Using RFID cards
to access information systems

L'utilisation de la carte d'accès unique basée sur le laissez-passer de l'employé et l'intégration de l'accès logique et des systèmes élargis de contrôle d'accès

access manager

Dans la plupart des entreprises modernes, les employés utilisent les cartes sans contact (les laissez-passer) pour obtenir l'accès physique au centre d’affaires, au bureau, à l’usine, etc. Ces cartes peuvent être utilisées comme les pièces d'identité officielle contenant la photo, le nom et la position de l’employé. L'utilisation de ces laissez-passer est devenue une pratique courante courante. Voilà pourquoi il est assez logique de l'étendre non seulement à l'accès physique, mais aussi à l'accès logique aux systèmes d'information de l'entreprise.

Tâches

Pour utiliser les laissez-passer pour l'authentification des employés, on peut formuler les tâches suivantes:

  1. Il est nécessaire de fournir l'authentification des utilisateurs lors de l'accès
      • au système d'exploitation Windows (Ordinateur du domaine)
      • aux applications cibles
  2. La solution doit prendre en charge l'option d'authentification à un facteur (par carte) et d'authentification à deux facteurs (par carte et code PIN).
  3. Il devrait être possible de bloquer la session de l'utilisateur s'il retire la carte du lecteur (quitte son lieu de travail).
  4. La possibilité d'intégration logicielle avec les systèmes élargis de contrôle d'accès physique (ACS) pour contrôler l'emplacement de l'employé au moment de sa connexion à l'ordinateur - ne pas permettre l'accéder à l'ordinateur si l'employé n'est pas inscrit dans le bâtiment.

Solution

Pour résoudre ce problème, le progiciel Indeed Access Manager (Indeed AM) est utilisé. Le complexe permet d'implémenter les scénarios d'authentification nécessaires dans le système d'exploitation Windows et les applications.

Access to Windows system is provided for by Indeed AM Windows Logon component using the account data of the Active Directory domain. The component implements the Credential Provider - an interface for access to operating system. The standard OS login interface is substituted by the Indeed AM Windows Logon interface. The latter provides for using various authentication technologies, including RFID protection cards.

L'intégration avec Windows s'effectue via le protocoles standard, ce qui permet la compatibilité avec le sous-système d'authentification Windows et l'utilisation de Indeed AM Windows Logon dans divers scénarios d'accès: entrée local d'ordinateur, bureau à distance (RDP), authentification au sein du système d'exploitation. Le système est centralisé en permettant les différents employés de connecter à l'ordinateur au moyen de ses laissez-passers (en utilisant leurs comptes de domaine). Un employé peut également se connecter à n'importe quel l'ordinateur du domaine.

Indeed AM Windows Logon peut fonctionner dans un mode d'authentification à un facteur par une carte sans contact, lorsque l'authentification suffit pour attacher la carte au lecteur, et en mode d'authentification à deux facteurs, lorsqu'il faut mettre la carte et entrer le code PIN pour connexion. Sur demande, la carte sans contact peut être combinée à d'autres facteurs, comme par exemple, l'empreinte digitale.

Indeed AM prend en charge les formats de carte sans contact suivants:

    • Mifare
    • EM Marin
    • HID Prox
    • HID iClass

Indeed Access Manager ne remplace pas le système d'authentification standard Active Directory, mais automatise la gestion des mots de passe des utilisateurs. Dans cette configuration, l'authentification par mot de passe devient un mécanisme interne utilisé uniquement au niveau logiciel. Au moment de l'enregistrement de l'utilisateur dans Indeed Access Manager du premier authentifiant (carte RFID, etc.), son mot de passe est automatiquement remplacé par une valeur aléatoire qui n'est signalée ni à l'utilisateur ni à l'administrateur système. Ainsi, l'accès au domaine devient possible uniquement à l'aide de la technologie Indeed AM. À l'avenir, le mot de passe de l'utilisateur est modifié automatiquement à la demande du système d'exploitation ou selon un calendrier prédéterminé.

Indeed AM Windows Logon prend en charge la stratégie de domaine natif « Comportement lors du retrait de la carte à puce », qui peut être configurée pour bloquer la session Windows lorsque l'utilisateur supprime la passe du lecteur. Ainsi, la sécurité de l'information peut être améliorée en bloquant l'ordinateur lorsque l'utilisateur quitte son lieu de travail.

Pour les applications avec lesquelles les employés travaillent sur leurs ordinateurs (selon le schéma de client léger/client lourd), l'authentification biométrique est mise en œuvre au moyen du composant Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO permet de s'intégrer à l’application cible sans nécessité d'intervention logicielle dans l'application. Pour ce faire, l'interception des formes de l'écran de connexion, de déverrouillage et de changement de mot de passe sont utilisées dans l'application. L'interception est effectuée par l'agent Indeed AM ESSO installé sur les postes de travail des utilisateurs. Au moment où la forme de connexion à l'application cible apparaît, l'écran se bloque et l'utilisateur doit suivre la procédure d'authentification: mettre un doigt sur le lecteur d'empreintes digitales, etc. Après cela, l'agent Indeed AM ESSO remplit automatiquement la forme de connexion et l'utilisateur accède à l'application.

Optionnellement, lors de l'authentification de l'employé pour contrôler son emplacement, on peut effectuer l'intégration avec le système élargi de contrôle d'accès. Il faudra pour ce faire développer un module spécialisé permettant qui permettra d’obtenir du système élargi de contrôle d'accès l'information sur l’endroit où le laissez-passer de l’employé est enregistré (dans quelle pièce/dans quel périmètre). En utilisant ce module, le serveur Indeed Access Manager, vérifiera l'emplacement de l'employé dans le système élargi de contrôle d'accès avant de donner l'accès à l'ordinateur. S'il s'avère que l'ordinateur auquel on accède et l'utilisateur sont enregistrés dans les pièces/périmètres différents, l'utilisateur n'aura pas accès même s'il présente les données d'authentification correctes.

La schéma générale de solution est ci-dessous

RFID-system-CARD operation scheme

Indeed Access Manager comprend les principaux composants suivants:

Indeed AM Server (Serveur) est un composant de serveur d'infrastructure de Indeed Access Manager. Le serveur assure le stockage centralisé et la protection des données des utilisateurs, effectue l'authentification des utilisateurs, accepte et traite les demandes des composants clients et des outils d'administrateur. Le serveur assure à l'utilisateur la disponibilité des données depuis n'importe quel l'ordinateur. Le serveur permet à l'administrateur de configurer les paramètres d'accès de l'employé (ou du groupe d'employés), d'apporter des modifications globales au système.

Indeed AM Windows Logon est un logiciel client installé sur les lieus de travail des employés. Windows Logon permet d'accéder à Windows au moyen de la technologies d'authentification forte des utilisateurs.

Agent Indeed AM ESSO est un logiciel client installé sur les lieus de travail des employés. L'agent ESSO intercepte les formes d'écran des applications et offre la possibilité d'y accéder au moyen de la technologie de l'authentification forte des utilisateurs.

Base de données Indeed Access Manager. La base de données stocke les paramètres système et les modèles biométriques de référence utilisés par le serveur pour authentifier les utilisateurs.

Journal Indeed AM. Tous les événements survenant dans le système sont enregistrés dans le journal Indeed AM. Le journal enregistre la date, l'heure, le nom d'utilisateur, le nom du compte Active Directory, le nom du compte du système cible, le fait d'utiliser les coordonnées d'accès, le fait de se connecter aux systèmes cible, etc. Le journal enregistre aussie le moyens et la technologie d'authentification utilisée par l'employé pour accéder au système.

Module d'intégration avec le système élargi de contrôle d'accès. Ce module permet d’interagir avec le système élargi de contrôle d'accès et d’obtenir des données sur l’emplacement de l’employé.

EN SAVOIR PLUS
case for your industry

Learn how the implementation of new technologies will help to solve the problems of information security in different industries.

Indeed for industry
INDUSTRIE AUTOUR DE NOUS
KuppingerCole Leadership
Dans le rapport du 21 mars 2016 de KuppingerCole, Indeed Identity a été mentionné en tant que « fournisseur spécialisé » du segment du marché de la gestion d’accès qui fournit les solutions d’authentification des utilisateurs, de cryptage des messages et de sécurisation des informations sur les téléphones mobiles.
KuppingerCole
le premier analyste européen sur les thèmes de la sécurité de l’information
X Infotech
"Indeed Identity est un partenaire important de la Softline depuis très longtemps. Ensemble, nous avons réalisé plusieurs projets réussis dans de nombreux domaines économiques. Les entreprises internationales choisissent Indeed ID en raison de ses logiciels fiables, de ses prix compétitifs et de ses services remarquables."
Sergey Yeliseyev
Groupe Softline, responsable de la promotion régionale de la sécurité de l’information
Softline
Indeed Identity est la société de professionnels opérant dans le domaine de la sécurité de l’information. Ils fournissent des solutions haut de gamme pour la gestion de l’infrastructure à clé publique et le contrôle d’accès aux ressources de l’entreprise. Nous vous recommandons cette société en tant que partenaire fiable.
Michael Lisnevsky
Propriétaire de X-Infotech, directeur du développement