ISLOG Logon Solution de Contrôle d`accès Logique
Transcription
ISLOG Logon Solution de Contrôle d`accès Logique
ISLOG Logon Solution de Contrôle d‘accès Logique ISLOG Logon v4.0 Accès logique par carte sans contact o Utilisation du badge d’établissement o Compatible Windows, Linux, TSE et Citrix o RFID passive à 125 Khz et 13,56Mhz o RFID active à 433 Mhz (main libre) o Gestion des comptes locaux ou du domaine (AD ou LDAP) Architecture réseau AD LDAP SQL Server ou SQLite autre via ODBC Logiciel d’administration (comptes / cartes) BDD Logon • Lecture du numéro encodé (logique) ou du numéro de série (matériel) • Gestion du changement du mot de passe en corrélation avec la politique de sécurité. • Saisie obligatoire d’un code PIN sur certains postes sensibles (serveurs). • Gestion d’un délai de grâce (local et réseau) du code PIN avec nombre d’essais autorisés. • Plusieurs comptes utilisateur peuvent être associés à une même carte. • Plusieurs cartes peuvent partager le même compte (traçabilité des comptes génériques). • Framework 4.0 • Gestion du mode déconnecté • Modes alternatifs de connexion : • RFID • Login / mot de passe • Questions / réponses • Connect / Disconnect User (Windows 7) • Actions sur présentation ou retrait du badge : • Logon / Logoff • Lock / Unlock • Shutdown / Startup • Sleep / Deep sleep • Scripts à exécuter lors du : • Logon et/ou Logoff • Lock et/ou Unlock Principe de fonctionnement La présentation du badge se substitue à la saisie de votre « Identifiant / Mot de passe ». Cette présentation peut être associée ou non à la saisie d’un code PIN. Le retrait du badge ou une seconde présentation provoquera le verrouillage ou la fermeture de la session en fonction du paramétrage choisit. Enrôlement Plusieurs modes d’enrôlement ont été intégrés à la solution ISLOG Logon afin de permettre un maximum de souplesse lors de son déploiement : 1. Par l’administrateur du système L’administrateur associe l’ID de la carte au compte de l’utilisateur et saisit le mot de passe de l’utilisateur. L’utilisateur n’a plus qu’à poser sa carte sur le lecteur pour ouvrir sa session. Ce mode est particulièrement utilisé en milieu industriel lorsque l’utilisateur n’est pas familiarisé avec les notions de « identifiant / mot de passe ». 2. Par l’administrateur ET l’utilisateur L’administrateur associe l’ID de la carte au compte de l’utilisateur. La 1ère fois que l’utilisateur pose sa carte sur le lecteur, le système lui demande son mot de passe. 3. Par l’utilisateur (auto-enrôlement) - L’administrateur renseigne dans le système Logon les ID des badges valides, et c’est l’utilisateur qui renseignera, lors de la 1ère utilisation, son identifiant et son mot de passe. Aucune information n’est renseignée dans le système, lorsqu’une carte inconnue est présentée sur un lecteur, le système demande à l’utilisateur de renseigner son identifiant et son mot de passe. Modes alternatifs de connexion Il est possible de conserver ou non des modes alternatifs de connexion après l’installation du système ISLOG Logon : 1. Identifiant / mot de passe Les administrateurs peuvent conserver l’authentification par « login / mot de passe » sur le parc informatique. 2. Questions / réponses L’utilisateur qui ne saisit plus son mot de passe au quotidien à tendance à l’oublier. Pour palier à cela, il est possible d’ouvrir sa session en répondant à une ou plusieurs questions personnelles préalablement renseignées. 3. PKI Un système d’authentification forte à base de PKI peut être associé au système Logon. Ainsi dans l’entreprise l’utilisateur se connecte par l’interface sans contact et à l’extérieur avec la partie contact de sa carte. On allie ainsi confort et sécurité à l’aide d’un même badge sur un même poste. 1 carte / N comptes ou N cartes / 1 compte Il est possible d’associer plusieurs comptes à une même carte. Lors de la présentation de la carte sur le lecteur, le système demandera à l’utilisateur avec quel compte il souhaite se connecter. De la même manière, plusieurs cartes peuvent être associées à un même compte, cela permet par exemple de tracer l’utilisation des comptes génériques. Code PIN Il est possible d’associer un code PIN à la présentation de la carte afin d’augmenter le niveau de sécurité. Ce code peut être : o Imposé à tous les collaborateurs o Imposé à certains collaborateurs (administrateurs) o Laissé à la discrétion des utilisateurs o Imposé sur certains postes (serveurs) Un délais de grâce, calculé en minutes, peut être paramétré par l’administrateur. Ce délais peut être local ou réseau et évite à l’utilisateur de devoir ressaisir son code PIN de façon trop fréquente. Enfin le nombre de tentatives de saisi erroné du code PIN peut être limité ou non. ISLOG USI v 4.0 ISLOG USI(*) est un module d’authentification unique (Single Sign On) livré avec ISLOG Logon. Après ouverture de la session Windows, pour des applications bureautiques ou web, ISLOG USI pourra renseigner automatiquement votre mot de passe. ISLOG USI peut fonctionner indépendamment de la session Windows. Le profil de l’utilisateur est chargé dynamiquement lorsque celui-ci pose sa carte sur lecteur et est déchargé lorsqu’il la retire. (*) User Scripting Interface Accès à un ensemble d’applications Pour avoir accès automatiquement à un ensemble d’applications, il faudra vous avoir au préalablement authentifié une première fois. Le système ISLOG USI peut se baser sur 2 facteurs : 1. 1- le titulaire de la session Windows 2. 2- le titulaire du badge Une fois l’identification effectuée, il suffit à l’utilisateur de démarrer une application (Windows ou Web) pour qu’automatiquement le système ISLOG USI renseigne à sa place ses informations de connexion. Titulaire de la session Windows 1 2 3 4 1 o La session Windows est verrouillée o L’utilisateur pose sa carte, la session Windows s’ouvre. o L’utilisateur lance une application o L’application s’ouvre et demande un identifiant / mot de passe o ISLOG USI renseigne automatiquement ces valeurs. La session applicative démarre. o L’utilisateur retire sa carte, la session Windows se verrouille. Titulaire du badge 1 2 3 4 1 o Poste en libre service, session Windows ouverte o L’utilisateur pose sa carte, le profile ISLOG USI du titulaire est chargé. o L’utilisateur lance une application o L’application s’ouvre et demande un identifiant / mot de passe o ISLOG USI renseigne automatiquement ces valeurs. La session applicative démarre. o L’utilisateur retire sa carte, son profile est purgé de la mémoire du poste Accès à une application en particulier En fonction des besoins ou de l’environnement (application SCADA), il peut être demandé d’accéder à une application en particulier. Là encore la solution ISLOG IDT répond au problème de façon simple. Sur présentation du badge, le service ISLOG IDT va exécuter une suite d’actions qui vont permettre d’identifier le titulaire de la carte dans l’application cible. Sur retrait ou 2° présentation du badge, l’utilisateur est déconnecté de l’application. Plus que de la sécurité, il faut voir ici le gain en traçabilité et en productivité. Traçabilité car il n’y a plus de mot de passe partagé, productivité car une identification RFID se fait en moins de 3 secondes. Principe de fonctionnement Lorsque l’utilisateur présente son badge, ses informations de connexion sont envoyé à l’application Lorsque l’utilisateur retire son badge, la commande de verrouillage est envoyée à l’application. Gestion des clés Les clés d’accès aux zones sécurisées des cartes sans contact doivent être protégées. Les applications ISLOG gèrent les clés de 3 façons différentes en fonction du niveau de sécurité demandé : s é c u r i t é 1. Mémoire du poste de travail 2. Mémoire du lecteur RFID 3. Module SAM Les middleware RFID pour les logiciels de SSO sont compatibles SAM. Lecteurs avec support SAM Compatibilité avec des applications tierce Nous avons développé des middleware RFID pour les applications ci-dessous, les rendant compatibles avec n’importe quelle technologie sans contact du marché Evidian Entreprise SSO OneSign Citrix Password Manager Orcanthus Security Suite ILEX Sign&Go Quelques références Client Logiciel Secteur Nouvelles cliniques Nantaise GlaxoSmithKline St. Andreas Hospital (Amsterdam) Air Linair Transavia Hôpital Grace de Monaco Usine Safran à Vernon CHU d’Amiens Groupe Batteur Technip Hôpital de la Citadelle (Liège) Socomec DCNS Group IMRA Europe Hôpital Jolimont (Belgique) Centre hôspitalier de Carcassone Hôpital Erasme (Bruxelle) Champagne Mumm Cofely Fabricom (Belgique) Service des eaux de Nancy Sibelga (Belgique) Logon IDT Logon IDT IDT Logon / Linux IDT Plug-in ILEX Logon Logon Plug-in Evidian Logon Logon Logon Plug-in Evidian Logon / Linux Plug-in Imprivata IDT IDT IDT Plug-in Evidian Hospitalier Pharmacie Hospitalier Aviation Aviation Hospitalier Industrie Hospitalier Pharmacie Industrie Hospitalier Industrie Industrie Recherche Hospitalier Hospitalier Hospitalier Industrie Industrie Industrie Industrie Nb Licences 350 pers. 60 pc 2 200 pers. 20 pc 20 pc 100 pc 220 pc 110 pc 40 pc 480 pc 1 200 pers 600 pers. 15 pc 30 pc 150 pers 425 pers 3 200 pc 10 pc 30 pc 20 pc 230 pers Année 2006 2007 2008 2008 2008 2008 2009 2009 2009 2010 2010 2010 2011 2011 2012 2013 2013 2013 2013 2013 2014 Une démonstration en ligne ? ISLOG 13 rue du Général de CASTELNAU 67 000 STRASBOURG Tél : +33 (0)3 88 55 73 90 [email protected] www.islog.com