ISLOG Logon
ISLOG Logon v4.0 Accès logique par carte sans contact o Utilisation du badge d établissement o Compatible Windows, Linux, TSE et Citrix o RFID passive à 125 Khz et 13,56Mhz o RFID active à 433 Mhz (main libre) o Gestion des comptes locaux ou du domaine (AD ou LDAP)
Architecture réseau Annuaire LDAP (ou autre) Base de données ISLOG Logon Poste d administration Postes clients o o o o o o Lecture du numéro encodé (logique) ou du numéro de série (matériel) Changement du mot de passe en corrélation avec la politique de sécurité. Saisie obligatoire d un code PIN sur certains postes sensibles (serveurs). Gestion d un délai de grâce (local et réseau) du code PIN. Plusieurs comptes utilisateur peuvent être associés à une même carte. Plusieurs cartes peuvent partager le même compte (traçabilité des comptes génériques). Framework 4.0 Gestion du mode déconnecté Modes alternatifs de connexion : RFID Login / mot de passe Questions / réponses Connect / Disconnect User Actions sur présentation ou retrait du badge : Logon / Logoff Lock / Unlock Shutdown / Startup Sleep / Deep sleep Scripts à exécuter lors du : Logon et/ou Logoff Lock et/ou Unlock
Principe de fonctionnement La présentation du badge se substitue à la saisie de votre «Identifiant / Mot de passe». Cette présentation peut être associée ou non à la saisie d un code PIN. Le retrait du badge ou une seconde présentation provoquera le verrouillage ou la fermeture de la session en fonction du paramétrage choisit.
Enrôlement Plusieurs modes d enrôlement ont été intégrés à la solution ISLOG Logon afin de permettre un maximum de souplesse lors de son déploiement : 1. Par l administrateur du système L administrateur associe l ID de la carte au compte de l utilisateur et saisit le mot de passe de l utilisateur. L utilisateur n a plus qu à poser sa carte sur le lecteur pour ouvrir sa session. Ce mode est particulièrement utilisé en milieu industriel lorsque l utilisateur n est pas familiarisé avec les notions de «identifiant / mot de passe». 2. Par l administrateur ET l utilisateur L administrateur associe l ID de la carte au compte de l utilisateur. La 1 ère fois que l utilisateur pose sa carte sur le lecteur, le système lui demande son mot de passe. 3. Par l utilisateur (auto-enrôlement) - L administrateur renseigne dans le système Logon les ID des badges valides, et c est l utilisateur qui renseignera, lors de la 1 ère utilisation, son identifiant et son mot de passe. - Aucune information n est renseignée dans le système, lorsqu une carte inconnue est présentée sur un lecteur, le système demande à l utilisateur de renseigner son identifiant et son mot de passe.
Modes alternatifs de connexion Il est possible de conserver ou non des modes alternatifs de connexion après l installation du système ISLOG Logon : 1. Identifiant / mot de passe Les administrateurs peuvent conserver l authentification par «login / mot de passe» sur le parc informatique. 2. Questions / réponses L utilisateur qui ne saisit plus son mot de passe au quotidien à tendance à l oublier. Pour palier à cela, il est possible d ouvrir sa session en répondant à une ou plusieurs questions personnelles préalablement renseignées. 3. PKI Un système d authentification forte à base de PKI peut être associé au système Logon. Ainsi dans l entreprise l utilisateur se connecte par l interface sans contact et à l extérieur avec la partie contact de sa carte. On allie ainsi confort et sécurité à l aide d un même badge sur un même poste.
1 carte / N comptes ou N cartes / 1 compte Il est possible d associer plusieurs comptes à une même carte. Lors de la présentation de la carte sur le lecteur, le système demandera à l utilisateur avec quel compte il souhaite se connecter. De la même manière, plusieurs cartes peuvent être associées à un même compte, cela permet par exemple de tracer l utilisation des comptes génériques.
Code PIN Il est possible d associer un code PIN à la présentation de la carte afin d augmenter le niveau de sécurité. Ce code peut être : o Imposé à tous les collaborateurs o Imposé à certains collaborateurs (administrateurs) o Laissé à la discrétion des utilisateurs o Imposé sur certains postes (serveurs) Un délais de grâce, calculé en minutes, peut être paramétré par l administrateur. Ce délais peut être local ou réseau et évite à l utilisateur de devoir ressaisir son code PIN de façon trop fréquente. Enfin le nombre de tentatives de saisi erroné du code PIN peut être limité ou non.
ISLOG USI v 4.0 ISLOG USI (*) est un module d authentification unique (Single Sign On) livré avec ISLOG Logon. Après ouverture de la session Windows, pour des applications bureautiques ou web, ISLOG USI pourra renseigner automatiquement votre mot de passe. ISLOG USI peut fonctionner indépendamment de la session Windows. Le profil de l utilisateur est chargé dynamiquement lorsque celui-ci pose sa carte sur lecteur et est déchargé lorsqu il la retire. (*) User Scripting Interface
Accès à un ensemble d applications Pour avoir accès automatiquement à un ensemble d applications, il faudra vous avoir au préalablement authentifié une première fois. Le système ISLOG USI peut se baser sur 2 facteurs : 1. 1- le titulaire de la session Windows 2. 2- le titulaire du badge Une fois l identification effectuée, il suffit à l utilisateur de démarrer une application (Windows ou Web) pour qu automatiquement le système ISLOG USI renseigne à sa place ses informations de connexion.
Titulaire de la session Windows 1 2 3 4 5 1. La session Windows est verrouillée 2. L utilisateur pose sa carte, la session Windows s ouvre. 3. L utilisateur lance une application -> L application s ouvre et demande un identifiant / mot de passe -> ISLOG USI renseigne automatiquement les valeurs. 4. La session applicative démarre. 5. L utilisateur retire sa carte, la session Windows se verrouille.
Titulaire du badge 1 2 3 4 5 1. Poste en libre service, session Windows ouverte 2. L utilisateur pose sa carte, le profile ISLOG USI du titulaire est chargé. 3. L utilisateur lance une application -> L application s ouvre et demande un identifiant / mot de passe -> ISLOG USI renseigne automatiquement les valeurs. 4. La session applicative démarre. 5. L utilisateur retire sa carte, son profile est purgé de la mémoire du poste
Accès à une application en particulier En fonction des besoins ou de l environnement (application SCADA par exemple), il peut être demandé d accéder à une application en particulier. Là encore la solution ISLOG Logon répond au problème de façon simple. Sur présentation du badge, le service ISLOG Logon va exécuter une suite d actions qui vont permettre d identifier le titulaire de la carte dans l application cible. Sur retrait ou 2 présentation du badge, l utilisateur est déconnecté de l application. Plus que de la sécurité, il faut voir ici le gain en traçabilité et en productivité. Traçabilité car il n y a plus de mot de passe partagé, productivité car une identification RFID se fait en moins de 3 secondes.
Principe de fonctionnement Lorsque l utilisateur présente son badge, ses informations de connexion sont envoyé à l application Lorsque l utilisateur retire son badge ou le présente une seconde fois, la commande de verrouillage est envoyée à l application.
Gestion des clés Les clés d accès aux zones sécurisées des cartes sans contact doivent être protégées. Les applications ISLOG gèrent les clés de 3 façons différentes en fonction du niveau de sécurité demandé : s é c u r i t é 1. Mémoire du poste de travail 2. Mémoire du lecteur RFID 3. SAM (Secure Access Module) 4. HSM (Hardware Security Module) Lecteurs avec support SAM Les middleware RFID pour les logiciels de SSO sont compatibles SAM et HSM.
Compatibilité avec des applications tierce Nous avons développé des middleware RFID pour les applications ci-dessous, les rendant compatibles avec n importe quelle technologie sans contact du marché Evidian Entreprise SSO OneSign Citrix Password Manager Orcanthus Security Suite ILEX Sign&Go
Quelques références Client Logiciel Secteur Nb Licences Année Nouvelles cliniques Nantaise Logon Hospitalier 350 pers 2006 GlaxoSmithKline Logon Pharmacie 60 pc 2007 St. Andreas Hospital (Amsterdam) Logon Hospitalier 2 200 pers 2008 Air Linair Logon Aviation 20 pc 2008 Transavia Logon Aviation 20 pc 2008 Hôpital Grace de Monaco Logon / Linux Hospitalier 100 pc 2008 Usine Safran à Vernon Logon Industrie 220 pc 2009 CHU d Amiens Plug-in ILEX Hospitalier 110 pc 2009 Groupe Batteur Logon Pharmacie 40 pc 2009 Technip Logon Industrie 480 pc 2010 Hôpital de la Citadelle (Liège) Plug-in Evidian Hospitalier 1 200 pers 2010 Socomec Logon Industrie 600 pers 2010 DCNS Group Logon Industrie 15 pc 2011 IMRA Europe Logon Recherche 30 pc 2011 Hôpital Jolimont (Belgique) Plug-in Evidian Hospitalier 150 pers 2012 Centre hôspitalier de Carcassone Logon / Linux Hospitalier 425 pers 2013 Hôpital Erasme (Bruxelle) Plug-in Imprivata Hospitalier 3 200 pc 2013 Champagne Mumm Logon Industrie 10 pc 2013 Cofely Fabricom (Belgique) Logon Industrie 30 pc 2013 Service des eaux de Nancy Logon Industrie 20 pc 2013 Sibelga (Belgique) Plug-in Evidian Industrie 230 pers 2014 Service de Eaux Alsace Logon Industrie 300 pers 2014
Une démonstration en ligne? ISLOG 13 rue du Général de CASTELNAU 67 000 STRASBOURG Tél : +33 (0)3 88 55 73 90 contact@islog.com www.islog.com