- CIS Magazine
Коннектор для взаимодействия SafeNet Authentication с КриптоПро УЦ
Если вы хотите управлять жизненным циклом смарт-карт и сертификатов, выпущенных КриптоПро УЦ, из единого интерфейса, то при использовании SAM и коннектора для КриптоПро УЦ ваши задачи будут решены наиболее удобным образом.

SafeNet Authentication Manager и КриптоПро УЦ
Так сложилось, что за последние годы программный продукт SafeNet Authentication Manager (далее SAM) является, наверное, самой распространённой системой управления жизненным циклом токенов и смарт-карт. У данной системы есть много достоинств и очень широкая функциональность, но есть и недостатки, такие как, например, неадаптированность к российским реалиям. SAM ничего не знает ни про ГОСТ, ни про самое популярное в России решение для построения удостоверяющих центров в соответствии с ГОСТ – КриптоПро УЦ.
Однако SAM имеет открытый API-интерфейс для разработки интеграционных коннекторов с другими решениями, что также, несомненно, является преимуществом SAM.
Решение
Итак, как уже упомянуто выше, SAM «из коробки» не умеет работать с КриптоПро УЦ. Но компания «Современные Информационные Системы» разработала и выпустила на рынок специальный коннектор, позволяющий программному продукту SAM взаимодействовать с КриптоПро УЦ.
Стоит отметить, что коннектор SAM к КриптоПро УЦ использует штатные механизмы SAM и КриптоПро УЦ, объединяя функциональность двух продуктов.
Взаимодействие
Коннектор позволяет реализовать взаимодействие SAM и КриптоПро УЦ в разрезе следующей функциональности:
добавление пользователей в КриптоПро УЦ при назначении пользователю USB-ключа или смарт-карты и выпуска сертификата ГОСТ;
отправка запроса сертификата в КриптоПро УЦ;
получение выпущенного сертификата от КриптоПро УЦ и запись его в память USB-ключа или смарт-карты;
временный отзыв сертификата пользователя с возможностью восстановления в дальнейшем;
окончательный отзыв сертификата пользователя без возможности восстановления;
перевыпуск сертификата по истечении его срока действия.
Коннектор позволяет программному продукту SAM взаимодействовать с КриптоПро УЦ версий 1.5 и 2.0.
Архитектура
Коннектор имеет клиент-серверную архитектуру, то есть состоит из двух компонентов:
клиентской части, которая устанавливается на АРМ офицеров безопасности, занимающихся выпуском и обслуживанием смарт-карт, или на АРМ конечных пользователей – в случае сценариев самообслуживания;
серверной части, которая устанавливается на сервер SAM.

Настройка
Коннектор имеет набор параметров, настройка которых осуществляется через знакомый администраторам SAM интерфейс, полностью повторяющий интерфейс для настройки политик выпуска смарт-карт в продукте SAM.
Процесс установки и настройки хорошо задокументирован и не вызывает сложностей, даже если вы никогда ранее не работали ни с одним из упомянутых продуктов.
Лицензии
Лицензируется коннектор пакетами по 100, 500 и 1000 пользователей. Также присутствует лицензия на неограниченное количество пользователей.
Лицензия на коннектор является срочной и может поставляться на 1, 2 или 3 года. Данная лицензионная политика позволяет гибко управлять активными лицензиями и не переплачивать за неиспользуемые лицензии.
Сценарий использования
Наиболее распространённым сценарием использования коннектора является следующий.
В компании используются цифровые сертификаты для обеспечения высокой степени защиты при доступе к ИТ-ресурсам и для использования электронно-цифровой подписи в соответствии с ГОСТ (ГОСТ ЭЦП) в корпоративном документообороте.
Выпуск сертификатов
Коннектор может использоваться во всех сценариях выпуска и обслуживания сертификатов, предусмотренных в SAM:
выпуск пользовательских сертификатов назначенным офицером безопасности;
выпуск пользовательских сертификатов пользователями через порталы самообслуживания.
При этом пользователь, получающий сертификат, не имеет дополнительных прав доступа к центрам сертификации – процессы выпуска, сопровождения и отзыва сертификата скрыты от пользователя.
Цифровые сертификаты, как и положено, хранятся в памяти смарт-карт (или USB-ключей). Таким образом, у каждого пользователя на смарт-карте есть два сертификата:
для доступа к ИТ-ресурсам компании, то есть для аутентификации;
для ГОСТ ЭЦП.
Сертификаты через систему управления SAM запрашиваются из удостоверяющих центров Microsoft Certification Authority и КриптоПро УЦ соответственно. Для организации работы КриптоПро УЦ с SAM как раз и необходим описываемый коннектор.
Таким образом, офицер безопасности (или пользователь – в сценариях самообслуживания) за один запрос на выпуск получает сертификат как из центра сертификации Microsoft, так и из КриптоПро УЦ. Это позволяет сократить время выпуска сертификатов, избежать повышенных полномочий у пользователей, а также минимизировать ошибки, связанные с человеческим фактором.
_____________________________________
«СОВИНТЕГРА» – защита ценных информационных активов и полный спектр ИТ-услуг и решений.