Roller og sertifikattyper
Roller
Et BAS-regime består av tre roller:
- Bruker
- RA-ADMIN
- Operatør
Bruker er en ansatt eller person som på annen måte har tilhørighet til virksomheten og som har behov for lokalt sertifikat for pålogging og interne tjenester. Alle eller deler av en stab kan i tillegg ha behov for kvalifiserte sertifikater for tilgang til interne og eksterne tjenester som krever sikkerhetsnivå 4. Brukere må være registrert i gruppen for Lokale Sertifikater og eventuelt Kvalifiserte sertifikater.
Både RA-ADMIN og Operatør må være registrert i gruppen for LRA Operators i AD for å kunne bestille (requeste) og utstede sertifikater på ID-kort for ansatte. RA-ADMIN må i tillegg være registrert i gruppen for RA-ADMIN for å kunne preregistrere personer som skal ha kvalifiserte sertifikater og kunne opprette og administrere Operatører.
Begge rollene må også være registrert som Operatører i Buypass’ autorisasjonssystem for å kunne utstede kvalifiserte sertifikater via BAM-klienten.
- RA-ADMIN må signere fullmaktsskjema for RA-ADMIN som er et vedlegg til ”Avtale om utstedelse og administrasjon av Buypass kvalifiserte sertifikater”. Rollen registreres og administreres av Buypass i Buypass’ autorisasjonssystem (RBAC)
- Operatører opprettes, administreres og avsluttes av RA-ADMIN via egen administrasjonsfunksjon i BAM-klienten
Rolle, tilgang og gyldighet av sertifikatene i operatørens ID-kort blir sjekket ved oppstart og pålogging til BAM-klienten.
Kun autoriserte Operatører kan kjøre applikasjonen. Dette er personer med rollen RA-ADMIN eller Operatør.
Sertifikattyper
For virksomheter som har behov for sertifikater som skal benyttes både internt i virksomheten i tillegg til sikker identifisering, signering og kryptering utenfor virksomheten må det utstedes kvalifiserte sertifikater fra Buypass CA i tillegg til lokale sertifikater fra lokal CA.
Bruksområde
Kvalifiserte sertifikater benyttes for å oppnå:
- Signering og kryptering i fagsystemer med kvalifiserte sertifikater (Buypass sertifikater)
- Signering og kryptering av dokumenter og Microsoft Outlook med kvalifiserte sertifikater.
- Identifisering, signering og kryptering med kvalifiserte sertifikater i bedriftens 3. parts programvare.
- Tilgang til offentlige tjenester med kvalifisert sertifikater som for eksempel AltInn, NAV m.m.
I tabellen nedenfor er behovet for de ulike komponentene oppsummert avhengig av type sertifikater som virksomheten ønsker. Aktuelle sertifikat kombinasjoner er:
L 1 - Kun lokale sertifikater
L 2 - Både lokale og kvalifiserte sertifikater
L 3 - Kun kvalifiserte sertifikater
Komponenter | L1 | L2 | L3 | Inneholder | Kommentar |
---|---|---|---|---|---|
Lokal MS CA & AD | √ | √ | Lokal MS CA utsteder og administrer lokale sertifikater. MS CA forutsetter integrasjon med MS AD. MS CA produserer lister over sperrede sertifikater (CRL). CRLene legges på en web server som må være tilgjengelig fra alle arbeidsstasjonene tilknyttet bedriftens domene. | MS CA inngår i MS Server
| |
Buypass CA | √ | √ | Buypass CA utsteder og administrerer kvalifiserte sertifikater. Buypass CA produserer lister over sperrede sertifikater (CRL). CRLene er tilgjengelig fra Buypass’ nettsider. | ||
BAM-klient | √ | √ | √ | BAM-klienten inneholder funksjonalitet for å utstede og administrere lokale og kvalifiserte sertifikater. En BAM-klient må ha følgende periferutstyr for å fungere: Skanner, signaturplate, PIN-kode tastatur, samt 2 kortlesere. Kontrolldokumenter (pdf) lagres på et sikkert filområde. | BAM-klienten installeres på en eller flere PC-er/stasjonære maskiner med Windows Win10, evt Win8 32- eller 64-bits. |
Smartkort | √ | √ | √ | Buypass Smartkort som er bærer av både lokale og kvalifiserte sertifikater. | Smartkortet tilpasses bedriftens krav ifht andre bruksområder. |
Buypass Access/NetTD Enterprice | √ | √ | √ | Programvare som kommuniserer med smartkortet. Installeres på arbeidsstasjoner og / eller terminalservere slik at bruker kan benytte smartkort/sertifkater til blant annet pålogging og signering. |
Sertifikatgrupper og roller
Kun autoriserte Operatører kan kjøre applikasjonen. Det kan være personer med rollen RA-ADMIN eller LRA Operatør.
Både RA-ADMIN og LRA Operatør må være registrert i gruppen for LRA Operators i AD for å kunne requeste og utstede sertifikater på ID-kort for andre ansatte. RA-ADMIN må i tillegg være registrert i gruppen for RA-ADMIN for å kunne preregistrere personer som skal ha kvalifiserte sertifikater og kunne opprette og administrere LRA Operatører.
Begge rollene må også være registrert som Operatører i Buypass’ autorisasjonssystem (RBAC) for å kunne utstede kvalifiserte sertifikater via LRA-klienten.
- RA-ADMIN må signere RA-Avtale som er en avtale mellom bedriften og Buypass om utstedelse av kvalifiserte sertifikater. Rollen administreres av Buypass direkte i Buypass’ autorisasjonssystem (RBAC). Rollen, tilgang og gyldighet av sertifikatene i RA-ADMINs ID-kort blir sjekket ved oppstart og pålogging til LRA-klienten.
- LRA Operatører opprettes, administreres og avsluttes av RA-ADMIN via egen funksjon i LRA-klienten. Rollen, tilgang og gyldighet av sertifikatene i Operatørens ID-kort blir sjekket ved oppstart og pålogging til LRA-klienten.
Se beskrivelse av sertifikatgrupper i kapittel 4.6.2 Active Directory (AD).