ISLOG Logon Solution de Contrôle d`accès Logique

ISLOG Logon
Solution de Contrôle d‘accès Logique
ISLOG Logon v4.0
Accès logique par carte
sans contact
o Utilisation du badge d’établissement
o Compatible Windows, Linux, TSE et Citrix
o RFID passive à 125 Khz et 13,56Mhz
o RFID active à 433 Mhz (main libre)
o Gestion des comptes locaux ou du domaine (AD ou LDAP)
Architecture réseau
AD
LDAP
SQL Server
ou SQLite
autre via ODBC
Logiciel
d’administration
(comptes / cartes)
BDD
Logon
•
Lecture du numéro encodé (logique) ou du numéro de série (matériel)
•
Gestion du changement du mot de passe en corrélation avec la politique
de sécurité.
•
Saisie obligatoire d’un code PIN sur certains postes sensibles (serveurs).
•
Gestion d’un délai de grâce (local et réseau) du code PIN avec nombre
d’essais autorisés.
•
Plusieurs comptes utilisateur peuvent être associés à une même carte.
•
Plusieurs cartes peuvent partager le même compte
(traçabilité des comptes génériques).
• Framework 4.0
• Gestion du mode déconnecté
• Modes alternatifs de connexion :
• RFID
• Login / mot de passe
• Questions / réponses
• Connect / Disconnect User (Windows 7)
• Actions sur présentation ou retrait du
badge :
• Logon / Logoff
• Lock / Unlock
• Shutdown / Startup
• Sleep / Deep sleep
• Scripts à exécuter lors du :
• Logon et/ou Logoff
• Lock et/ou Unlock
Principe de fonctionnement
La présentation du badge se substitue à la saisie de votre « Identifiant / Mot de
passe ».
Cette présentation peut être associée ou non à la saisie d’un code PIN.
Le retrait du badge ou une seconde présentation provoquera le verrouillage ou la
fermeture de la session en fonction du paramétrage choisit.
Enrôlement
Plusieurs modes d’enrôlement ont été intégrés à la solution ISLOG Logon afin de
permettre un maximum de souplesse lors de son déploiement :
1. Par l’administrateur du système
L’administrateur associe l’ID de la carte au compte de l’utilisateur et saisit le mot de
passe de l’utilisateur. L’utilisateur n’a plus qu’à poser sa carte sur le lecteur pour ouvrir
sa session. Ce mode est particulièrement utilisé en milieu industriel lorsque
l’utilisateur n’est pas familiarisé avec les notions de « identifiant / mot de passe ».
2. Par l’administrateur ET l’utilisateur
L’administrateur associe l’ID de la carte au compte de l’utilisateur. La 1ère fois que
l’utilisateur pose sa carte sur le lecteur, le système lui demande son mot de passe.
3. Par l’utilisateur (auto-enrôlement)
-
L’administrateur renseigne dans le système Logon les ID des badges valides, et
c’est l’utilisateur qui renseignera, lors de la 1ère utilisation, son identifiant et son
mot de passe.
Aucune information n’est renseignée dans le système, lorsqu’une carte inconnue
est présentée sur un lecteur, le système demande à l’utilisateur de renseigner son
identifiant et son mot de passe.
Modes alternatifs de connexion
Il est possible de conserver ou non des modes alternatifs de connexion après
l’installation du système ISLOG Logon :
1. Identifiant / mot de passe
Les administrateurs peuvent conserver l’authentification par « login / mot
de passe » sur le parc informatique.
2. Questions / réponses
L’utilisateur qui ne saisit plus son mot de passe au quotidien à tendance à
l’oublier. Pour palier à cela, il est possible d’ouvrir sa session en répondant à
une ou plusieurs questions personnelles préalablement renseignées.
3. PKI
Un système d’authentification forte à base de PKI peut être associé au
système Logon. Ainsi dans l’entreprise l’utilisateur se connecte par
l’interface sans contact et à l’extérieur avec la partie contact de sa carte. On
allie ainsi confort et sécurité à l’aide d’un même badge sur un même poste.
1 carte / N comptes ou N cartes / 1 compte
Il est possible d’associer plusieurs comptes à une même carte. Lors de la
présentation de la carte sur le lecteur, le système demandera à l’utilisateur avec quel
compte il souhaite se connecter.
De la même manière, plusieurs cartes peuvent être associées à un même compte,
cela permet par exemple de tracer l’utilisation des comptes génériques.
Code PIN
Il est possible d’associer un code PIN à la présentation de la carte afin d’augmenter le
niveau de sécurité.
Ce code peut être :
o Imposé à tous les collaborateurs
o Imposé à certains collaborateurs (administrateurs)
o Laissé à la discrétion des utilisateurs
o Imposé sur certains postes (serveurs)
Un délais de grâce, calculé en minutes, peut être paramétré par l’administrateur. Ce
délais peut être local ou réseau et évite à l’utilisateur de devoir ressaisir son code PIN
de façon trop fréquente.
Enfin le nombre de tentatives de saisi erroné du code PIN peut être limité ou non.
ISLOG USI v 4.0
ISLOG USI(*) est un module d’authentification unique (Single Sign On) livré
avec ISLOG Logon.
Après ouverture de la session Windows, pour des applications bureautiques
ou web, ISLOG USI pourra renseigner automatiquement votre mot de
passe.
ISLOG USI peut fonctionner indépendamment de la session Windows. Le
profil de l’utilisateur est chargé dynamiquement lorsque celui-ci pose sa
carte sur lecteur et est déchargé lorsqu’il la retire.
(*) User Scripting Interface
Accès à un ensemble d’applications
Pour avoir accès automatiquement à un ensemble d’applications, il faudra vous avoir
au préalablement authentifié une première fois.
Le système ISLOG USI peut se baser sur 2 facteurs :
1.
1- le titulaire de la session Windows
2.
2- le titulaire du badge
Une fois l’identification effectuée, il suffit à l’utilisateur de démarrer une application
(Windows ou Web) pour qu’automatiquement le système ISLOG USI renseigne à sa
place ses informations de connexion.
Titulaire de la session Windows
1
2
3
4
1
o
La session Windows est verrouillée
o
L’utilisateur pose sa carte, la session Windows s’ouvre.
o
L’utilisateur lance une application
o
L’application s’ouvre et demande un identifiant / mot de passe
o
ISLOG USI renseigne automatiquement ces valeurs. La session applicative
démarre.
o
L’utilisateur retire sa carte, la session Windows se verrouille.
Titulaire du badge
1
2
3
4
1
o
Poste en libre service, session Windows ouverte
o
L’utilisateur pose sa carte, le profile ISLOG USI du titulaire est chargé.
o
L’utilisateur lance une application
o
L’application s’ouvre et demande un identifiant / mot de passe
o
ISLOG USI renseigne automatiquement ces valeurs. La session applicative
démarre.
o
L’utilisateur retire sa carte, son profile est purgé de la mémoire du poste
Accès à une application en particulier
En fonction des besoins ou de l’environnement (application SCADA), il peut être
demandé d’accéder à une application en particulier. Là encore la solution ISLOG IDT
répond au problème de façon simple.
Sur présentation du badge, le service ISLOG IDT va exécuter une suite d’actions qui
vont permettre d’identifier le titulaire de la carte dans l’application cible. Sur retrait ou
2° présentation du badge, l’utilisateur est déconnecté de l’application.
Plus que de la sécurité, il faut voir ici le gain en traçabilité et en productivité.
Traçabilité car il n’y a plus de mot de passe partagé, productivité car une identification
RFID se fait en moins de 3 secondes.
Principe de fonctionnement
Lorsque l’utilisateur présente son badge, ses informations de
connexion sont envoyé à l’application
Lorsque l’utilisateur retire son badge, la commande de
verrouillage est envoyée à l’application.
Gestion des clés
Les clés d’accès aux zones sécurisées des cartes sans contact doivent être
protégées.
Les applications ISLOG gèrent les clés de 3 façons différentes en fonction
du niveau de sécurité demandé :
s
é
c
u
r
i
t
é
1. Mémoire du poste de travail
2. Mémoire du lecteur RFID
3. Module SAM
Les middleware RFID pour les logiciels de SSO
sont compatibles SAM.
Lecteurs avec support SAM
Compatibilité avec des applications tierce
Nous avons développé des middleware RFID pour les applications ci-dessous, les
rendant compatibles avec n’importe quelle technologie sans contact du marché
Evidian Entreprise SSO
OneSign
Citrix Password Manager
Orcanthus Security Suite
ILEX Sign&Go
Quelques références
Client
Logiciel
Secteur
Nouvelles cliniques Nantaise
GlaxoSmithKline
St. Andreas Hospital (Amsterdam)
Air Linair
Transavia
Hôpital Grace de Monaco
Usine Safran à Vernon
CHU d’Amiens
Groupe Batteur
Technip
Hôpital de la Citadelle (Liège)
Socomec
DCNS Group
IMRA Europe
Hôpital Jolimont (Belgique)
Centre hôspitalier de Carcassone
Hôpital Erasme (Bruxelle)
Champagne Mumm
Cofely Fabricom (Belgique)
Service des eaux de Nancy
Sibelga (Belgique)
Logon
IDT
Logon
IDT
IDT
Logon / Linux
IDT
Plug-in ILEX
Logon
Logon
Plug-in Evidian
Logon
Logon
Logon
Plug-in Evidian
Logon / Linux
Plug-in Imprivata
IDT
IDT
IDT
Plug-in Evidian
Hospitalier
Pharmacie
Hospitalier
Aviation
Aviation
Hospitalier
Industrie
Hospitalier
Pharmacie
Industrie
Hospitalier
Industrie
Industrie
Recherche
Hospitalier
Hospitalier
Hospitalier
Industrie
Industrie
Industrie
Industrie
Nb Licences
350 pers.
60 pc
2 200 pers.
20 pc
20 pc
100 pc
220 pc
110 pc
40 pc
480 pc
1 200 pers
600 pers.
15 pc
30 pc
150 pers
425 pers
3 200 pc
10 pc
30 pc
20 pc
230 pers
Année
2006
2007
2008
2008
2008
2008
2009
2009
2009
2010
2010
2010
2011
2011
2012
2013
2013
2013
2013
2013
2014
Une démonstration en ligne ?
ISLOG
13 rue du Général de CASTELNAU
67 000 STRASBOURG
Tél : +33 (0)3 88 55 73 90
[email protected]
www.islog.com