Gdy do obsługiwanego czytnika kart inteligentnych PKI zostanie włożona obsługiwana karta inteligentna PKI, system PRISMAsync Print Server odczytuje ją i rozpoczyna uwierzytelnianie jej certyfikatu.
Zależnie od konfiguracji kart inteligentnych PKI system PRISMAsync Print Server sprawdza wprowadzony kod PIN lub hasło.
Na karcie inteligentnej PKI może być przechowywanych wiele certyfikatów karty inteligentnej i kluczy prywatnych. Jeśli na karcie inteligentnej PKI jest przechowywanych wiele certyfikatów karty inteligentnej, w oknie logowania jest wyświetlana lista rozwijana umożliwiająca wybór nazwy użytkownika.
Schemat poniżej przedstawia etapy weryfikacji karty inteligentnej PKI w trakcie procesu logowania.
Uwierzytelnianie kart inteligentnych PKISystem PRISMAsync Print Server akceptuje wyłącznie karty inteligentne PKI prawidłowe czasowo.
Zależnie od konfiguracji kart inteligentnych PKI w systemie PRISMAsync Print Sever system PRISMAsync Print Server sprawdza stan ważności całego łańcucha certyfikatów karty inteligentnej. Stan ważności certyfikatu głównego nie będzie sprawdzany.
System PRISMAsync Print Server akceptuje wyłącznie karty inteligentne PKI, dla których cały łańcuch certyfikatów jest zaufany.
System PRISMAsync Print Server akceptuje wyłącznie certyfikaty kart inteligentnych, które wystawiono na potrzeby posługiwania się kartami inteligentnymi PKI.
Zależnie od konfiguracji kart inteligentnych PKI w systemie PRISMAsync Print Sever system PRISMAsync Print Server sprawdza wprowadzony kod PIN lub hasło. Jeśli jest wielu użytkowników, w oknie logowania jest wyświetlana lista rozwijana umożliwiająca wybór nazwy użytkownika. System PRISMAsync Print Server kontynuuje uwierzytelnianie użytkownika tylko w przypadku stwierdzenia poprawności kodu PIN lub hasła karty inteligentnej.
Po pomyślnym wykonaniu wszystkich etapów weryfikacji rozpoczyna się proces uwierzytelniania użytkownika.
Certyfikat karty inteligentnej jest wystawiany przed Certification Authority (CA). Może to być inny pośredni urząd certyfikacji albo główny urząd certyfikacji. Główny certyfikat urzędu certyfikacji jest wystawiany przez główny urząd certyfikacji. Główny certyfikat urzędu certyfikacji to punkt końcowy łańcucha certyfikatów i ustanawia on punkt zaufania. W ten sposób jest nawiązywana relacja między urzędami certyfikacji.
Certyfikat karty inteligentnej może być zaufany, jeśli został zweryfikowany przez zaufany urząd certyfikacji. System PRISMAsync Print Server przechowuje certyfikaty urzędów certyfikacji na liście zaufanych certyfikatów.
Konfiguracja łańcucha certyfikatów decyduje o sposobie weryfikowania certyfikatów w łańcuchu. System PRISMAsync Print Server weryfikuje łańcuch certyfikatów karty inteligentnej w momencie, gdy użytkownik loguje się za pomocą takiej karty.
Przykład:
Uwierzytelnianie certyfikatów kart inteligentnych PKISystem PRISMAsync Print Server odczytuje zawartość pola wystawcy w certyfikacie karty inteligentnej i sprawdza, czy wystawca znajduje się na liście zaufanych certyfikatów. Jeżeli wystawca jest na liście, system PRISMAsync Print Server za pomocą publicznego klucza urzędu certyfikacji weryfikuje podpis certyfikatu karty inteligentnej.
Certyfikat urzędu certyfikacji jest wystawiany przez główny urząd certyfikacji, w związku z czym ma status certyfikatu pośredniego. Teraz system PRISMAsync sprawdza, czy główny urząd certyfikacji znajduje się na liście. Jeżeli tak, system PRISMAsync Print Server za pomocą publicznego klucza głównego urzędu certyfikacji weryfikuje podpis na certyfikacie urzędu certyfikacji.
Główny certyfikat urzędu certyfikacji jest wystawiany przez główny urząd certyfikacji. Podpis na głównym certyfikacie urzędu certyfikacji można zweryfikować za pomocą klucza publicznego tego urzędu.
Po stwierdzeniu, że wszystkim urzędom certyfikacji używanym przez kartę inteligentną można ufać, system PRISMAsync Print Server uznaje certyfikat karty inteligentnej za zaufany.
Na ogół użytkownicy kart inteligentnych PKI mają konta użytkowników LDAP na serwerze katalogowym LDAP. W celu obsługi tych kont należy skonfigurować domenę systemu PRISMAsync oraz niezbędne grupy użytkowników domeny systemu PRISMAsync. Podobnie jak inni użytkownicy w domenach, użytkownicy kart inteligentnych PKI otrzymują prawa dostępu ze skonfigurowanych grup użytkowników domeny systemu PRISMAsync.
Gdy użytkownik wkłada kartę inteligentną PKI, system PRISMAsync Print Server odczytuje atrybut UPN (Universal Principal Name) z certyfikatu karty inteligentnej. Atrybut UPN odwołuje się do domeny LDAP, w której są przechowywane konta użytkowników kart inteligentnych.
Można skonfigurować sposób obsługi przez system PRISMAsync Print Server atrybutu UPN (Universal Principal Name) odwołującego się domeny LDAP, która nie jest skonfigurowana w systemie PRISMAsync Print Server.
Na schemacie poniżej wyjaśniono standardowe i konfigurowalne zachowanie systemu PRISMAsync Print Server.
Konfiguracja grupy użytkownikówJeśli karta inteligentna PKI jest prawidłowa, system PRISMAsync Print Server sprawdza, czy jej domena jest znana.
Jeśli domena jest znana, system PRISMAsync Print Server sprawdza, czy konto użytkownika należy do jednej lub wielu grup użytkowników domeny systemu PRISMAsync.
Użytkownik zostanie zaakceptowany, jeżeli uda się odnaleźć co najmniej jedną grupę użytkowników domeny systemu PRISMAsync.
Użytkownik nie zostanie zaakceptowany, jeżeli nie uda się odnaleźć żadnej grupy użytkowników domeny systemu PRISMAsync.
Jeśli domena jest nieznana, system PRISMAsync Print Server sprawdza konfigurację kart inteligentnych PKI.
Użytkownik zostanie zaakceptowany, jeśli zaznaczono pole wyboru [Akcentuj karty inteligentne ze wszystkich domen] oraz wybrano grupę użytkowników z listy [Grupa na karty inteligentne z nieznanych domen].
Konfiguruj karty inteligentneSystem PRISMAsync Print Server używa praw dostępu grupy do sprawdzenia, czy użytkownik może uzyskać dostęp do żądanych opcji i zadań.