Flere lokale sertifikater i ett kort

Fra og med versjon 3.5 av .net versjonen av BAM-klienten er det mulig å laste 2 lokale påloggingssertfikater for en vanlig ansatt. Hittil har det kun vært mulig for Operatører hvor BAM-klienten laster et lokal påloggingssertifikat (LC) og et lokalt Entrollment Agent sertifikat (EA).

• Fra versjon 3.5 - mulighet for å laste flere LC fra samme AD
• Fra versjon 3.6 - mulighet for å laste flere LC fra flere ADer

Forutsetninger:

1. BAM-klienten må være satt opp i Local Mode eller Mixed Mode - Buypass Mode er uaktuell for lokale sertifikater
    
2. BAM-klienten må være konfigurert for å tillate utstedelse av flere lokale sertifikater
    
3. En fysisk bruker må være satt opp med 
   1. 2 AD-brukere - begge linket til i en og samme AD (implementert fra v3.5)
   2. 2 AD-brukere i forskjellige ADer hvor ADer må være definert under samme CA og tilgjengelig fra samme BAM-klient - om ADene er tilknyttet forskjellige CAer se pkt 8 (implementert fra v3.6)
       
4. Kortet må ha ledig lomme for å kunne laste et nytt sertifikat - det betyr at kortet er "fullt" når det er lastet ned 2 lokale sertifikater
    
5. Operatørkort kan IKKE få lastet flere lokale påloggingssertifikater da Operatørkort krever EA-sertifikat i tillegg til påloggingssertifikat (LC)
    
6. Operatøren får et utvidet ansvar for å sjekke at sertifikatene som lastes i et kort tilhører en og samme fysiske bruker
    
7. Dersom begge AD-brukerne er satt opp med tilknytning til kvalifiserte sertifikater (QC) vil det lastes kvalifiserte sertifikater tilknyttet første AD-bruker - for andre AD-bruker blir QC ignorert
    
8. Dersom en bruker har 2 AD-kontoer i ADer knyttet til ulike CAer MÅ sertifikatene utstedes fra 2 BAM-klienter (implementert fra v3.5) - følgende gjelder:
   1. To eller flere BAM-klienter tilhørende samme organisasjon må konfigureres mot hver sine CAer med igjen sine tilhørende ADer - en BAM-klient pr CA
   2. Hver av BAM-klientene må ha Operatører som har EA-sertifikat tilhørende tilknyttet CA - dersom samme Operatør skal kunne operere flere klienter må Operatøren ha flere smartkort hvor hvert kort har sertifikater fra tilknyttet CA
   3. Når et Brukerkort har sertifikater fra ulike CAer som ikke er koblet med trust (= kjent for hverandre) vil Operatøren få melding om at det foreligger andre lokale sertifikater på kortet som er "ukjente", men samtidig vise sertifikatinformasjon lest direkte fra kortet. Operatøren må være oppmerksom og har ansvar for å sjekke at sertifikatene som lastes i et kort tilhører en og samme fysiske bruker - se flere detaljer nedenfor under punktet "Varsling når flere sertifikater fra flere CAer"
      
      
9. Når et Brukerkort utstedes vil det bli generert en kortspesifikk nøkkel som knytter kortet til organisasjonen. Dersom man ønsker å laste flere LC i kortet enten via samme BAM-klient/samme CA eller fra en annen klient/ulike CAer, så vil det alltid bli sjekket at Brukerkortet tilhører organisasjonen, dvs. at den kortspesifikke nøkkelen (Kcard) er generert av et Operatørkort med riktig organisasjonsspesifikk nøkkel (Korg)
   
   

Et smartkort som brukes som ansattkort i BAS-løsningen har en applikasjon i chippen med 4 lommer hvor det er plass til totalt 4 sertifikater. 2 av lommene er "lukket", dvs. her kan det kun lastes kvalifiserte sertifikater fra Buypass. 2 av lommene er "åpne", dvs at det kan lastes lokale sertifikater fra en Bedrifts egen CA.

Konfigurering for flere LC

Tillat bruk av flere LC - påloggingssertifikater:

• Start Configuration Application Tool
• Trykk på Open-knappen og åpne MASTER-filen
• Gå til fanen IssueProcess
• Slå på Allow More Local Certificates
• Husk å lagre endringen - trykk på Save-knappen

Definere flere ADer:

• Start Configuration Application Tool
• Trykk på Open-knappen og åpne MASTER-filen
• Gå til fanen AD: <navn på AD> - du får nå opp fanene Common, Employee mappings og Group mappings ved siden av hverandre midt i bildet til høyre for AD-fanen
  • Er BAM-klienten allerede operativ vil du finne registrerte verdier for den ADen som allerede har vært brukt så langt (AD_1) - denne oppfattes nå som hoved AD
  • Er dette en ny BAM-klient må verdier for den ADen som har flest tilknyttede Brukere registreres
• Når neste AD skal konfigureres kan du enten trykke på
  • ADD-knappen - du vil da få en ny fane til venstre i bildet under den første AD-fanen og du har mulighet til å registrere alle verdier for denne
  • COPY-knappen - du vil få opp en ny fane til venstre i bildet under den AD-fanen du står på når du taster COPY som er en kopi av forrige AD med alle verdier dens verdier - gjør nødvendige endringer
• Gjenta ADD/COPY inntil du har fått registrert det antall ADer du ønsker tilknyttet BAM-klienten
• Husk å lagre endringene - trykk på Save-knappen

Egen brukerguide for Configuration Application Tool finnes her.

BAM-klienten vil stoppe ved oppstart dersom en eller flere av de definerte ADene ikke finnes. Under AD-sjekken vil alle ADene som er satt opp i konfigureringen bli sjekket ifht både om ADene finnes og om SearchBases og AD-grupper eksisterer pr AD. Operatøren må, enten selv eller tilkalle driftsbistand, kjøre testene i Configuration Application Tool for å sjekke hva og hvorfor det feiler.

Søkefunksjon når flere LC og flere ADer

Om BAM-klienten er konfigurert med en AD eller flere ADer vil uansett alle tilknyttede ADer bli gjennomsøkt. Det er klart at om det er definert mange ADer med lange søkestrenger (SearchBases) kan søkene bli tyngre og Operatøren vil merke økt responstid. Operatøren bør derfor være mer spesifikk i sine oppsett av søkekriterier for å få riktig AD-bruker.

Eksempel: Lise* i Brukernavnfeltet vil gi en resultatliste med både Lise og LiseAdministrator og det er lett for Operatør å velge. Dersom brukeren er knyttet til Brukernavnene Lise og AdministratorLise må Operatør bruke navnefeltene for søk eller om han kjenner Brukernavnet skriver mer nøyaktig i Brukernavnfeltet.

Dersom flere ADer er definert kan disse ha ulik konfigurering for hvilke felt det er mulig å bruke i søk. Dersom en av ADene er konfigurert med mapping mot FNR/DNR (uavhengig av de tilgjengelig kombinasjonene) vil FNR/DNR-feltet bli vist i søkebildet og det vil være mulig å søke på FNR/DNR i alle ADene uavhengig av konfigurering. Bruker Operatøren så FNR/DNR-feltet for søk kan en Bruker bli vanskelig å finne dersom den ADen vedkommende har konto IKKE er registrert med FNR/DNR. Igjen kan navnefeltene være den nærmeste løsningen.

For å gi Operatøren og andre bedre informasjon og kontroll på hvilket AD-domaine et sertifikat tilhører har vi nå lagt til denne informasjonen i skjermbildene og i PDF-dokumentene.

Se også mer detaljert beskrivelse i Søk og søkeprosedyrer.

Varsling når flere sertifikater fra flere CAer

Når et Brukerkort har sertifikater fra ulike CAer som ikke er koblet med trust (= kjent for hverandre) vil Operatøren få melding om at det foreligger andre sertifikater på kortet som er "ukjente". Sertifikatinformasjon lest direkte fra kortet. Operatøren må være oppmerksom og har ansvar for å sjekke at sertifikatene som lastes i et kort tilhører en og samme fysiske bruker.

• Unsupported / Ukjent - hvis QC på kortet er utstedt fra en annen Utsteder enn BAM-organisasjonen selv, vil meldingen være: "Kvalifisert sertifikat finnes i kortet (Unsupported). Fullt navn lest fra sertifikat: "Tom Hansen"

• EA - hvis Brukerkortet er et Operatør-kort vil det ligge et EA-sertifikat (enrollment agent) på kortet, og meldingen vil være: "Lokalt sertifikat finnes i kortet (EA). Fullt navn lest fra sertifikat: "Tom Hansen"

• TLC - dersom Brukerkortet er et midlertidig kort - Lånekort vil meldingen være "Lokalt sertifikat finnes i kortet (TLC). Fullt navn lest fra sertifikat: "Tom Hansen" - du vil bli stoppet lenge før denne meldingen kommer, fordi Lånekort ikke er tillatt i ID-kort funksjon!

• LC - hvis et annen lokalt sertifikat ligger i kortet vil meldingen være: "Lokalt sertifikat finnes i kortet (LC). Fullt navn lest fra sertifikat: "Tom Hansen"

ID-kort funksjonene - ny, erstatt og forny sertifikater

Tomt kort

Ingen endringer i funksjonalitet i forhold til dagens løsning. Når kortet settes i kortleseren og kortet kontrolleres vil Operatøren gå direkte til manuelt søk.

Kort med ett eksisterende lokalt sertifikat

Når kortet settes i kortleseren og kortet kontrolleres vil Operatøren få opp et bilde som viser eksisterende sertifikat med tilhørende AD-bruker pluss en ny knapp - Last Nytt LC.

Dersom Operatøren ønsker å administrere eksisterende sertifikat velges dette og trykker Forsett - her går Operatøren inn i ordinært scenario med forny sertifikat.

Dersom Operatøren ønsker å legge til et nytt sertifikat på kortet for denne brukeren trykkes Last Nytt LC og Operatøren får opp igjen manuelt søk.

Operatør søker etter ny relevant AD-bruker, velger ønsket AD-bruker og trykker deretter Fortsett - her går Operatøren inn i ordinært scenario med nytt sertifikat.

Kort med to eksisterende lokale sertifikater

Når kortet settes i kortleseren og kortet kontrolleres vil Operatøren få opp et bilde som viser eksisterende sertifikater med tilhørende AD-brukere og knappen Last Nytt LC er dektivert, da det ikke er plass til mer enn 2 lokale sertifikater i dagens smartkort.

Dersom Operatøren ønsker å administrere et av de eksisterende sertifikatene velges det som skal fornyes og trykker deretter Forsett - her går Operatøren inn i ordinært scenario med forny sertifikat.

Kort med eksisterende kvalifiserte sertifikater

Det er fullt mulig å laste nytt LC på et kort som har QC utstedt fra Buypass eller annen utsteder (Issuer), men da vil eventuell gruppetilhørighet til QC (Kvalifiserte sertifiakter) for de brukerne som søkes frem i AD bli ignorert. 

Eksempler knyttet til scenarioene over