La FAQ technique concerne ID>Lock et ID>Pass.
Elle est regroupée en plusieurs catégories communes aux deux solutions. Certaines réponses peuvent être partiellement identiques pour les deux solutions. Si vous ne trouvez pas la réponse à votre question, contactez nous .
ID>Lock : authentification à 2 facteurs
Déploiement
L’offre est elle adaptée à une PME de quelques dizaines de postes ?
Tout à fait. ID>Lock est disponible en 2 versions : Corporate Edition pour les entreprises souhaitant un niveau élevé d’administration et Professional Edition pour les sociétés souhaitant une solution prête à l’emploi sans impact sur l’infrastructure.
Comment se passe le déploiement sur plusieurs centaines ou milliers de postes ?
ID>Lock intègre en standard certaines fonctions qui permettent de simplifier le déploiement. Par exemple, l’administrateur peut personnaliser les tokens avec un code PIN générique (ex. 1234). Il l’envoie ensuite aux utilisateurs : ceux-ci seront obligés, à la première connexion, de changer ce code PIN et d’en adopter un personnel.
Une autre fonction d’ID>Lock permet d’enregistrer automatiquement le mot de passe Windows saisi par l’utilisateur : l’administrateur n’est donc pas obligé de saisir chaque mot de passe Windows pour chaque token : c’est l’utilisateur qui le fait !
Enfin, l’administrateur peut définir un setup spécifique permettant, par exemple, de paramétrer par défaut le comportement du poste sur arrachage du token ou même d’insérer le logo de l’entreprise dans le logiciel !
Votre solution peut elle être intégrée dans un matériel ou logiciel tiers (OEM) ?
Oui. IDactis a déjà réalisé cette prestation et propose des versions OEM de ses solutions à destination de constructeurs de matériels (capteur biométrique, cartes à puce, etc.) ou d’éditeurs divers.
Votre solution est elle compatible Unix/Linux ?
ID>Lock est disponible actuellement sur plateforme Windows (installation uniquement de clients).
Côté utilisateur
Que se passe t il en cas de perte ou blocage du token par l’utilisateur ?
Détendez vous ! L’utilisateur n’est pas entièrement bloqué puisqu’il a la possibilité d’ouvrir une session d’urgence moyennant une authentification de type challenge/réponse auprès d’un administrateur de sécurité.
La perte d’un token nécessite de connaître le code PIN : or 3 codes PIN bloquent définitivement le token qui devient inutilisable. Ensuite, pour plus de sécurité, il suffit d’invalider le compte de l’utilisateur au niveau du serveur Windows ou LDAP et de lui recréer un autre badge.
Si le token est bloqué, un administrateur peut le débloquer via le code PUK propre à chaque token. Il faut donc conserver ceux-ci (les codes PUK peuvent être différents ou identiques pour chaque token selon votre politique de sécurité). Bien entendu, seul une personne autorisée doit détenir ces codes.
Que se passe t il si un utilisateur part de son poste en laissant son token dans la station ?
Tout d’abord, il faut préciser que ce comportement constitue une faille : il est donc fortement conseillé d’accompagner le déploiement de nos solutions par une sensibilisation forte des utilisateurs à la sécurité. L’oubli d’un token dans une station arrive fréquemment en début d’utilisation de nos solutions. Il faut donc paramétrer une mise en veille de quelques minutes pour pallier ce genre de comportement. En effet, la veille implique un verrouillage de session et une demande de code PIN lorsque la station est réactivée.
Quels tokens sont compatibles avec vos solutions ?
Une large variété de token est compatible avec ID>Lock. Carte à puce ou clé USB de sécurité : le point commun est la norme PKCS#11 qui permet d’interfacer nos solutions et ces tokens. Ces derniers peuvent embarquer des certificats selon leur taille. Nous supportons la plupart des token de sécurité des sociétés Axalto (eGate, CryptoFlex), Safenet (iKey 2000 et 3000), Alladin (eToken Pro) ou Activcard (Activkey).
Le token de l’utilisateur Jean peut il déverrouiller une session verrouillée par le token de Paul ?
Non sauf si vous avez choisi cette option dans le setup. Une session verrouillée par un token ne peut être déverrouillée que par ce token.
ID>Lock est il disponible dans une version biométrique ?
Oui. Une version basée sur la reconnaissance des empreintes digitales est disponible. ID>Lock Bio fonctionne avec différents capteurs d’empreinte, mais nous recommandons particulièrement le capteur de la société française ID3 Semi-conductors : le Certis.
http://www.id3semiconductors.com/produits/certis.htm.
Comment gérez vous les nomades ?
Un token peut stocker plusieurs comptes de session Windows. En mode déconnecté, les nomades accèdent à leur station soit avec un compte local, soit avec leur compte réseau disponible en cache : c’est vous qui décidez !
Que se passe t il si on démarre en mode sans échec (F8) ?
Le mode sans échec peut être rendu indisponible via une fonctionnalité spécifique.
J’ai des postes banalisés en consultation libre. Les utilisateurs peuvent ils se connecter depuis n’importe quel poste de l’entreprise avec leur token ?
Oui. Les informations de connexion (user et password) sont stockées dans le token. Les stations doivent être simplement équipés d’ID>Lock : elles sont alors accessibles par n’importe quel user disposant d’un token (et de son code PIN) dans lequel figure le compte local de la station et/ou le compte de l’utilisateur.
Côté administrateur
Est-ce qu’un administrateur peut accéder avec son token à l’ensemble des stations utilisateurs ?
Oui. Il suffit de positionner, au niveau de chaque station, un compte administrateur unique. Ensuite, il suffit d’enregistrer ce compte dans le token. Bien entendu, cette opération est applicable éventuellement par groupe d’utilisateurs et d’administrateur en fonction de votre politique de sécurité.
Modifiez vous la GINA Microsoft ?
Non, notre ID-Lock est une surcoûche de la GINA de Microsoft. Son comportement est donc intégralement conservé.
ID>Pass : Single Sign-On
Déploiement
L’offre est elle adaptée à une PME de quelques dizaines de postes ?
Tout à fait. ID>Pass est disponible en 2 versions : Corporate Edition pour les entreprises souhaitant un niveau élevé d’administration et Professional Edition pour les sociétés souhaitant une solution prête à l’emploi sans impact sur l’infrastructure.
Votre solution peut elle être intégrée dans un matériel ou logiciel tiers (OEM) ?
Oui. IDactis a déjà réalisé cette prestation et propose des versions OEM de ses solutions à destination de constructeurs de matériels (capteur biométrique, cartes à puce, etc.) ou d’éditeurs divers.
Votre solution est elle compatible Unix/Linux ?
ID>Pass est disponible actuellement sur plateforme Windows (installation uniquement de clients).
Côté utilisateur
Que se passe t il en cas de perte ou blocage du token par l’utilisateur ?
L’utilisateur n’a plus accès automatiquement à ses applications. Toutefois, il peut y accéder manuellement s’il connaît ses comptes de login.
La perte d’un token nécessite de connaître le code PIN : or 3 codes PIN bloquent définitivement le token qui devient inutilisable. Ensuite, pour plus de sécurité, il suffit d’invalider le compte de l’utilisateur au niveau du serveur Windows, des serveurs d’applications ou LDAP et de lui recréer un autre badge.
Si le token est bloqué, un administrateur peut le débloquer via le code PUK propre à chaque token. Il faut donc conserver ceux-ci (les codes PUK peuvent être différents ou identiques pour chaque token selon votre politique de sécurité). Bien entendu, seul une personne autorisée doit détenir ces codes.
Que se passe t il si un utilisateur part de son poste en laissant son token dans la station ?
Tout d’abord, il faut préciser que ce comportement constitue une faille : il est donc fortement conseillé d’accompagner le déploiement de nos solutions par une sensibilisation forte des utilisateurs à la sécurité. L’oubli d’un token dans une station arrive fréquemment en début d’utilisation de nos solutions. Il faut donc paramétrer une mise en veille de quelques minutes pour pallier ce genre de comportement. En effet, la veille implique un verrouillage de session ID>Pass (pas de Windows) et une demande de code PIN lorsque la station est réactivée.
Quels tokens sont compatibles avec vos solutions ?
Une large variété de token est compatible avec ID>Lock. Carte à puce ou clé USB de sécurité : le point commun est la norme PKCS#11 qui permet d’interfacer nos solutions et ces tokens. Ces derniers peuvent embarquer des certificats selon leur taille. Nous supportons la plupart des token de sécurité des sociétés Axalto (eGate, CryptoFlex), Safenet (iKey 2000 et 3000), Alladin (eToken Pro) ou Activcard (Activkey).
ID>Pass est il disponible dans une version biométrique ?
Oui. Une version basée sur la reconnaissance des empreintes digitales est disponible. ID>Pass Bio fonctionne avec différents capteurs d’empreinte, mais nous recommandons particulièrement le capteur de la société française ID3 Semi-conductors : le Certis.
http://www.id3semiconductors.com/produits/certis.htm.
Le token de l’utilisateur Jean peut il déverrouiller une session verrouillée par le token de Paul ?
Non sauf si vous avez choisi cette option dans le setup. Une session ID>Pass verrouillée par un token ne peut être déverrouillée que par ce token.
J’ai des postes banalisés en consultation libre. Les utilisateurs peuvent ils se connecter depuis n’importe quel poste de l’entreprise avec leur token ?
Oui. Les informations de connexion (user et password applicatifs) sont stockées dans le token. Les stations doivent être simplement équipés d’ID>Pass : les applications sont alors accessibles par n’importe quel user disposant d’un token (et de son code PIN) dans lequel figure les droits de l’utilisateur.
Côté administrateur
Doit on installer des agents sur les serveurs d’applications ?
Non. Aucun agent serveur n’est à déployer. La reconnaissance se fait en fonction des fenêtres de login. L’avantage, outre le faible impact sur l’infrastructure, est la possibilité de mettre en SSO des applications externes à l’entreprise.
ID>Pass est il compatible avec les émulateurs ?
ID>Pass reconnaît en standard les applications Windows et html, soit la plupart des applications. En ce qui concerne les émulateurs de type 3270 ou 5250, soit ils sont capables de simuler des fenêtres Windows et ils seront reconnus automatiquement, soit nous vous fournissons une API spécifique.
IDactis - Copyright Tous droits réservés - Mentions légales