, men kan avvike noe på detaljene.
Forhåndsprodusere ID-kort
Dersom en bruker som trenger nytt ID-kort befinner seg på en lokasjon langt unna ID-kontoret, eller bedriften ønsker å klargjøre ID-kort til flere brukere i forkant av at brukerne skal ta kortene i bruk kan dette gjøres gjennom å preprodusere ID-kort.
Som for vanlig utstedelse må brukerne være registrert i AD med riktig personinformasjon og sertifikattype. Det forutsettes at kortet er visuelt personalisert med personinformasjon og eventuelt bilde og signatur. ID-kortet blir brukt som legitimasjonsdokument under preproduksjonen i BAM-klienten.
PIN settes ikke under preproduksjonen, men kortet blokkeres og brukeren må selv sette PIN når brukeren mottar ID-kortet og skal aktivere dette. Se avsnitt om "Aktiver ID-kort".
Aktivere ID kort
Når brukeren mottar ID-kortet og er klar for å ta dette i bruk må kortet aktiveres og PIN settes. For å gjennomføre aktivering må brukeren ha telefonkontakt med ID-kontoret og en Operatør.
Bruker og Operatør vil bli guidet gjennom dialogen.
- Operatøren velger "Fjernfunksjon - Aktiver ID-kort" i BAM-klienten, søker frem brukeren og avventer til han får oppgitt engangskoden
- Brukeren setter smartkortet i kortleseren tilknyttet PC'n og vil få opp skjermbildet vist nedenfor - eventuelt må brukeren
- Høyreklikke på NetID-applikasjonen på verktøylinjen / Toolbar og velg PIN Administrasjon fra Buypass Access hovedmeny eller direkte via menyvalget PIN Administrasjon
- Bruker taster inn sitt brukernavn (ofte initialer) og oppgir engangskoden (B8C3 6AB6) til Operatøren via telefon eller Skype
- Operatør taster inn engangskoden i BAM-klienten, signerer med sin PIN-kode og får en svarkode/responskode i retur som Operatør oppgir til brukeren
- Brukeren taster inn svarkoden, setter ny PIN-kode og bekrefter ny PIN-kode og trykker på → (pilen)
Skjermbildet viser når bruker trigges automatisk når smartkort settes i kortleser.
Dersom det oppgis feil engangskode, eventuelt om koden blir tastet feil mer enn et antall ganger vil kortet bli låst permanent. Nytt ID-kort må da utstedes, så her gjelder det å være nøyaktig.
Et smartkort er satt opp med 2 tellere knyttet til fjernfunksjoner:
- Teller for engangskode (challenge-telleren) teller opp til maks 10
- Teller for svarkode (response-telleren) teller opp til maks 5
Dette betyr at hver gang et kort genererer en engangskode telles challenge-telleren opp. Dersom denne når 10 uten at en riktig og matchende svarkode er registrert mot kortet vil kortet blokkeres permanent og feilkoden FFFF FFFF dukker opp neste gang kortet settes i en kortleser og en engangskode forsøkes generert. Da er det nyttesløst å fortsette.
Når kortet genererer en engangskode er det BAM-klienten som kan generere svarkoden. Grunnlaget for å få en «riktig» og «matchende» svarkode er
- Selve smartkortet med kortspesifikk informasjon
- Brukernavnet
- Informasjon i Operatørens kort
Dersom svarkoden som registreres IKKE er riktig/matcher så vil responskode-telleren telles opp. Etter 5 feilmatch vil kortet blokkeres permanent og feilkoden FFFF FFFF dukker opp neste gang kortet settes i en kortleser og en engangskode forsøkes generert. Da er det nyttesløst å fortsette.
Dersom svarkoden ER riktig og matcher engangskoden vil begge tellerene nullstilles.
I tidligere versjoner av Buypass Access (NetID) ble engangskoden generert automatisk ut fra triggerpunktene beskrevet over. Fra versjon 6.6.0 av Buypass Access er dette endret slik at brukeren nå blir spurt om han ønsker å generere en engangskode. Det vil forhindre at smartkortet blokkeres permanet ved at challenge-telleren når 10 ved at kortet tas inn og ut av kortleseren flere ganger før man har kontakt med Operatøren og får sjanse til å få en svarkode innen timelimiten fra engangskoden er oppgitt av bruker til svarkoden er gitt av Operatøren. Timelimit er kun på 2,5 minutt.
Forhåndsprodusere lånekort
De lokasjonene som befinner seg langt unna ID-kontoret trenger egne Lånekort tilgjengelig for sine brukere og konsulenter. Lånekort for bruk på fjernlokasjon klargjøres av Operatør på sentralt ID-kontor gjennom funksjonen Forhåndsprodusere Lånekort i BAM-klienten.
Det forutsettes at det benyttes tomme/blanke kortet som er preget med LÅNEKORT og eventuelt et design inkludert bedriftens logo. Operatør vil bli guidet gjennom dialogen.
Aktivere lånekort
For å gjennomføre aktivering av Lånekort må brukeren ha telefonkontakt med ID-kontoret og en Operatør.
Midlertidig lokalt påloggingssertifikat blir utstedt for vedkommende bruker online, så det forutsettes at både brukerens PC og BAM-klienten har tilgang til et fellesområde for fjernutstedelse av sertifikater – her vil nemlig sertifikatforespørsler og sertifikatresponser bli lagt ut og hentet av BAM-klienten og Buypass Access i løpet av prosessen.
Bruker og Operatør vil bli guidet gjennom dialogen uavhengig av metoden for utstedelse av Lånekort.
Om Bruker har glemt/mistet ansattkortet sitt og står med et Lånekort i hånden, så vil NetID komme opp med tilsvarende skjermbilde som det som er vist over for Aktiver ID-kort, men bruker kan følge anvisningen beskrevet nedenfor. Kun skjermbildene er litt forskjellig.
Om Brukeren er logget inn via en fellesbruker på domenet og trenger Lånekort så skal følgende gjøres:
Høyreklikk på NetID-applikasjonen på verktøylinjen / Toolbar.
Engangskoden på 8 tegn som vises i skjermbildet (B681 2B5E) skal formidles til Operatøren som via BAM-klienten får en svarkode på 6 tegn som brukeren taster inn sammen med ny PIN og gjenta PIN i tillegg til sitt brukernavn.
Et sertifikat (kun 2-3 dagers levetid) genereres og lastes underveis i prosessen, og det er viktig at brukeren ikke tar ut sitt ID-kort før han/hun får beskjed om dette.
Når sertifikat er lastet i kortet vil brukeren få beskjed om å ta koret ut og inn av kortleser for å aktivere ny PIN-kodedialog for pålogging.
Her eksempel med engelsk tekst.
Avblokkere PIN kode
Dersom PIN-kode for lokalt sertifikat er blokkert (tastet feil kode 3 ganger) så kan denne avblokkeres / låses opp fra egen PC. For å gjennomføre avblokkering må brukeren ha telefonkontakt med ID-kontoret og en Operatør.
Blokkering av PIN-kode for kvalifiserte sertifikater kan ikke avblokkeres / låses opp fra fjernlokasjon, men bruker må inn til sentralt ID-kontor.
Bruker og Operatør vil bli guidet gjennom dialogen uavhengig av metoden for avblokkering av PIN-kode.
Om Bruker har blokkert PIN ifbm innlogging. NetID vil vise tilsvarende skjermbilde som det som er vist over under Aktiver ID-kort, men bruker kan følge anvisningen beskrevet nedenfor. Kun punkt 3 er litt forskjellig.
Om Brukeren er logget inn via en fellesbruker på domenet og trenger avblokkering av PIN så skal følgende gjøres:
- Operatøren velger "Fjernfunksjon - Avblokker PIN" i BAM-klienten, søker frem brukeren og avventer til han får oppgitt engangskoden
- Brukeren setter smartkortet i kortleseren tilknyttet PC'n og vil få opp skjermbildet vist nedenfor - eventuelt må bruker
- Høyreklikke på NetID-applikasjonen på verktøylinjen / Toolbar og velg PIN Administrasjon fra Buypass Access hovedmeny eller direkte via menyvalget PIN Administrasjon
- Bruker oppgir engangskoden (B8C3 6AB6) til Operatøren via telefon eller Skype
- Operatør taster inn engangskoden i BAM-klienten, signerer med sin PIN-kode og får en svarkode/responskode i retur som Operatør oppgir til brukeren
- Brukeren taster inn svarkoden, setter ny PIN-kode og bekrefter ny PIN-kode og trykker på den grønne knappen "Avblokkere PIN-kode"
Når PIN er blokkert/låst er eneste mulighet å AVBLOKKERE / LÅSE OPP - i menyvalget vil du se et rødt merke som betyr at PIN er registrert blokkert.
Dersom det oppgis feil engangskode, eventuelt om kodene blir tastes feil mer enn et antall ganger vil kortet bli låst permanent. Nytt ID-kort må da utstedes, så her gjelder det å være nøyaktig.
Maks antall engangskoder (challenges) er 10 og maks antall svarkoder fra BAM som må matche challengen er 5. Tellerne resettes etter gjennomføring av vellykket funksjon.
Koden FFFF FFFF betyr at kortet er permanent låst - alle forsøk på å administrere kortet vil bli avvist. Fysisk nytt ID-kort må utstedes.
Når kortet er avblokkert / låst opp vil påloggingsbildet komme opp og bruker kan logge på med ny PIN.
Fornye lokale sertifikater
For å gjennomføre fornyelse kan brukeren, men må ikke, ha telefonkontakt med ID-kontoret og en Operatør.
Dersom lokalt sertifikat når tidspunkt for fornyelse vil denne bli trigget automatisk eller den kan startes ved å høyreklikke på Buypass Access iconet (NetID) på oppgavelinjen og velge Kort Administrasjon og Forny sertifikat.
Standard verdi i Buypass Access konfigurering for fornyelse er 30:10, dvs. at når halvparten av sertifikatets levetid er nådd vil Buypass Access (Net ID) starte trigging av fornyelse når det er 30 dager igjen til utløp. Bruker har mulighet til å ignorere denne forespørselen, men når det er 10 dager igjen til utløp vil Buypass Access (Net ID) ”tvinge” gjennom request for fornyelse.
Husk at fornyelse ikke kan bestilles siste 24 timer av sertifikatets levetid!
Dersom det haster og bruker må ha fornyet sertifikatet der og da kan det gjøres ved å ha kontakt med en Operatør via telefon for å få utført operasjonen. Da blir prosessen mye lik Aktivering av Lånekort hvor sertifikat forespørsel sendes fra brukers PC, legger seg på felles filområde og Operatøren kan eksekvere denne direkte fra BAM-klienten. Sertifikatresponsen legges tilbake på felles filområde hvor Buypass Access (NetID) på brukers PC poller denne og laster sertifikatet i kortet.
Om det ikke haster vil bruker kunne generere en sertifikatforespørsel og denne blir liggende på felles filområde inntil Operatøren har anledning til å eksekvere den. Bruker kan i mellomtiden jobbe lokalt som vanlig inntil sertifikatrespons er klar for nedlasting i kortet. Buypass Access (NetID) administrerer dette og vil varsle bruker når sertifikatet er klart.
Bruker og Operatør vil bli guidet gjennom dialogen uavhengig av metoden for avblokkering av PIN-kode. Eksempelet nedenfor er hvordan det skjer når Bruker ønsker å fornye uten at Operatøren er tilgjengelig der og da.
Om Bruker har sertifikater i kortet sitt som trenger fornyelse vil dette bli oppdaget ifbm innlogging. NetID vil si fra om at sertifikat kan fornyes og bruker kan følge anvisningen beskrevet nedenfor.
Om Brukeren er logget inn via en fellesbruker på domenet og trenger fornyelse av sertifikater så skal følgende gjøres:
- Brukeren har fått beskjed om at sertifikat må fornyes - enten via mail fra Operatør eller ved at det rigges automatisk når smartkort settes i kortleseren
- Bruker høyreklikke på NetID-applikasjonen på verktøylinjen / Toolbar og velger Fornyelse av sertifikat fra Buypass Access hovedmeny eller direkte via menyvalget Forny sertifikat
- Bruker oppgir Brukernavn og PIN-kode på eksisterende sertifikat
- Bruker får et skjermbilde som beskriver steppene i en sertifikatforespørsel
- Brukeren får til slutt en kvittering som sier hvor lenge selve sertifikatforespørselen er gyldig - Operatør må dermed effektuere denne innen "gyldig-til"-tidspunktet, ellers vil Buypass Access (NetID) automatisk be om at bruekr gjennomfører ny sertifikatforespørsel
Eksempelet fortsetter ifht hva Operatøren gjør ved effektivisering av sertifikatforespørselen:
- Operatøren velger "Fjernfunksjon - Fornyelse av ID-kort" i BAM-klienten - når funksjonen er merket med et tall i rødt vil det si at så mange sertifikatforespørsler ligger på vent
- Operatør kan effektuere alle sertifikatforespørslene eller velge en i listen.
- Operatør signerer med sin PIN-kode - sertifikat genereres og legges ut på filområdet hvor bruker får hentet det ved neste pålogging
NB! ... bildet blir byttet ut med skjermdump fra nyeste BAM-versjon !!!
Siste steg i fornyelsen er at sertifikatet skal lastes opp i brukerens smartkort - eksempelet fortsetter ifht hva brukeren da må gjøre:
- Buypass Access (NetID) vil sjekke om nytt sertifikat er generert og lagt ut på filområde hvor sertifikatforespørsler og sertifikater lagres. Så lenge forespørselen er gyldig - det sjekkes mot gyldig-til dato, vil Buypass Access ligge å sjekke (polle) på dette. Når nytt sertifikat er tilgjengelig vil brukeren få beskjed
- Bruker bør velge å få lastet nytt sertifikat når beskjed kommer
- Bruker oppgir Brukernavn og PIN-kode på eksisterende sertifikat
- Bruker får et skjermbilde som beskriver steppene i en sertifikatnedlastingen
- Brukeren får til slutt en kvittering som sier at nytt sertifikat er lastet og kan tas i bruk
Feilmeldinger
Feilmelding_tom kortleser
Feilmelding_supporterer ikke smartkort-applikasjon
Dersom Buypass Access (NetID) finner en aapplikasjon i smartkortet den ikke kjenner og dermed ikke kan administrere. For eksempel supporterer vi ikke BEID3 lenger.
Feilmelding_feil PIN-kode
Her eksempel hentet fra Utstede lånekort når Ny PIN / Gjenta PIN ikke matcher.
Feilmelding_ingen fornyelse_ingen sertifikat
Feilmelding_ingen fornyelse_sertifikat fortsatt gyldig
Feilmelding_ingen fornyelse_sertifikat utløpt
Feilmelding_fornyelse_får ikke generere nytt sertifikat