Алгоритм функционирования
В распоряжении пользователя находятся модули биометрической идентификации на клиентской станции. Администратор применяет модули централизованной регистрации (перерегистрации) биометрических идентификаторов и настройки политик безопасности.
BioLink IDenium не хранит изображения биометрических идентификаторов. При распознавании пользователя формируется цифровая модель предъявляемого отпечатка пальца, которая сравнивается с моделью ранее зарегистрированного биометрического идентификатора.
Сравнение цифровых моделей осуществляет программный сервер — IDenium Server. При совпадении моделей зарегистрированного ранее и предъявляемого вновь отпечатка пальца сервер отправляет на рабочую станцию идентификационные сведения пользователя. Эти сведения транслируются системе, инициировавшей запрос на распознавание пользователя (операционной системе и т.д.).
Таким образом, информационная система получает от сервиса BioLink IDenium данные о пользователе в приемлемом для нее виде — прежде всего как имя (логин) пользователя (user ID) и его пароль (password). На основании этих сведений уже сама информационная система в штатном режиме проверяет идентичность пользователя и решает вопрос о предоставлении ему доступа к защищаемым ресурсам.
Интеграция с Active Directory
Централизованное хранение, защита и передача идентификационных данных пользователей осуществляется средствами AD. Управление правами пользователей осуществляется с вкладки BioLink стандартной Microsoft Management Console оснастки Active Directory Users and Computers (ADUC).
Идентификация пользователей
Возможна регистрация отпечатков всех 10 пальцев рук пользователя — с дальнейшей идентификацией по любому из зарегистрированных ранее отпечатков пальцев. Регистрация (перерегистрация) идентификаторов осуществляется:
- одновременно с созданием учетной записи пользователя в AD — например, при найме нового сотрудника, в присутствии и на рабочем месте администратора;
- самостоятельно пользователем на своем рабочем месте — например, на этапе централизованного развертывания сервиса BioLink IDenium.
Политики безопасности
- идентификация только по отпечатку — рекомендуется для большинства пользователей
- идентификация по отпечатку пальца ИЛИ паролю — целесообразна для администраторов и сотрудников службы информационной безопасности
- двухфакторная идентификация по отпечатку пальца И паролю — для защиты доступа к наиболее ценным ресурсам
Клиентское ПО
Включает BioLink IDenium Windows Logon и BioLink IDenium Admin Pack.
Функции BioLink IDenium Windows Logon:
- проверка подлинности (верификация) пользователя при входе в операционную систему или приложения;
- верификация пользователя при работе с другими приложениями, взаимодействующими
с BioLink Windows Logon; - хранение и передача информации о пользователе, полученной в результате верификации и необходимой для аутентификации пользователя при входе в операционную систему и защищенные приложения.
BioLink IDenium Admin Pack:
- требуется для развертывания компонентов IDenium для Active Directory на компьютере администратора сети (для регистрации/перерегистрации биометрических идентификаторов пользователя, настройки политик идентификации, решения других административных задач);
- позволяет при создании новых пользователей вводить сведения об отпечатках их пальцев централизованно, используя только один компьютер локального администратора сети.
Серверное ПО
Включает программное обеспечение синхронизатора паролей и программный сервер идентификации IDenium Server.
Синхронизатор паролей:
- обеспечивает синхронизацию учетных данных пользователей, хранящихся в каталогах Active Directory и на серверах BioLink IDenium;
- должен быть установлен на каждом из контроллеров домена в сети.
IDenium Server:
- обрабатывает запросы на идентификацию, получаемые от клиентских систем;
- создает ответные пакеты, содержащие учетные данные пользователя, инициировавшего запрос на идентификацию.
IDenium Server
Ключевые характеристики программного сервера идентификации: масштабируемость, отказоустойчивость, легкость развертывания и обслуживания.
Регистрация IDenium Server в каталоге Microsoft Active Directory происходит автоматически. В корпоративной сети можно установить несколько биометрических серверов, что обеспечит балансировку нагрузки между ними в пиковые периоды — скажем, в начале рабочего дня, когда в корпоративную сеть практически одновременно входит множество пользователей.
Наличие нескольких серверов повышает отказоустойчивость сервиса BioLink IDenium: если, например, по каким-то причинам выйдет из строя аппаратная платформа одного сервера, «эстафету идентификации» у него мгновенно примет другой.
Централизованная установка и управление
Установка сервиса BioLink IDenium производится централизованно, с рабочего места администратора сети. После установки, помимо перечисленных выше функций, администратору доступны следующие возможности:
- добавление новых пользователей (или учетных записей), изменение их свойств, удаление;
- разрешение/запрет кэширования идентификационной информации на рабочей станции пользователя;
- скрытие реального изображения отпечатка, выводимого на экран монитора при сканировании.
Поддерживаемые сканеры отпечатков пальцев
Сервис BioLink IDenium поддерживает широкую номенклатуру сканеров отпечатков пальцев, в т.ч.:
- офисные USB-сканеры отпечатков пальцев BioLink U-Match (выпускаются в виде самостоятельных корпусных устройств, в т.ч. со считывателем смарт-карт, интегрированным в общий со сканером корпус);
- встраиваемые USB-сканеры отпечатков пальцев BioLink U-Match BI, интегрируемые в информационные киоски, терминалы и т.п. устройства;
- сканеры отпечатков пальцев компании UPEK, включая сканеры, встроенные в ноутбуки и другие мобильные компьютерные устройства.