Modalità e regole di accesso al Sistema Operativo Pratiche

Modalità e regole di accesso al
Sistema Operativo Pratiche - SOP
Settembre 2014 – versione attuale
Le modalità di accesso al Sistema Operativo Pratiche (SOP) sono due e alternative tra loro
 con Codice Utente (ID Utente) e Password
 con smart card (al momento, limitatamente agli utenti internet)
Importante! Con entrambe le modalità di accesso, le funzionalità a cui l’utente è abilitato
rimangono invariate.
2
Accesso con Codice Utente (ID Utente) e Password
E’ necessario stampare, compilare e firmare l’apposito modulo “Richiesta di rilascio
identificativo personale e password”.
I moduli, personalizzati secondo la tipologia di utente, sono disponibili sul sito di Agrea alla
pagina Servizi online/Accesso agli Applicativi/Sistema Operativo Pratiche
Il modulo deve essere firmato:





per gli utenti AGREA - dal Direttore o dal Responsabile del Servizio di Controllo
Interno per il personale rispettivamente assegnato a tali strutture. Il Responsabile del
Servizio Tecnico e di Autorizzazione consente l’accesso al personale assegnato alla
propria struttura con nota interna firmata e protocollata, recante comunque i dati
generali di seguito indicati.
per gli utenti CAA - dal Responsabile Regionale del Centro Autorizzato di Assistenza
Agricola
per gli utenti Organismi delegati – dal Dirigente apicale del Settore
per gli Organismi riconosciuti – dal legale rappresentante dell’Organismo riconosciuto
per le Aziende Agricole – dal titolare/legale rappresentante dell’Azienda
Ad esclusione dei CAA e degli Organismi delegati, è necessario allegare copia
fronte/retro di un documento di identità in corso di validità del firmatario.
Il modulo può essere presentato direttamente o inviato per posta al seguente indirizzo:
AGREA - Largo Caduti del Lavoro, 6 - 40122 Bologna.
In alternativa, inviato tramite fax al numero 051 527.4911.
Le credenziali di accesso (pwd iniziale e userid) vengono rilasciate, di norma, entro 5 giorni
lavorativi dal ricevimento della richiesta e comunicate all’indirizzo di posta elettronica indicato
nella richiesta.
Primo accesso
Password iniziale: all’atto della creazione di un nuovo utente, la password iniziale viene
generata automaticamente dal sistema con queste caratteristiche:
la password è composta dalla concatenazione di: “pwd” + userid + “_1”: quindi per un utente
che abbia come userid in SOP la parola “mrossi” la password generata automaticamente sarà
“pwdmrossi_1”.
Al primo accesso la password assegnata è già scaduta e dovrà essere modificata con le
seguenti caratteristiche:
 dovrà essere lunga almeno 8 caratteri;
 dovrà contenere almeno un carattere numerico ed almeno un carattere non
alfanumerico (esempio: *, _ , %...);
 dovrà essere diversa dalla precedente password.
Scadenza password
In base alle norme sulla sicurezza informatica la password ha validità fissa di sessanta
giorni e pertanto si invitano gli utenti a cambiarla in un qualsiasi momento, cliccando sul
pulsante cambia password presente nella maschera di ingresso a SOP e inserendone una
nuova con le caratteristiche sopra descritte.
3
All’accesso, qualora la password fosse scaduta (entro il termine massimo di 180 giorni
dall’ultimo accesso), il sistema presenta automaticamente la pagina di cambio password.
Blocco password
Al fine di bloccare eventuali tentativi di accesso non autorizzati, dopo 3 (tre) tentativi
consecutivi di accesso falliti, il sistema blocca l’utenza impedendo ogni ulteriore tentativo di
accesso e visualizzando il messaggio “Utente disabilitato”.
L’utente che si trovi con la propria utenza bloccata, dovrà attendere 30 minuti per lo sblocco
automatico. Qualora lo sblocco automatico non funzionasse, dovrà rivolgersi al Servizio di
Assistenza per ottenerne lo sblocco.
Disattivazione utenza
Dopo 180 giorni di inattività dell’utenza, il sistema la “disattiva” impedendo ogni ulteriore
tentativo di accesso.
Un utente che abbia la propria utenza disattivata dovrà quindi rivolgersi al Servizio di
Assistenza per ottenerne la riattivazione.
Recapiti Servizio Assistenza e modalità di richiesta
Per ripristinare l’utenza (nei casi di blocco password o disattivazione) è necessario inviare una
mail al seguente indirizzo: [email protected] indicando nell’oggetto
“richiesta sblocco utenza” e un recapito telefonico.
All’utenza ripristinata verrà associata una password costruita secondo le stesse regole di
generazione della password iniziale.
Per ogni ulteriore informazione è possibile contattare il
Servizio assistenza Tel. 051 527.4935-67
dal lunedì al venerdì: ore 8.30 - 13.00 e ore 14.00 - 15.30
Mail: [email protected]
4
Accesso con Smart card
Al momento l’autenticazione a SOP tramite SC è consentita solo alle utenze
internet.
Alcune informazioni tecniche
Il lettore di SC deve essere già configurato, cioè integrato con il browser.
Agrea non potrà farsi carico delle eventuali problematiche tecniche di
configurazione, né fornire qualsiasi supporto tecnico in questo senso (considerate le
innumerevoli specificità di lettori esistenti).
Protocollo https SSL
ACCESSO STANDARD cioè senza
certificato
es: l’accesso alle applicazioni
regionali (cartellino, ecc.)
(Secure Sockets Layer) è un protocollo aperto e non proprietario,
utilizzato per stabilire comunicazioni sicure tra un Server ed un
Client.
ACCESSO CON CERTIFICATO
La SC contiene 2 certificati: uno per operare la firma digitale e uno per l’autenticazione.
Per il rilascio del certificato è necessario rivolgersi ad una certification autority (CA) o
Autorità Certificativa, che è un ente di terza parte, pubblico o privato, abilitato a rilasciare un
certificato digitale tramite procedura di certificazione.
La lista delle certification autority (CA) che al momento sono accettate da Agrea sono:
 Actalis
 Infocamere
 Postecert
Non è esclusa la possibilità di implementare questa lista a seguito di richieste esplicite da parte
degli utenti.
Nel certificato è contenuto il CODICE UNICO DI IDENTIFICAZIONE AZIENDE AGRICOLE (CUAA)
(per gli utenti internet è la username).
Il vantaggi principali di questa scelta sono:
 meno burocrazia
 più sicurezza
(non ci si dovrà più preoccupare della scadenza della password o della
scadenza dell’utenza causa suo inutilizzo per lungo tempo; non occorre
attivare la procedura di “registrazione” presso il Servizio Tecnico di Agrea)
Ovviamente il certificato dovrà essere in corso di validità e non revocato.
A monte esiste un controllo effettuato da un server regionale (criptoserver) che “verifica” i
certificati (scaduti e/o revocati).
5
Requisiti necessari all’accesso
Per poter accedere utilizzando la propria smart card è necessario che:
 la smart card contenga un certificato per l’autenticazione client;
 sia installato correttamente un lettore compatibile con la smart card;
 il browser sia configurato per l’utilizzo della smart card.
Le autorità di certificazione che rilasciano la smart card di solito forniscono anche il lettore di
smart card e le istruzioni per la loro specifica configurazione sui browser più comuni: Microsoft
Explorer o Mozilla Firefox.
Di seguito si riporta un esempio generico di configurazione che funziona con la maggior parte
delle smart card e dei lettori in commercio. Consigliamo all’utente in possesso di
documentazione specifica proveniente dal fornitore del lettore o della smart card, di utilizzare
quest’ultima piuttosto che le istruzioni di seguito riportate.
Esempi di configurazione
Configurazione di Internet Explorer
Importazione dei certificati di autenticazione.
1. Scaricare un software per l’importazione dei certificati; ad esempio il programma Sysgillo è
scaricabile da http://sysgillo-csp-pkcs11.software.informer.com/ ; le istruzioni seguenti si
riferiscono all’utilizzo di Sysgillo
2. Per estrarre i file compressi utilizzare WinZip, WinRar o altra utilità di decompressione
3. Chiudere eventuali applicazioni attive in Windows
4. Lanciare il file appena estratto e seguire le istruzioni per l’installazione
5. Una volta installato il software è necessario avviarlo per l’importazione dei certificati dalla
smart card ad Internet Explorer; cliccare due volte sull’icona
6. Inserire la smart card nel lettore e cliccare su Importa
7. Digitare il codice PIN e cliccare su «OK» per importare tutti i
certificati presenti sulla smart card. Se l’importazione ha avuto
successo comparirà un messaggio riportante il numero di
certificati importati, ad esempio:
6
Configurazione di Mozilla Firefox
1. Aprire Mozilla Firefox
2. Scegliere da menu: Strumenti/Opzioni
3. Nella finestra "Opzioni"/Avanzate/Cifratura, verificare che sia attivata la voce "Selezionane
uno automaticamente" e selezionare "Dispositivi di sicurezza"
7
4. Nella finestra "Gestione dispositivi" selezionare a sinistra NSS Internal PKCS # 11 Module

Premendo il pulsante Carica si apre la finestra "Carica dispositivo PKCS#1
5. Nella finestra "Carica dispositivo PKCS#11", digitare nel campo "Nome modulo": Smart
Card e premere il pulsante "Sfoglia"
8
6. Selezionare il file .dll specifico per la propria smart card (solitamente è posizionato nella
cartella di sistema di Windows, oppure in C:\windows\system32 oppure in
C:\winnt\system32) e premere Apri.
Di seguito si riportano alcuni esempi di file .dll compatibili con alcune smart card (fonte
Infocert).
●
●
●
●
●
●
incryptoki2.dll / ipmpki32.dll per smartcard: 1201.., 1202.., 1203..,
bit4ipki.dll per smartcard: 7420.., 1204.., 1205.., 6090..
bit4opki.dll per smart card Oberthur: 170.., 190..
cvP11_M4.dll per smartcard: 16..
si_pkcs11.dll per smartcard: 1401.., 1402.., 1501.., 1502..
cmp11.dll per smart card: 1503..
7. Nella finestra "Carica dispositivo PKCS#11" premere OK
9
L’accesso a SOP
La maschera di ingresso è la medesima con qualsiasi browser. Esiste un software di dialogo tra
il browser e il certificato.
A seconda del browser utilizzato, possono presentarsi maschere diverse per i passaggi
successivi.
Con
Internet Explorer una volta cliccato sul pulsante ENTRA:
1) viene chiesto di effettuare per prima la scelta del certificato:
2) e successivamente l’imputazione del PIN
Con
Mozilla una volta cliccato sul pulsante ENTRA:
1) viene per primo richiesto il PIN
2) e successivamente la scelta del certificato
10
11
Se si tratta di un utente già in precedenza registrato e che è ricorso all’utilizzo della SC, una
volta eseguiti questi passaggi si ritroverà direttamente nella maschera che prevede le
funzionalità per cui è abilitato.
Se, al contrario, trattasi di un nuovo utente mai registrato prima, ai passaggi sopradescritti
seguirà la fase di registrazione (non visibile all’utente) e gli si presenterà (trattandosi di primo
ingresso) la maschera riferita all’accettazione dell’informativa sul trattamento dei dati
personali.
12