Lorsqu’une carte à puce PKI prise en charge est insérée dans un lecteur de carte à puce PKI pris en charge, PRISMAsync Print Server lit la carte et démarre l’authentification du certificat.
Selon la configuration de la carte à puce PKI, PRISMAsync Print Server peut vérifier le code PIN ou le mot de passe saisi.
Une carte à puce PKI peut stocker plusieurs certificats de carte à puce et clés privées. Lorsque plusieurs certificats de carte à puce sont stockés sur la carte à puce PKI, la fenêtre de connexion affiche une liste déroulante permettant de sélectionner le nom d’utilisateur.
Le schéma ci-dessous décrit les étapes de vérification d’une carte à puce PKI pendant le processus de connexion.
Authentification des cartes à puce PKIPRISMAsync Print Server accepte uniquement les cartes à puce PKI qui sont valides dans le temps.
Selon la configuration de la carte à puce PKI de PRISMAsync Print Sever, PRISMAsync Print Server peut vérifier l’état de révocation de l’intégralité du chemin de certificat de carte à puce. L’état de révocation du certificat racine n’est pas vérifié.
PRISMAsync Print Server accepte uniquement les cartes à puce PKI pour lesquelles l’intégralité du chemin du certificat peut être approuvée.
PRISMAsync Print Server accepte uniquement les certificats de carte à puce émis pour l’utilisation de cartes à puce PKI.
Selon la configuration de la carte à puce PKI de PRISMAsync Print Sever, PRISMAsync Print Server peut vérifier le code PIN ou le mot de passe saisi. En cas de plusieurs utilisateurs, la fenêtre de connexion affiche une liste déroulante permettant de sélectionner le nom d’utilisateur. PRISMAsync Print Server ne procède à l’authentification de l’utilisateur que lorsque le code PIN ou le mot de passe de la carte à puce est correct.
Lorsque toutes les étapes de vérification sont réussies, le processus d’authentification de l’utilisateur démarre.
Un certificat de carte à puce est délivré par une Certification Authority (CA). Cette autorité de certification (CA) peut être une autre autorité de certification (CA) (intermédiaire) ou une autorité de certification (CA) racine. Le certificat racine de l’autorité de certification (CA) est délivré par l’autorité de certification (CA) racine elle-même. Le certificat de l’autorité de certification (CA) racine est le point de terminaison de la chaîne de certificats et établit le point de confiance. De cette manière, la relation entre les autorités de certification est créée.
Le certificat de carte à puce peut être approuvé s’il a été vérifié par une autorité de certification (CA) approuvée. PRISMAsync Print Server stocke les certificats CA dans la liste des certificats approuvés.
La chaîne de certificats détermine comment s’effectue la vérification des certificats dans la chaîne. PRISMAsync Print Server vérifie la chaîne de certificats de la carte à puce dès qu’un utilisateur se connecte avec une carte à puce.
Exemple :
Authentification des certificats de carte à puce PKIPRISMAsync Print Server lit le champ de l’émetteur du certificat de la carte à puce et vérifie si l’émetteur figure dans la liste des certificats approuvés. Si l’émetteur figure dans la liste, PRISMAsync Print Server utilise la clé publique de l’autorité de certification (CA) pour vérifier la signature sur le certificat de la carte à puce.
Le certificat CA est émis par l’autorité de certification (CA) racine. Ainsi, ce certificat CA est un certificat intermédiaire. Maintenant, PRISMAsync vérifie si l’autorité de certification (CA) racine figure dans la liste. Si l’autorité de certification (CA) racine figure dans la liste, PRISMAsync Print Server utilise la clé publique de l’autorité de certification (CA) racine pour vérifier la signature sur le certificat de l’autorité de certification (CA).
Le certificat racine de l’autorité de certification (CA) est délivré par l’autorité de certification (CA) racine elle-même. La signature sur le certificat de l’autorité de certification (CA) racine peut être vérifiée avec la clé publique de l’autorité de certification (CA) racine.
Lorsque toutes les autorités de certification de carte à puce s’avèrent fiables, PRISMAsync Print Server considère le certificat de carte à puce comme approuvé.
En général, les utilisateurs de cartes à puce PKI disposent d’un compte utilisateur LDAP sur un serveur d’annuaire LDAP. Pour prendre en charge ce compte utilisateur, configurez un domaine PRISMAsync et les groupes d’utilisateurs de domaine PRISMAsync requis. Les utilisateurs de cartes à puce PKI, comme les autres utilisateurs du domaine, obtiennent leurs droits d’accès à partir des groupes d’utilisateurs de domaines de PRISMAsync configurés.
Lorsqu’un utilisateur insère la carte à puce PKI, PRISMAsync Print Server lit l’UPN (Universal Principal Name) à partir du certificat de carte à puce. L’UPN fait référence au domaine LDAP dans lequel sont stockés les comptes utilisateur de carte à puce.
Vous pouvez configurer comment PRISMAsync Print Server gère un UPN (Universal Principal Name) qui fait référence à un domaine LDAP qui n’est pas configuré sur PRISMAsync Print Server.
Le comportement standard et configurable de PRISMAsync Print Server est expliqué dans le schéma ci-dessous.
Configuration du groupe d’utilisateursLorsque la carte à puce PKI est valide, PRISMAsync Print Server vérifie si le domaine est connu.
Lorsque le domaine est connu, PRISMAsync Print Server vérifie si le compte utilisateur appartient à un ou plusieurs groupes d’utilisateurs de domaine de PRISMAsync.
L’utilisateur est accepté lorsqu’un ou plusieurs groupes d’utilisateurs de domaine de PRISMAsync sont détectés.
L’utilisateur n’est pas accepté si aucun groupe d’utilisateurs de domaine de PRISMAsync n’a été trouvé.
Lorsque le domaine est inconnu, PRISMAsync Print Server vérifie la configuration de la carte à puce PKI.
L’utilisateur est accepté si la case [Accepter les cartes à puce de tous les domaines] est cochée et qu’un groupe d’utilisateurs est sélectionné dans la liste [Groupe de cartes à puce à partir de domaines inconnus].
Configurer des cartes à pucePRISMAsync Print Server utilise les droits d’accès du groupe d’utilisateurs pour vérifier si l’utilisateur peut avoir accès aux tâches et options requises.