Quando um Smart Card PKI suportado é inserido num leitor de Smart Card PKI suportado, o PRISMAsync Print Server lê o cartão e inicia a autenticação de certificado.
Dependendo da configuração do Smart Card PKI, o PRISMAsync Print Server verifica o PIN ou palavra-passe introduzido.
Um Smart Card PKI pode armazenar vários certificados de Smart Card e chaves privadas. Quando existirem vários certificados de Smart Cards armazenados no Smart Card PKI, a janela de início de sessão mostra uma lista pendente para selecionar o nome de utilizador.
O esquema abaixo descreve os passos de verificação de um Smart Card PKI durante o início de sessão.
Autenticação de Smart cards PKIO PRISMAsync Print Server só aceita Smart Cards PKI com tempo válido.
Conforme a configuração de Smart Card do PRISMAsync Print Sever PKI, o PRISMAsync Print Server verifica ou não o estado de revogação de todo o caminho de certificados do Smart Card. O estado da revogação do certificado de raiz não foi verificado.
O PRISMAsync Print Server só aceita Smart Cards PKI em relação aos quais se pode confiar em todo o caminho de certificados.
O PRISMAsync Print Server só aceita certificados de Smart Card emitidos para a utilização de Smart Cards PKI.
Dependendo da configuração do Smart Card PRISMAsync Print Sever PKI, o PRISMAsync Print Server verifica o PIN ou palavra-passe introduzido. Quando houver vários utilizadores, a janela de início de sessão mostra uma lista pendente para selecionar o nome de utilizador. O PRISMAsync Print Server só continua com a autenticação de utilizador quando o PIN ou palavra-passe do Smart Card está correto.
Quando todos os passos de verificação são bem-sucedidos, o processo de autenticação de utilizador é iniciado.
Um certificado de Smart Card é emitido por uma Certification Authority (CA). Esta CA pode ser outra CA (intermédia) ou uma CA de raiz. O certificado CA de raiz é emitido pela própria CA de raiz. O certificado da CA de raiz é o ponto final da cadeia de certificados e estabelece o ponto de confiança. Desta forma, cria-se a relação entre CAs.
Pode confiar-se no certificado de Smart Card se tiver sido verificado por uma CA de confiança. O PRISMAsync Print Server guarda os certificados CA na lista de certificados de confiança.
A cadeia de certificados determina a forma como ocorre a verificação dos certificados da cadeia. O PRISMAsync Print Server verifica a cadeia de certificados de cartão assim que um utilizador inicia sessão com um Smart Card.
Exemplo:
Autenticação dos certificados de Smart card PKIO PRISMAsync Print Server lê o campo emissor do certificado de Smart Card e verifica se o emissor está na lista de certificados de confiança. Se o emissor estiver na lista, o PRISMAsync Print Server usa a chave pública da CA para verificar a assinatura no certificado de Smart Card.
O certificado CA é emitido por CA de raiz. Assim, este certificado CA é um certificado intermédio. Neste momento, o PRISMAsync se a CA de raiz está na lista. Se a CA de raiz estiver na lista, o PRISMAsync Print Server utiliza a chave pública da CA de raiz para verificar a assinatura no certificado CA.
O certificado CA de raiz é emitido pela própria CA de raiz. A assinatura no certificado CA de raiz pode ser verificada com a chave pública da CA de raiz.
Quando todas as CA de Smart Cards demonstrarem ser de confiança, o PRISMAsync Print Server considera o certificado de Smart Card como sendo de confiança.
Em geral, os utilizadores de Smart Card PKI têm uma conta de utilizador LDAP num servidor de diretório LDAP. Para suportar esta conta de utilizador, tem de configurar um domínio PRISMAsync e os grupos de utilizadores de domínio PRISMAsync requeridos. Os utilizadores de Smart Card PKI, como os outros utilizadores do domínio, obtêm os respetivos direitos de acesso dos grupos de utilizadores de domínio PRISMAsync configurados.
Quando um utilizador insere o Smart Card PKI, o PRISMAsync Print Server lê o UPN (Universal Principal Name) do certificado do Smart Card. O UPN diz respeito ao domínio LDAP onde estão guardadas as contas de utilizador do Smart Card.
Pode configurar como o PRISMAsync Print Server trata de um UPN (Universal Principal Name) que diz respeito a um domínio LDAP que não está configurado no PRISMAsync Print Server.
A norma e o comportamento configurável do PRISMAsync Print Server são explicados no esquema abaixo.
Configuração do grupo de utilizadoresQuando o Smart Card PKI é válido, o PRISMAsync Print Server verifica se o domínio é conhecido.
Quando o domínio for conhecido, o PRISMAsync Print Server verifica se a conta de utilizador pertence a um ou mais grupos de utilizadores de domínio do PRISMAsync.
O utilizador é aceite quando se encontrar um ou mais grupos de utilizadores de domínio do PRISMAsync.
O utilizador não é aceite quando não se encontrar nenhum grupo de utilizadores de domínio do PRISMAsync.
Quando o domínio for desconhecido, o PRISMAsync Print Server verifica a configuração do Smart Card PKI.
O utilizador é aceite quando a caixa de verificação [Aceitar cartões de todos os domínios] for marcada e um grupo de utilizadores for selecionado na lista [Grupo para cartões de domínios desconhecidos].
Configurar cartõesO PRISMAsync Print Server utiliza os direitos de acesso do grupo de utilizadores para verificar se o utilizador pode ter acesso às opções e tarefas necessárias.