سرویس میزکار کیپر

سرویس دهنده کیپر سامانه اصلی تجهیز دامنه کاربران یک سازمان به احراز کننده چند عاملی است. این سامانه از یک سو با Active Directory با پروتکل LDAP در ارتباط است و از طرفی وب اپلیکیشنی را به نام سرویس میز کار کیپر در اختیار می­‌گذارد که کلیه عملیات ایجاد عاملیت دوم (توکن)، ابطال توکن و یا حذف آن را بتوان مدیریت کرد.

سطوح دسترسی: سطوح دسترسی کاربران برای مدیریت توکن جهت بالا بردن تمهیدات امنیتی به سه سطح زیر تقسیم می­‌شود. این سطوح دسترسی هرمی است ، بدین معنی که سطح بالایی تمامی قابلیت­‌های سطح پایین‌تر را دارد اما بالعکس آن صادق نیست مدیر اصلی (Super Admin) مدیر اصلی بالاترین سطح دسترسی دارد و قابلیت های آن شامل موارد ذیل می­شود. توانایی پیکربندی سرویس دهنده کیپر ایجاد توکن (با استفاده از قابلیت کاربری خود^*) ابطال توکن (با استفاده از قابلیت کاربری خود^*) حذف توکن ( با استفاده از قابلیت مدیریتی خود^*)

به دلیل حساس بودن این سطح از دسترسی ، ورود با اختیارات مدیر اصلی منوط به عامل دوم سخت‌افزاری (Fido2 Security Key) شده است و این سیاست کیپر جهت ایجاد ماکزیمم لایه­‌های حفاظتی می­‌باشد.

مدیر (Admin) بعد از مدیر اصلی، مدیر بیشترین سطح دسترسی را دارد. پس از اینکه گروه مدیران در Active Directory سازمان مشخص شد. از این پس مدیران می‌­توانند از قابلیت­‌های ذیل برخوردار باشند. ایجاد توکن ( با استفاده از قابلیت کاربری خود^*) ابطال توکن (با استفاده از قابلیت کاربری خود^*) حذف توکن در این سطح دسترسی نیز لازم است مدیر خود با عاملیت دوم کلید امنیتی (Fido2 Security Key) ورود کند.

حذف توکن توسط مدیر از قابلیت­‌های خاص آن برشمرده می‌­شود و چنانچه کاربری دسترسی خود را به توکن تعریف شده از دست داد. ابتدای امر آن را باطل می­کند و سپس فقط از طریق یکی از سطوح مدیریتی می­تواند آن را حذف کند، چنانچه توکن حذف نشود امکان ایجاد مجدد توکن برای آن کاربر وجود نخواهد داشت.

* هر مدیری چه در قالب مدیر اصلی و چه مدیران در دامنه کاربری سازمان طبق قاعده هرم که بالا ذکر گردید نقش کاربری نیز دارند. این نقش کاربری به آن­ها اجازه ایجاد و ابطال توکن را می­‌دهد. در نتیجه هنگامی که می­‌خواهید توکن تعریف کنید ولی در دامنه کاربری سازمان مدیر تعریف شده­‌اید. به عنوان کاربر وارد شوید آنگاه گزینه تعریف توکن برای مدیر برای شما فعال خواهد بود. این امر برای ابطال توکن نیز صادق است. اما برای حذف توکن حتما باید با نقش مدیریتی وارد شد چون از قابلیت­های خاص مدیر برشمرده می‌­شود، لازم به ذکر است مدیر اصلی نیز برای حذف توکن از نقش مدیر بودن خود استفاده می­‌کند.

کاربر (User)

در سامانه کیپر کاربر معمول ترین سطح دسترسی است، اما باید دقت داشت که دو سطح بالاتر یعنی مدیران و مدید اصلی نیز خود به عنوان کاربر هم شناخته می­شوند تا بتوانند از قابلیت کاربر که شامل موارد ذیل است استفاده کنند.

سرویس­‌های میز کارکیپر:

سرویس­‌هایی که توسط سرویس‌دهنده جهت اعمال احراز هویت چند عاملی قابل ارائه می­‌باشند به شرح ذیل می­‌باشند.

Windows CP

برای ورود به محیط کاربری ویندوز (Windows Login)

Radius

برای ورود و دسترسی به سوییچ‌­ها و روترها

VPN

برای دسترسی به VPN های یک سازمان

Linux PAM

برای ورود به محیط کاربری لینوکس

انواع توکن‌ها:

کاربر به هنگام تعریف توکن برای سرویس­‌های ارائه شده انواع توکن­‌ها را مشاهده می­‌کند.

همان‌طور که در شکل زیر ملاحظه می­‌کنید این توکن‌ها شامل موارد زیر می­‌شوند.