Autenticação por smart card

Nota: A Autenticação por Smart Card é um Autenticador Avançado disponível como parte da edição Professional do ADSelfService Plus.

O ADSelfService Plus oferece a Autenticação por Smart Card como um dos seus métodos MFA para verificar identidades de usuários.

O que é um smart card?

Um smart card é uma ferramenta de segurança que combina um certificado digital com uma chave privada para autenticar a identidade de um usuário.

Um certificado digital é um documento eletrônico emitido por uma Autoridade Certificadora (CA) que vincula a identidade do usuário a uma chave pública. Este certificado é usado para identificar um usuário e é distribuído publicamente entre entidades para comprovar a identidade do usuário.
Uma chave privada é um segredo criptográfico pareado à chave pública. Ela é armazenada com segurança no smart card e nunca é distribuída. É usada para operações criptográficas, como assinar digitalmente dados para verificar autenticidade ou descriptografar dados criptografados com a chave pública correspondente, autenticando assim o usuário.

Tipos de smart cards

Smart cards em máquinas: Trata-se de um arquivo protegido por senha (nos formatos PFX ou outros formatos de chave PKCS#12) no repositório de certificados pessoais na máquina do usuário que contém o certificado digital do usuário e a chave privada correspondente.

Smart cards físicos:

Podem ser dispositivos de hardware compatíveis com autenticação baseada em smart card ou certificação, como YubiKeys, smart cards SafeNet IDPrime ou cartões similares de Verificação de Identidade Pessoal (PIV) com chip integrado, onde o certificado e a chave privada são armazenados. Esses smart cards físicos são protegidos adicionalmente com PINs e distribuídos aos usuários pelo administrador. Um leitor de cartão é necessário para extrair os certificados digitais dos smart cards físicos durante a autenticação.
O ADSelfService Plus suporta cartões PIV, Common Access Cards (CACs) e outros smart cards baseados em certificados PKI (compatíveis com X509). Por favor, contate seu fornecedor de smart card para verificar se seus dispositivos são suportados.
Cartões de identificação por radiofrequência (RFID) ou comunicação por campo próximo (NFC) usados como cartões de acesso para verificação de identidade não suportam o certificado X509 e não podem ser usados para autenticação por smart card.

Como funciona a Autenticação por Smart Card

Quando um usuário inicia a autenticação inserindo seu smart card e fornecendo o PIN do smart card, impressão digital ou qualquer outro método 2FA configurado, o ADSelfService Plus verifica sua identidade comparando o arquivo de certificado no smart card do usuário com o existente no AD. Veja como o processo de autenticação funciona:

O ADSelfService Plus solicita o certificado digital do usuário ao navegador (ou agente de login no caso de MFA em máquina).
Dependendo do tipo de smart card, o navegador (ou agente) realiza uma das seguintes ações:

Smart cards nas máquinas dos usuários: O navegador ou agente de login recupera o certificado do repositório de certificados da máquina e solicita ao usuário sua senha.
Smart cards físicos:

Nota: Para usar smart cards físicos para Endpoint MFA no Windows, o Minidriver de Smart Card do fornecedor que implementa o Provedor de Serviços Criptográficos da Microsoft deve estar instalado na máquina Windows. Consulte a documentação fornecida pelo seu fornecedor de smart card para os passos de instalação.

O certificado e a chave privada são automaticamente injetados no repositório de certificados do dispositivo quando o dispositivo de hardware é inserido na máquina ou o dispositivo USB PIV é lido por um leitor de cartão. Se houver múltiplos certificados no smart card, o usuário será solicitado a selecionar o apropriado. O navegador ou agente então recupera o certificado do repositório e solicita a verificação do PIN para desbloquear o smart card ou certificado para autenticação.

Após a verificação bem-sucedida pelo navegador ou agente, o certificado é enviado ao ADSelfService Plus para autorização, que verifica se:

O certificado é válido e foi emitido pela CA confiável configurada no ADSelfService Plus.
O certificado corresponde ao atributo userCertificate no AD.

Se o certificado passar nessas verificações, a identidade do usuário é confirmada e o MFA é bem-sucedido.

Configurando a Autenticação por Smart Card via ADSelfService Plus

Usando o ADSelfService Plus, você pode usar smart cards das seguintes formas:

Proteja identidades de usuários usando MFA: Smart cards podem ser usados como um fator de autenticação para proteger aplicações empresariais, máquinas Windows, ações de autoatendimento como redefinições de senha e desbloqueios de conta, logins OWA, logins VPN via links de verificação seguros e logins no ADSelfService Plus. Clique aqui para aprender como configurar o Autenticador de Smart Card para MFA.
Habilite logins sem senha: Administradores podem adicionar um botão Smart Card na tela de login do ADSelfService Plus, permitindo que usuários acessem o portal de autoatendimento e aplicações com segurança em um clique, sem necessidade de nome de usuário ou senha. Clique aqui para aprender como configurar o Autenticador de Smart Card para logins sem senha.

Tópico Anterior Próximo Tópico

Obrigado!

Sua solicitação foi enviada para a equipe de suporte técnico do ADSelfService Plus. Nossa equipe técnica irá assisti-lo o mais breve possível.

Precisa de assistência técnica?

Digite seu e-mail
Fale com especialistas

Não encontrou o que procura?

Visite nossa comunidade

Publique suas perguntas no fórum.
Solicite recursos adicionais

Envie-nos suas necessidades.
Precisa de assistência para implementação?

Experimente o OnboardPro