Коннектор для взаимодействия SafeNet Authentication с КриптоПро УЦ

Если вы хотите управлять жизненным циклом смарт-карт и сертификатов, выпущенных КриптоПро УЦ, из единого интерфейса, то при использовании SAM и коннектора для КриптоПро УЦ ваши задачи будут решены наиболее удобным образом.

SafeNet Authentication Manager и КриптоПро УЦ

Так сложилось, что за последние годы программный продукт SafeNet Authentication Manager (далее SAM) является, наверное, самой распространённой системой управления жизненным циклом токенов и смарт-карт. У данной системы есть много достоинств и очень широкая функциональность, но есть и недостатки, такие как, например, неадаптированность к российским реалиям. SAM ничего не знает ни про ГОСТ, ни про самое популярное в России решение для построения удостоверяющих центров в соответствии с ГОСТ – КриптоПро УЦ.

Однако SAM имеет открытый API-интерфейс для разработки интеграционных коннекторов с другими решениями, что также, несомненно, является преимуществом SAM.

Решение

Итак, как уже упомянуто выше, SAM «из коробки» не умеет работать с КриптоПро УЦ. Но компания «Современные Информационные Системы» разработала и выпустила на рынок специальный коннектор, позволяющий программному продукту SAM взаимодействовать с КриптоПро УЦ.

Стоит отметить, что коннектор SAM к КриптоПро УЦ использует штатные механизмы SAM и КриптоПро УЦ, объединяя функциональность двух продуктов.

Взаимодействие

Коннектор позволяет реализовать взаимодействие SAM и КриптоПро УЦ в разрезе следующей функциональности:

• добавление пользователей в КриптоПро УЦ при назначении пользователю USB-ключа или смарт-карты и выпуска сертификата ГОСТ;

• отправка запроса сертификата в КриптоПро УЦ;

• получение выпущенного сертификата от КриптоПро УЦ и запись его в память USB-ключа или смарт-карты;

• временный отзыв сертификата пользователя с возможностью восстановления в дальнейшем;

• окончательный отзыв сертификата пользователя без возможности восстановления;

• перевыпуск сертификата по истечении его срока действия.

Коннектор позволяет программному продукту SAM взаимодействовать с КриптоПро УЦ версий 1.5 и 2.0.

Архитектура

Коннектор имеет клиент-серверную архитектуру, то есть состоит из двух компонентов:

• клиентской части, которая устанавливается на АРМ офицеров безопасности, занимающихся выпуском и обслуживанием смарт-карт, или на АРМ конечных пользователей – в случае сценариев самообслуживания;

• серверной части, которая устанавливается на сервер SAM.

Настройка

Коннектор имеет набор параметров, настройка которых осуществляется через знакомый администраторам SAM интерфейс, полностью повторяющий интерфейс для настройки политик выпуска смарт-карт в продукте SAM.

Процесс установки и настройки хорошо задокументирован и не вызывает сложностей, даже если вы никогда ранее не работали ни с одним из упомянутых продуктов.

Лицензии

Лицензируется коннектор пакетами по 100, 500 и 1000 пользователей. Также присутствует лицензия на неограниченное количество пользователей.

Лицензия на коннектор является срочной и может поставляться на 1, 2 или 3 года. Данная лицензионная политика позволяет гибко управлять активными лицензиями и не переплачивать за неиспользуемые лицензии.

Сценарий использования

Наиболее распространённым сценарием использования коннектора является следующий.

В компании используются цифровые сертификаты для обеспечения высокой степени защиты при доступе к ИТ-ресурсам и для использования электронно-цифровой подписи в соответствии с ГОСТ (ГОСТ ЭЦП) в корпоративном документообороте.

Выпуск сертификатов

Коннектор может использоваться во всех сценариях выпуска и обслуживания сертификатов, предусмотренных в SAM:

• выпуск пользовательских сертификатов назначенным офицером безопасности;

• выпуск пользовательских сертификатов пользователями через порталы самообслуживания.

При этом пользователь, получающий сертификат, не имеет дополнительных прав доступа к центрам сертификации – процессы выпуска, сопровождения и отзыва сертификата скрыты от пользователя.

Цифровые сертификаты, как и положено, хранятся в памяти смарт-карт (или USB-ключей). Таким образом, у каждого пользователя на смарт-карте есть два сертификата:

• для доступа к ИТ-ресурсам компании, то есть для аутентификации;

• для ГОСТ ЭЦП.

Сертификаты через систему управления SAM запрашиваются из удостоверяющих центров Microsoft Certification Authority и КриптоПро УЦ соответственно. Для организации работы КриптоПро УЦ с SAM как раз и необходим описываемый коннектор.

Таким образом, офицер безопасности (или пользователь – в сценариях самообслуживания) за один запрос на выпуск получает сертификат как из центра сертификации Microsoft, так и из КриптоПро УЦ. Это позволяет сократить время выпуска сертификатов, избежать повышенных полномочий у пользователей, а также минимизировать ошибки, связанные с человеческим фактором.

_____________________________________

«СОВИНТЕГРА» – защита ценных информационных активов и полный спектр ИТ-услуг и решений.

www.sovintegra.ru