Page tree
Skip to end of metadata
Go to start of metadata

Предполагаемый сценарий авторизации конечного пользователя

Шаг

Действие пользователя

Реакция системы

1

Если устройство используется впервые, то пользователю необходимо установить плагин Рутокен Web в свой браузер. Это можно сделать, зайдя в центр загрузки на сайте Рутокен http://www.rutoken.ru/support/download/rutoken-web/.

Плагин установлен на компьютере пользователя.

2

На компьютере с установленным плагином Рутокен Web пользователь в своем браузере открывает страницу авторизации требуемого веб-ресурса. Предполагается, что к этому моменту информация о пользователе и его токене уже содержится в базе данных веб-ресурса.

Открыта страница либо окно авторизации пользователя.

3

Пользователь вставляет токен в USB-порт компьютера.

Компьютер определяет тип устройства как стандартную смарт-карту. 

4

В меню авторизации пользователь выбирает способ авторизации по токену.

 

Пользователю предлагается выбрать контейнер для дальнейшей авторизации.

5

Пользователь выбирает нужный контейнер и нажимает кнопку входа.

Пользователю предлагается ввести PIN-код в специальном окне.

6

Пользователь вводит PIN-код и нажимает кнопку подтверждения.

Система проверяет PIN-код и обменивается подписанным сообщением с сервером.

Результат

Если результат проверки подписи положительный, то пользователь получает доступ к своим личным данным, хранящимся на веб-ресурсе.

В случае неудачи выдается сообщение об ошибке. Как правило, это сообщение о неверном PIN-коде, либо о том, что пользователь с таким устройством не был зарегистрирован на ресурсе.

Сценарии регистрации пользователя

Концепция использования Рутокен Web предполагает различные сценарии регистрации пользователя на веб ресурсах. Все зависит от политики предоставления доступа, определяемой хозяином ресурса (администратором). В данном документе выделены два основных сценария регистрации:

  • через back-office по инициативе администратора ресурса на его площадке c последующей передачей токена пользователю.
  • через front-office по инициативе конечного пользователя, у которого уже есть токен.

Предполагаемый сценарий регистрации по инициативе администратора ресурса

Шаг

Действие пользователя

Реакция системы

1

Администратор ресурса заходит на страницу регистрации пользователя через back-office и нажимает кнопку регистрации нового пользователя.

Появляется форма ввода данных о пользователе.

2

Администратор вводит учетные данные пользователя в предлагаемой форме и нажимает кнопку регистрации.

Система предлагает подключить токен и ввести PIN-код.

3

Администратор берет новый токен и подключает его к компьютеру. При этом предполагается, что на компьютере администратора уже установлен плагин Рутокен Web.

Компьютер определяет тип устройства, как стандартную смарт-карту.  На токене загорается и гаснет светодиод.

 

4

Администратор берет скретч-карту, поставляемую с токеном, стирает защитный слой в поле PIN-код, вводит PIN-код в предлагаемом окне и нажимает кнопку подтверждения.

Система проверяет PIN-код и обменивается информацией с сервером.

Результат

В случае успеха на токене появляется новый контейнер с закрытым ключом. В базу данных веб-ресурса попадает информация о пользователе, открытый ключ для проверки подписи и открытый ключ для восстановления доступа к веб ресурсу на случай утери устройства пользователем.

В случае неудачи выдается сообщение об ошибке. Как правило, это сообщение о неверно введенном PIN-коде.

После процедуры регистрации токен передается конечному пользователю.

Скретч-карта с открытым PIN-кодом должна быть передана конечному пользователю, при этом важно проконтролировать, чтобы пользователь сменил PIN-код при помощи утилиты администрирования, т.к. по факту он скомпрометирован. Сохранение скретч-карты у администратора не рекомендуется, т.к. это может привести к несанкционированному доступу третьих лиц к личным данным пользователя путем кражи ключа восстановления.

Предполагаемый сценарий регистрации по инициативе конечного пользователя

Шаг

Действие пользователя

Реакция системы

1

Если устройство используется впервые, то пользователю необходимо установить плагин Рутокен Web в свой браузер. Это можно сделать, зайдя в центр загрузки на сайте Рутокен http://www.rutoken.ru/support/download/rutoken-web/.

Плагин установлен на компьютере пользователя.

2

На компьютере с установленным плагином Рутокен Web пользователь в браузере открывает страницу регистрации на веб-ресурсе.

Открыта форма ввода регистрационных данных нового пользователя.

3

Пользователь вводит свои регистрационные данные в форме и нажимает кнопку «Зарегистрироваться»

Система предлагает подключить токен и ввести PIN-код.

4

Пользователь берет токен и подключает его к компьютеру.

Компьютер определяет тип устройства как стандартную смарт-карту. На токене загорается и гаснет светодиод.

5

При первой регистрации пользователь берет скретч-карту, поставляемую с токеном, стирает защитный слой в поле PIN-код.

Пользователь видит PIN-код.

6

Пользователь вводит PIN-код в предлагаемом окне и нажимает кнопку подтверждения.

Система проверяет PIN-код и обменивается информацией с сервером.

Результат

В случае успеха на токене появляется новый контейнер с закрытым ключом. В базу данных веб-сервиса попадает информация о пользователе, открытый ключ для проверки подписи и открытый ключ для восстановления доступа к веб ресурсу на случай утери устройства пользователем.

В случае неудачи выдается сообщение об ошибке. Как правило, это сообщение о неверно введенном PIN-коде.

 Скретч-карта с открытым PIN-кодом должна храниться в надежном месте, т.к. в противном случае это может привести к несанкционированному доступу третьих лиц к личным данным пользователя посредством кражи ключа восстановления.

  • No labels

2 Comments

  1. Anonymous

    Существует ли возможность при изготовлении токенов аппаратно зашить в них "признак" принадлежности компании, чтобы в последствии только члены компании могли самостоятельно регистрироваться на веб-сервисе (сценарий регистрации по инициативе конечного пользователя). Данная возможность актуальна при заранее неизвестном количестве нужных токенов и при отсутствии доступа к веб-сервису (т.е. необходимо заложить возможность администрирования пользователей на этапе изготовления токена).

  2. Добрый день. Тема с обсуждением Вашего вопроса перенесена на форум технической поддержки. Здесь Вы найдете ответ и сможете продолжить беседу: http://forum.rutoken.ru/topic/2095/

    С уважением, Алексей Лазарев.