Modalità e regole di accesso al Sistema Operativo Pratiche
Transcript
Modalità e regole di accesso al Sistema Operativo Pratiche
Modalità e regole di accesso al Sistema Operativo Pratiche - SOP Settembre 2014 – versione attuale Le modalità di accesso al Sistema Operativo Pratiche (SOP) sono due e alternative tra loro con Codice Utente (ID Utente) e Password con smart card (al momento, limitatamente agli utenti internet) Importante! Con entrambe le modalità di accesso, le funzionalità a cui l’utente è abilitato rimangono invariate. 2 Accesso con Codice Utente (ID Utente) e Password E’ necessario stampare, compilare e firmare l’apposito modulo “Richiesta di rilascio identificativo personale e password”. I moduli, personalizzati secondo la tipologia di utente, sono disponibili sul sito di Agrea alla pagina Servizi online/Accesso agli Applicativi/Sistema Operativo Pratiche Il modulo deve essere firmato: per gli utenti AGREA - dal Direttore o dal Responsabile del Servizio di Controllo Interno per il personale rispettivamente assegnato a tali strutture. Il Responsabile del Servizio Tecnico e di Autorizzazione consente l’accesso al personale assegnato alla propria struttura con nota interna firmata e protocollata, recante comunque i dati generali di seguito indicati. per gli utenti CAA - dal Responsabile Regionale del Centro Autorizzato di Assistenza Agricola per gli utenti Organismi delegati – dal Dirigente apicale del Settore per gli Organismi riconosciuti – dal legale rappresentante dell’Organismo riconosciuto per le Aziende Agricole – dal titolare/legale rappresentante dell’Azienda Ad esclusione dei CAA e degli Organismi delegati, è necessario allegare copia fronte/retro di un documento di identità in corso di validità del firmatario. Il modulo può essere presentato direttamente o inviato per posta al seguente indirizzo: AGREA - Largo Caduti del Lavoro, 6 - 40122 Bologna. In alternativa, inviato tramite fax al numero 051 527.4911. Le credenziali di accesso (pwd iniziale e userid) vengono rilasciate, di norma, entro 5 giorni lavorativi dal ricevimento della richiesta e comunicate all’indirizzo di posta elettronica indicato nella richiesta. Primo accesso Password iniziale: all’atto della creazione di un nuovo utente, la password iniziale viene generata automaticamente dal sistema con queste caratteristiche: la password è composta dalla concatenazione di: “pwd” + userid + “_1”: quindi per un utente che abbia come userid in SOP la parola “mrossi” la password generata automaticamente sarà “pwdmrossi_1”. Al primo accesso la password assegnata è già scaduta e dovrà essere modificata con le seguenti caratteristiche: dovrà essere lunga almeno 8 caratteri; dovrà contenere almeno un carattere numerico ed almeno un carattere non alfanumerico (esempio: *, _ , %...); dovrà essere diversa dalla precedente password. Scadenza password In base alle norme sulla sicurezza informatica la password ha validità fissa di sessanta giorni e pertanto si invitano gli utenti a cambiarla in un qualsiasi momento, cliccando sul pulsante cambia password presente nella maschera di ingresso a SOP e inserendone una nuova con le caratteristiche sopra descritte. 3 All’accesso, qualora la password fosse scaduta (entro il termine massimo di 180 giorni dall’ultimo accesso), il sistema presenta automaticamente la pagina di cambio password. Blocco password Al fine di bloccare eventuali tentativi di accesso non autorizzati, dopo 3 (tre) tentativi consecutivi di accesso falliti, il sistema blocca l’utenza impedendo ogni ulteriore tentativo di accesso e visualizzando il messaggio “Utente disabilitato”. L’utente che si trovi con la propria utenza bloccata, dovrà attendere 30 minuti per lo sblocco automatico. Qualora lo sblocco automatico non funzionasse, dovrà rivolgersi al Servizio di Assistenza per ottenerne lo sblocco. Disattivazione utenza Dopo 180 giorni di inattività dell’utenza, il sistema la “disattiva” impedendo ogni ulteriore tentativo di accesso. Un utente che abbia la propria utenza disattivata dovrà quindi rivolgersi al Servizio di Assistenza per ottenerne la riattivazione. Recapiti Servizio Assistenza e modalità di richiesta Per ripristinare l’utenza (nei casi di blocco password o disattivazione) è necessario inviare una mail al seguente indirizzo: [email protected] indicando nell’oggetto “richiesta sblocco utenza” e un recapito telefonico. All’utenza ripristinata verrà associata una password costruita secondo le stesse regole di generazione della password iniziale. Per ogni ulteriore informazione è possibile contattare il Servizio assistenza Tel. 051 527.4935-67 dal lunedì al venerdì: ore 8.30 - 13.00 e ore 14.00 - 15.30 Mail: [email protected] 4 Accesso con Smart card Al momento l’autenticazione a SOP tramite SC è consentita solo alle utenze internet. Alcune informazioni tecniche Il lettore di SC deve essere già configurato, cioè integrato con il browser. Agrea non potrà farsi carico delle eventuali problematiche tecniche di configurazione, né fornire qualsiasi supporto tecnico in questo senso (considerate le innumerevoli specificità di lettori esistenti). Protocollo https SSL ACCESSO STANDARD cioè senza certificato es: l’accesso alle applicazioni regionali (cartellino, ecc.) (Secure Sockets Layer) è un protocollo aperto e non proprietario, utilizzato per stabilire comunicazioni sicure tra un Server ed un Client. ACCESSO CON CERTIFICATO La SC contiene 2 certificati: uno per operare la firma digitale e uno per l’autenticazione. Per il rilascio del certificato è necessario rivolgersi ad una certification autority (CA) o Autorità Certificativa, che è un ente di terza parte, pubblico o privato, abilitato a rilasciare un certificato digitale tramite procedura di certificazione. La lista delle certification autority (CA) che al momento sono accettate da Agrea sono: Actalis Infocamere Postecert Non è esclusa la possibilità di implementare questa lista a seguito di richieste esplicite da parte degli utenti. Nel certificato è contenuto il CODICE UNICO DI IDENTIFICAZIONE AZIENDE AGRICOLE (CUAA) (per gli utenti internet è la username). Il vantaggi principali di questa scelta sono: meno burocrazia più sicurezza (non ci si dovrà più preoccupare della scadenza della password o della scadenza dell’utenza causa suo inutilizzo per lungo tempo; non occorre attivare la procedura di “registrazione” presso il Servizio Tecnico di Agrea) Ovviamente il certificato dovrà essere in corso di validità e non revocato. A monte esiste un controllo effettuato da un server regionale (criptoserver) che “verifica” i certificati (scaduti e/o revocati). 5 Requisiti necessari all’accesso Per poter accedere utilizzando la propria smart card è necessario che: la smart card contenga un certificato per l’autenticazione client; sia installato correttamente un lettore compatibile con la smart card; il browser sia configurato per l’utilizzo della smart card. Le autorità di certificazione che rilasciano la smart card di solito forniscono anche il lettore di smart card e le istruzioni per la loro specifica configurazione sui browser più comuni: Microsoft Explorer o Mozilla Firefox. Di seguito si riporta un esempio generico di configurazione che funziona con la maggior parte delle smart card e dei lettori in commercio. Consigliamo all’utente in possesso di documentazione specifica proveniente dal fornitore del lettore o della smart card, di utilizzare quest’ultima piuttosto che le istruzioni di seguito riportate. Esempi di configurazione Configurazione di Internet Explorer Importazione dei certificati di autenticazione. 1. Scaricare un software per l’importazione dei certificati; ad esempio il programma Sysgillo è scaricabile da http://sysgillo-csp-pkcs11.software.informer.com/ ; le istruzioni seguenti si riferiscono all’utilizzo di Sysgillo 2. Per estrarre i file compressi utilizzare WinZip, WinRar o altra utilità di decompressione 3. Chiudere eventuali applicazioni attive in Windows 4. Lanciare il file appena estratto e seguire le istruzioni per l’installazione 5. Una volta installato il software è necessario avviarlo per l’importazione dei certificati dalla smart card ad Internet Explorer; cliccare due volte sull’icona 6. Inserire la smart card nel lettore e cliccare su Importa 7. Digitare il codice PIN e cliccare su «OK» per importare tutti i certificati presenti sulla smart card. Se l’importazione ha avuto successo comparirà un messaggio riportante il numero di certificati importati, ad esempio: 6 Configurazione di Mozilla Firefox 1. Aprire Mozilla Firefox 2. Scegliere da menu: Strumenti/Opzioni 3. Nella finestra "Opzioni"/Avanzate/Cifratura, verificare che sia attivata la voce "Selezionane uno automaticamente" e selezionare "Dispositivi di sicurezza" 7 4. Nella finestra "Gestione dispositivi" selezionare a sinistra NSS Internal PKCS # 11 Module Premendo il pulsante Carica si apre la finestra "Carica dispositivo PKCS#1 5. Nella finestra "Carica dispositivo PKCS#11", digitare nel campo "Nome modulo": Smart Card e premere il pulsante "Sfoglia" 8 6. Selezionare il file .dll specifico per la propria smart card (solitamente è posizionato nella cartella di sistema di Windows, oppure in C:\windows\system32 oppure in C:\winnt\system32) e premere Apri. Di seguito si riportano alcuni esempi di file .dll compatibili con alcune smart card (fonte Infocert). ● ● ● ● ● ● incryptoki2.dll / ipmpki32.dll per smartcard: 1201.., 1202.., 1203.., bit4ipki.dll per smartcard: 7420.., 1204.., 1205.., 6090.. bit4opki.dll per smart card Oberthur: 170.., 190.. cvP11_M4.dll per smartcard: 16.. si_pkcs11.dll per smartcard: 1401.., 1402.., 1501.., 1502.. cmp11.dll per smart card: 1503.. 7. Nella finestra "Carica dispositivo PKCS#11" premere OK 9 L’accesso a SOP La maschera di ingresso è la medesima con qualsiasi browser. Esiste un software di dialogo tra il browser e il certificato. A seconda del browser utilizzato, possono presentarsi maschere diverse per i passaggi successivi. Con Internet Explorer una volta cliccato sul pulsante ENTRA: 1) viene chiesto di effettuare per prima la scelta del certificato: 2) e successivamente l’imputazione del PIN Con Mozilla una volta cliccato sul pulsante ENTRA: 1) viene per primo richiesto il PIN 2) e successivamente la scelta del certificato 10 11 Se si tratta di un utente già in precedenza registrato e che è ricorso all’utilizzo della SC, una volta eseguiti questi passaggi si ritroverà direttamente nella maschera che prevede le funzionalità per cui è abilitato. Se, al contrario, trattasi di un nuovo utente mai registrato prima, ai passaggi sopradescritti seguirà la fase di registrazione (non visibile all’utente) e gli si presenterà (trattandosi di primo ingresso) la maschera riferita all’accettazione dell’informativa sul trattamento dei dati personali. 12