Brukerforum - Buypass Access Solution (BAS) 14.04.2016 BAS / BAM Buypass Access Solution for LRA-operatører Ronni Tøftum og Stine Granviken 1
Buypass Access Solution for LRA-operatører Agenda 1. Workshop med fokus på ny funksjonalitet i BAM Fleksibilitet i oppsett og konfigurasjon av klienten Søk mot AD Rapporter Funksjon for flere lokale sertifikater i samme chip Batch PreRegistrering 2. Hva tenker vi om fremtiden, hvilke funksjonalitet er rundt hjørnet? Selvbetjeningsløsning som erstatning for fjernfunksjoner Fra 2- til 1-PIN regime Sentrallagret nøkkel åpner for nye mulige arbeidsflater BAM i skyen 3. Åpen diskusjon - tilbakemeldinger og innspill Savnet funksjonalitet? Erfaringer? 2
Dokumentsenter Dokumentsenter og BAM-dokumentasjon: https://www.buypass.no 3
4 Ny funksjonalitet i BAM Fleksibilitet i oppsett av BAM-klienten
Ny funksjonalitet i BAM Silent launch Eksempel: SET REMOVE=IdCard,TempCard,PinAdmin,Revoke,RegistrationOfIdDocument,Sm artcarddiagnostic,remoteactivate,remoterenew,remotepinunblock,remot epreproducetemp,remoteissuetempcard,preregistration,batchpreregistrati on,enableoperator,disableoperator,reports SET ADDLOCAL=RequiredComponents,Acr88Feature,IdCard,RemotePreProduceId Card msiexec /i SetupLraClient.msi /qn REMOVE=%REMOVE% ADDLOCAL=%ADDLOCAL% /L*v SetupLog.txt 5
6 BAS Brukerforum Configuration Application Tool
Configuration Application Tool Mulighet til å sende trace-filer til Buypass Kundeservice 5 siste fra BAM-klienten og 5 siste fra Configuration-klienten 7
Configuration Application Tool Enklere å få testet om konfigurering er OK 8
Configuration Application Tool Mulighet for å hente en mindre liste med de mest vanlige brukte AD-felt i forbindelse med konfigurering av mapping til ansatte i AD Istedenfor å hente en komplett liste «Fetch Ext» kan dere nå hente en kortere liste «Fetch Def» for å spare tid. Shortlist inneholder: givenname sn mail cn samaccountname userprinciplename extentionattribute 1-15 9
Configuration Application Tool Endret logikk i måten å håndtere FNR-mapping. Ved konfigurering hentes feltene fra FETCH-søket. Både SSN Mode hvordan man skal mappe, og feltnavn som det mappes mot lagres. Ved oppdateringer til nye versjoner av BAM «huskes» mappingen, og den kan testes mot gjeldende konfigurering av AD. Dersom endringer i AD ikke er oppdatert med ny mapping vil du ved test få feilmeldinger. 10
Configuration Application Tool Søk mot AD når Brukerkortet kan leses og mappes mot felt organisasjonen selv definerer. 1. UpnPrefix: Mapper prefiks UPN fra Subject Alternative Name i sertifikat til samaccountname feltet i AD. Dette er gjeldende implementering og vil være defaultverdi. (verdi = samaccountname) 2. UpnFull: Mapper full UPN fra Subject Alternative Name i sertifikat til UPN-feltet i AD (verdi = userprincipalname) 3. SubjectCn: Mapper verdi fra Subject.CN feltet fra sertifikat til samaccountname feltet i AD. Krever at verdien i Subject.CN = samaccountname (verdi = samaccountname) 4. DistinguishedName: Mapper verdi fra Subject feltet i sertifikatet til DistinguishedName feltet i AD. DistinguishedName fra sertifikatet brukes som brukeren "absolutt sti" i AD på tidspunktet for erklæring. (verdi = DistinguishedName) 5. Certificate: Mapper hele sertifikatet mot usercertificate feltet i AD (usercertificate = \30\82\...) 11 Dersom det valgte søke (1-4) ikke returnerer Bruker vil LRA automatisk gjøre et nytt søk med bruk av hele sertifikatet (5).
Rapporter Rapporter med LC + QC fordelt på Searchbase 12
Støtte for flere lokale sertifikater Støtte for flere LC fra ulike domener i samme AD - f.eks. ulike roller User Administrator fra ulike ADer knyttet til samme CA utstedt fra en og samme klient fra ulike ADer knyttet til ulike CAer => forutsetter utstedt fra ulike klienter, dog med samme organisasjonstilknytning (samme Korg-nøkkel i Operatørkort) 13 Dokumentsenter: Flere lokale sertifikater i ett kort
PreRegistrering Preregistrering av èn og èn person nå også med epostadresse 14
PreRegistrering BatchPreregistrering - lagt inn samme sjekker her som registrering av èn og èn. Sjekkes og mappes mot det som ligger i AD er det ikke match på navn og IssuersKey så blir ikke personen registrert. 15
Andre forbedringer PIN Administrasjon kan velge hvilken PIN som skal avblokkeres Overgang fra Smartcard Diagnostic til PIN Administrasjon LRA Mode synlig i både skjermbildet og på PDFer 16
Buypass Access Solution for LRA-operatører Hva tenker vi om fremtidig funksjonalitet? Mulig å få oppdatert epostadresse på ansatte for å få dette lagt inn i de kvalifiserte sertifikatene Endre dagens fjernfunksjoner til Selvbetjening for lokale- og kvalifiserte sertifikater Glemt / avblokkering av smartkort PIN og MobilID PIN når det tas i bruk Lånekort Fornyelser Aktivere nyutstedte kort og erstatningskort Hva betyr det: 1. Bruke Buypass Selvbetjeningsløsning med følgende autentiseringsmetoder a) SMS til registrert mobilnr b) BankID c) Digipost 2. Krever overgang fra Beid3 til Beid5/6 - fase ut JAVA-klient 3. Overgang fra 2-PIN til 1-PIN regime 17
Buypass Access Solution for LRA-operatører Selvbetjening forts. Her er noen ideer hvor vi tar i bruk direktefunksjoner i Selvbetjeningsløsning: Lånekort: SMS til registrert mobil med engangskode Fornyelser: Autentisere seg og signere bestilling av nye sertifikater med bruk av eksisterende gyldige Lokalt- og/eller Kvalifisert sertifikat Nye kort / Erstatningskort Alt1: Sentral produksjon med full legitimering for førstegangsutstedelser Alt2: Krav om at avdelingsledere, eller Operatør manuelt kontrollerer og samler inn/kopierer legitimasjonsdokument og signatur fra ansatt, ved preregistrering skal legitimasjonsdokument også legges inn, kort produseres sentralt og sendes ut blokkert, bruker «aktiverer» ved første gangs bruk hvor ansatt samtidig må autorisere seg på nivå BankID, Digipost_HIGH eller tilsvarende Utfordringer: Må kunne bruke Buypass/BankID/Digipost eller tilsvarende for å identifisere bruker Må kunne ha interaksjon mot organisasjonens CA/AD sikkert noen flere som ikke er tenkt på ennå 18
Buypass Access Solution for LRA-operatører BAM og tjenester i skyen Foretak Utsteder/operatør Buypass BAM Ansatt Buypass native app på mobil/nettbrett: Buypass Code Buypass MobilID Nettleser til app Webapp til app App til app Integrert i andre apps Støtter fingerprint Smartcard SSID Code MobilID 19 Buypass
Buypass Access Solution for LRA-operatører BAM og tjenester i skyen Eget brett/mob Felles nettbrett Felles PC/arbeidsstasjon Egen PC/arbeidsstasjon Tilgang tjenester i skyen (via nettleser eller app) Tilgang tjenester i skyen (via nettleser eller app) Tilgang tjenester i skyen Tilgang PC/nettverk SSO Session roaming Raskt skifte av bruker Tilgang tjenester i skyen Tilgang PC/nettverk SSO Session roaming 20
Support - Kundeservice Send alle forespørsler til Buypass Kundeservice: https://www.buypass.no 21