|
|
 |
 |
|
 Protiva Strong Authentication Server
| Protiva Lizenzierung
|
Protiva OTP - how it works |
| |
Unterstützte Authentisierungsmethoden |
Der Protiva SA Server unterstützt 2 Authentisierungsmethoden:
OATH OTP Authentication: Diese basiert auf der Spezifikation der Initiative for Open Authentication (OATH). Sie ist die Standardmethode von Protiva SA im Unternehmensumfeld.
CAP Authentication: auch EMV-CAP (Chip Authentication Program) ist eine Spezifiaktion von MasterCard. Es ist die Anwendung eines "EMV cryptogram" zur Authorisierung eines Benutzers oder Signierung einer Transaktion. Der SA Server kann mehrere unterschiedliche Typen an "EMV cryptogram" die diese Spezifikation folgen, validieren. Normalerweise wird der SA Server hiebei im Backend Bereich, dem CAP Validation Service betrieben. Man sieht, diese Methode wird verwendet, wenn EMV Banking Karten für OTP verwendet werden sollen, besonderes Provisioning ist hiebei notwendig, etc.
|
|
|
|
|
|
Basierend auf einem Seed-Wert und einem Zähler, errechnen das SA Benutzergerät (die Chipkarte) und auch der Protiva SAServer einen Passcode. Stimmt der eingegebene Passcode mit dem vom Server errechneten überein, dann ist die Authentisierung erfolgreich. Natürlich ist das nur der Nachweis für einen Faktor "was man hat" - den Token. Der zweite Faktor ist von der Art "was man weiss". Man verkettet also seine PIN oder Passwort als zweiten Faktor mit dem Passcode des Token. Das Password ist üblicherweise das Domänenpasswort, wenn man den Protiva SAS im "mixed mode" betreibt, der üblicherweise unternehmensintern eingesetzt wird, oder ein Extra PIN, von Protiva SAS verwaltet, wenn Protiva im "Database Mode" betrieben wird, üblicherweise, wenn Protiva für Webanwendungen, etc,.. (Extranets,...) verwendet wird.
|
Protiva SAS Agenten |
Protiva Strong Authentication kann in oben erwähnte Webanwendungen vollständig und nahtlos über WebAPI integriert werden, aber Authentisierungen für Zugriff auf Unternehmensinfrastruktur basieren auf anderen Lösungen wie VPN. Protiva SA hat zu diesem Zweck eigene "Agents" dafür. Sie erweitern die Funktionalität auf dem Client-tier dahingehend, das starke Authentisierung mit Protiva SA abgewickelt werden kann.
Protiva SAS Agent software erweitert z.b. den Internet Authentication Service (IAS) um One-time Password von Protiva Chipkarten zu verarbeiten. Es leitet Authentisierungen, die anden IAS server gehen, an Protiva SAS weiter, welcher das übermittelte One-Time-Passwort validiert. Die Agent software interagiert mit dem SAS Server also hinsichtlich von OTP authentication requests, und deren Ergebnis. um danach Zugriff entsprchend zu gewähren oder abzulehnen.
Es gibt weitere, spezialisiert Agents, zb. ISA Web filter, OWA IIS Agent, Steel-Belted RADIUS (SBR) Agent, Citrix Agent oder Freeradius agent.
|
|
 |
|
Protiva & IAS Agent Quelle: Gemalto |
|
Browser Plug-IN |
Das Protiva Strong Authentication Client Browser Plug-in wird verwendet um One-Time-Passwörter aus "connected" OTP-Token (USB, Chipkarte im Leser,..) automatisiert zu generieren und in das OTP-Feld einzutragen. Es kommuniziert mit der Chipkarte direkt und vereinfacht die Nutzung von OTP wesentlich. Das Plug-in benötigt nur 7kb und ist frei verfügbar.
Basierend auf der Gemalto Sconnect Technologie, kann in eine Webseite direkt ein Skript eingebettet werden, das diese Funktion übernimmt. Das One-Time Passwort kann also auch direkt von einem Skript in der Webseite von der Chipkarte abgeholt werden.
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum