Для успешного входа в ОС с использованием двухфакторной аутентификации пользователь должен:

  • подсоединить свой электронный ключ к ПК;
  • ввести PIN-код электронного ключа.

ОС аутентифицирует пользователя на основе данных, размещённых в защищённой памяти электронного ключа:

  • электронный сертификат (как выпущенный центром сертификации (далее по тексту – ЦС), так и самоподписанный);
  • профиль учётной записи пользователя, содержащий логин и пароль.

2.1. Поддерживаемые устройства аутентификации

Для надежного хранения ключевой информации могут быть использованы следующие модели устройств аутентификации (токенов, электронных ключей):

  • JaCarta 2 ГОСТ;
  • JaCarta PRO;
  • JaCarta PRO/ГОСТ;
  • JaCarta-2 PRO/ГОСТ;
  • JaCarta PKI;
  • JaCarta PKI/Flash;
  • JaCarta PKI/ГОСТ/Flash;
  • JaCarta-2 PKI/ГОСТ;
  • JaCarta PKI/ГОСТ;
  • JaCarta SF/ГОСТ;
  • JaCarta SecurBIO;
  • Aladdin LiveOffice;
  • Рутокен ЭЦП 2.0/3.0;
  • eToken PRO (Java).

2.2. Требования к пользовательским сертификатам

Для успешной двухфакторной аутентификации с использованием сертификатов необходимо выполнение следующих условий:

1) на токен необходимо записать открытый ключ (сертификат) и закрытый ключ пользователя, помещенные в один контейнер;

2) пользовательские сертификаты должны содержать следующие поля:

  • «Поставщик (Issuer)» – поле идентификации ЦС, выдавшего сертификат владельцу:
    • CN (CommonName) – наименование поставщика, подписывающего сертификат;
    • DC (DomainComponent) – компонент DNS имени (адреса) владельца сертификата, указывается несколько раз, в каждом случае как часть DNS пути;

Примечание. Пример заполненного поля Issuer:

CN = DC_WIN-CA

DC = dc

DC = test

  • «Субъект (Subject)» – поле идентификации субъекта (владельца) сертификата:
    • CN (CommonName) – наименование субъекта (владельца) сертификата;
    • DC (DomainComponent) – компонент DNS имени (адреса) владельца сертификата, указывается несколько раз, в каждом случае как часть DNS пути;

Примечание. Пример заполненного поля Subject:

CN = Domain User Test

DC = dc

DC = test

  • дополнительное имя субъекта SAN (SubjectAltName) – дополнительные реквизиты владельца сертификата:
    • OtherName (Другое имя) – логин и домен пользователя по следующему шаблону: Principal Name=login@domain.ru.

Примечание. Пример заполненного поля SubjectAlternativeName | Other Name:

Principal Name=d_user@dc.test

    • у сертификата должен быть установлен период действия;
    • в сертификате должны быть указаны CRL или OCSP (при наличии).

2.3. Принципы безопасной работы программы

К основным принципам безопасной работы программы относятся:

  • выполнение ограничений по эксплуатации SecurLogon согласно разделу 2;
  • контроль физической сохранности ПК с установленным SecurLogon;
  • сохранение в секрете пароля (PIN-кода) пользователя;
  • исключение доступа посторонних лиц к персональному идентификатору (электронному ключу) пользователя.

2.4. Режимы функционирования программы

Программа функционирует в следующих режимах:

  • штатный режим, при котором SecurLogon должен исправно функционировать в круглосуточном режиме и обеспечивать выполнение своих функций в полном объёме;
  • сервисный режим, необходимый для проведения обслуживания (обновления) SecurLogon.

Основным режимом функционирования SecurLogon является штатный режим.

Аварийный режим работы SecurLogon при отказах/сбоях серверного оборудования и/или общесистемного/специального ПО не предусматривается.