Cuando se inserta una tarjeta inteligente PKI en un lector de tarjetas inteligentes PKI compatible, PRISMAsync Print Server lee la tarjeta e inicia la autenticación del certificado.
En función de la configuración de la tarjeta inteligente PKI, PRISMAsync Print Server comprobará la contraseña o el PIN especificados.
Las tarjetas inteligentes PKI pueden almacenar varios certificados y claves privadas. Si hay varios certificados almacenados en una tarjeta inteligente PKI, en la ventana de inicio de sesión aparecerá una lista desplegable para seleccionar el nombre de usuario.
En el esquema siguiente, se ilustran los pasos de verificación de una tarjeta inteligente PKI durante el proceso de inicio de sesión.
Autenticación de tarjetas inteligentes PKIPRISMAsync Print Server solo acepta tarjetas inteligentes PKI que son válidas durante un tiempo.
En función de la configuración de la tarjeta inteligente PKI de PRISMAsync Print Sever, PRISMAsync Print Server comprobará el estado de revocación de toda la ruta del certificado de tarjeta inteligente. El estado de revocación del certificado raíz no se comprueba.
PRISMAsync Print Server solamente acepta tarjetas inteligentes PKI en las que toda la ruta de certificado es de confianza.
PRISMAsync Print Server solo acepta certificados de tarjeta inteligente que se emiten para el uso de tarjetas inteligentes PKI.
En función de la configuración de la tarjeta inteligente PKI de PRISMAsync Print Sever, PRISMAsync Print Server comprobará la contraseña o el PIN especificados. Cuando hay varios usuarios, la ventana de inicio de sesión contiene una lista desplegable para seleccionar el nombre de usuario. PRISMAsync Print Server solo realiza la autenticación del usuario cuando el PIN o la contraseña de la tarjeta inteligente son correctos.
Cuando todos los pasos de verificación son correctos, se inicia el proceso de autenticación del usuario.
El certificado de tarjeta inteligente lo emite una Certification Authority (CA). Esta CA puede ser otra CA (intermedia) o una CA raíz. El certificado de CA raíz lo emite la propia CA raíz. El certificado de CA raíz es el extremo de la cadena de certificados y establece el punto de confianza. De este modo, se crea la relación entre las CA.
El certificado de tarjeta inteligente es de confianza si una entidad de certificación (CA) de confianza lo ha verificado. PRISMAsync Print Server almacena los certificados de las entidades de certificación en la lista de certificados de confianza.
La cadena de certificados determina cómo se realiza la verificación de certificados en la cadena. PRISMAsync Print Server verifica la cadena de certificados de tarjeta inteligente en cuanto un usuario inicia sesión con una tarjeta inteligente.
Ejemplo:
Autenticación de certificados de tarjetas inteligentes PKIPRISMAsync Print Server lee el campo del emisor del certificado de tarjeta inteligente y verifica si está en la lista de certificados de confianza. Si el emisor está en la lista, PRISMAsync Print Server utiliza la clave pública de la CA para verificar la signatura en el certificado de tarjeta inteligente.
El certificado de CA lo emite la CA raíz. Por tanto, este certificado es un certificado intermedio. Ahora PRISMAsync verifica si la CA raíz está en la lista. Si lo está, PRISMAsync Print Server utiliza la clave pública de la CA raíz para verificar la signatura en el certificado de CA.
El certificado de CA raíz lo emite la propia CA raíz. La signatura del certificado de CA raíz se puede verificar con la clave pública de la CA raíz.
Si se demuestra que todas las CA de tarjeta inteligente son de confianza, PRISMAsync Print Server considera de confianza el certificado de tarjeta inteligente.
En general, los usuarios de las tarjetas inteligentes PKI tienen una cuenta de usuario LDAP en un servidor de directorios LDAP. Para admitir estas cuentas de usuario, configure un dominio de PRISMAsync y los grupos de usuarios del dominio de PRISMAsync necesarios. Los usuarios de las tarjetas inteligentes PKI, al igual que otros usuarios del dominio, obtienen sus derechos de acceso de los grupos del dominio de PRISMAsync configurados.
Cuando un usuario inserta la tarjeta inteligente PKI, PRISMAsync Print Server lee el UPN (Universal Principal Name) del certificado de la tarjeta inteligente. El UPN hace referencia al dominio LDAP en el que se almacenan las cuentas de usuario de la tarjeta inteligente.
Puede configurar el modo en que PRISMAsync Print Server administra los UPN (Universal Principal Name) que hacen referencia a un dominio LDAP que no está configurado en PRISMAsync Print Server.
El comportamiento estándar y configurable de PRISMAsync Print Server se explica en el siguiente esquema.
Configuración del grupo de usuariosCuando la tarjeta inteligente PKI es válida, PRISMAsync Print Server comprueba si el dominio es conocido.
Cuando el dominio es conocido, PRISMAsync Print Server comprueba si la cuenta de usuario pertenece a uno o varios grupos de usuarios del dominio de PRISMAsync.
Se acepta al usuario si se encuentran uno o varios grupos de usuarios del dominio de PRISMAsync.
No se acepta al usuario si no se encuentra ningún grupo de usuarios del dominio de PRISMAsync.
Cuando el dominio no es conocido, PRISMAsync Print Server comprueba la configuración de la tarjeta inteligente PKI.
El usuario se acepta si la casilla [Aceptar tarjetas de todos los dominios] está activada y hay un grupo de usuarios seleccionado en la lista [Grupo de tarjetas de dominios desconocidos].
Configurar tarjetasPRISMAsync Print Server utiliza los derechos de acceso del grupo de usuarios para comprobar si el usuario puede obtener acceso a las opciones y tareas necesarias.