Quando una smartcard PKI supportata viene inserita in un lettore di smartcard PKI supportato, PRISMAsync Print Server legge la scheda e avvia l'autenticazione certificato.
Dipende dalla configurazione della smartcard PKI, se PRISMAsync Print Server effettua la verifica della password o del PIN immesso.
Una smartcard PKI può memorizzare più certificati smartcard e chiavi private. Quando sono presenti più certificati smartcard memorizzati sulla smartcard PKI, la finestra di accesso mostra un elenco a discesa per selezionare il nome utente.
Il diagramma sottostante descrive le operazioni di verifica di una smartcard PKI durante la procedura di accesso.
Autenticazione di smartcard PKIPRISMAsync Print Server accetta solo smartcard PKI il cui intervallo di tempo è valido.
Dipende dalla configurazione della smartcard PRISMAsync Print Sever PKI, se PRISMAsync Print Server verifica gli stati di revoca dell'intera catena di certificati smartcard. Lo stato di revoca del certificato radice non è selezionato.
PRISMAsync Print Server accetta solo smartcard PKI per le quali può essere attendibile l'intera catena di certificati smartcard.
PRISMAsync Print Server accetta certificati smartcard emessi solo per uso smartcard PKI.
Dipende dalla configurazione della smartcard PRISMAsync Print Sever PKI, se PRISMAsync Print Server effettua la verifica della password o del PIN immesso. Quando vi sono più utenti, nella finestra di accesso viene visualizzato un elenco a discesa per selezionare il nome utente. PRISMAsync Print Server continua solo con l'autenticazione utente se la password o il PIN della smartcard è corretto.
Quando tutti i passaggi di verifica hanno avuto esito positivo, viene avviato il processo di autenticazione dell'utente.
Un certificato smartcard viene emesso da un'Certification Authority (CA). Questa autorità di certificazione (CA) può essere un'altra CA (intermedia) o una CA radice. Il certificato CA radice viene emesso dalla CA radice stessa. Il certificato CA radice è il punto finale della catena di certificati e stabilisce il punto di attendibilità. In questo modo viene creato il rapporto tra le autorità di certificazione (CA).
Il certificato smartcard può essere attendibile se è stato verificato mediante un certificato CA attendibile. PRISMAsync Print Server memorizza i certificati CA nell'elenco di certificati attendibili.
La catena di certificati determina come viene eseguita la verifica dei certificati della catena. PRISMAsync Print Server verifica la catena di certificati smartcard appena un utente accede con una smartcard.
Esempio:
Autenticazione di certificati smartcard PKIPRISMAsync Print Server controlla il campo dell'autorità emittente del certificato smartcard e verifica se questa è inclusa nell'elenco di certificati attendibili. Se l'autorità emittente è nell'elenco, PRISMAsync Print Server utilizza la chiave pubblica dell'autorità di certificazione (CA) per verificare la firma sul certificato smartcard.
Il certificato CA viene emesso dalla CA radice. Pertanto, questo certificato CA è un certificato intermedio. A questo punto PRISMAsync verifica se la CA radice è nell'elenco. Se la CA radice è nell'elenco, PRISMAsync Print Server utilizza la chiave pubblica della CA radice per verificare la firma sul certificato CA.
Il certificato CA radice viene emesso dalla CA radice stessa. La firma sul certificato CA radice può essere verificata con la chiave pubblica della CA radice.
Una volta dimostrata l'attendibilità di tutte le CA smartcard, PRISMAsync Print Server considera il certificato smartcard come attendibile.
In genere, agli utenti smartcard PKI è associato un account utente LDAP sul server directory LDAP. Per supportare questi account utente, è possibile configurare un dominio PRISMAsync e i gruppi di utenti di dominio PRISMAsync. Gli utenti di smartcard PKI, come gli altri utenti di dominio, ottengono i rispettivi diritti di accesso dai gruppi utenti di domini PRISMAsync configurati.
Quando un utente inserisce la smartcard PKI, PRISMAsync Print Server legge l'UPN (Universal Principal Name) dal certificato smartcard. L'UPN fa riferimento al dominio LDAP dove gli account utente smartcard sono stati salvati.
È possibile configurare come PRISMAsync Print Server gestisce un UPN (Universal Principal Name) che fa riferimento a un dominio LDAP che non è configurata su PRISMAsync Print Server.
Il comportamento standard e configurabile di PRISMAsync Print Server è illustrato nello schema indicato di seguito.
Configurazione di gruppi utentiQuando la smartcard PKI è valida, PRISMAsync Print Server verifica se il dominio della smartcard è noto.
Quando il dominio è noto, PRISMAsync Print Server verifica se l'account utente appartiene a uno o più gruppi utenti di dominio PRISMAsync.
L'utente viene accettato, se vengono trovati uno o più gruppi di utenti di dominio PRISMAsync.
L'utente non viene accettato quando non viene trovato alcun gruppo di utenti di dominio PRISMAsync.
Quando il dominio è sconosciuto, PRISMAsync Print Server verifica la configurazione della smartcard PKI.
L'utente è stato accettato quando la casella di controllo [Accettare smartcard da tutti i domini] è selezionata e un gruppo utenti è selezionato nell'elenco [Gruppo per smartcard da domini sconosciuti].
Configurare smartcardPRISMAsync Print Server utilizza i diritti di accesso del gruppo utenti per verificare se l'utente può accedere alle opzioni e alle attività richieste.