7.3.2. Дополнительная авторизация с помощью ключей eToken Pass

7.3.2. Дополнительная авторизация с помощью ключей eToken Pass
	7.3. Способы дополнительной авторизации

Принадлежность устройств eToken Pass
Блокированные устройства eToken Pass

Одним из способов дополнительной авторизации в системе "ДБО BS-Client x64" является авторизация с помощью устройств eToken Pass.

Аппаратное устройство eToken Pass служит для генерации одноразовых ключей, используемых в системе "ДБО BS-Client x64" для дополнительного подтверждения документов (см. разд. 7.1 «Дополнительная авторизация документов»), а также для дополнительной аутентификации пользователей подсистемы Интернет-Клиент / Мобильный Бизнес Клиент (см. разд. 7.2 «Дополнительная авторизация пользователей подсистемы Интернет-Клиент / Мобильный Бизнес Клиент»).

	Примечание
Невозможна дополнительная авторизация документов с помощью устройств eToken Pass, используемых для дополнительной авторизации пользователей подсистемы Интернет-Клиент / Мобильный Бизнес Клиент (см. разд. 7.4 «Ограничения механизмов дополнительной авторизации»). Дополнительная авторизация документов с помощью устройств eToken Pass недоступна для пользователей подсистемы Банк-Клиент / удаленных площадок.

Примечание

Невозможна дополнительная авторизация документов с помощью устройств eToken Pass, используемых для дополнительной авторизации пользователей подсистемы Интернет-Клиент / Мобильный Бизнес Клиент (см. разд. 7.4 «Ограничения механизмов дополнительной авторизации»).
Дополнительная авторизация документов с помощью устройств eToken Pass недоступна для пользователей подсистемы Банк-Клиент / удаленных площадок.

В зависимости от их назначения устройства eToken Pass ставятся в соответствие различным объектам системы: учетным записям ИК и организациям клиента (см. разд. «Принадлежность устройств eToken Pass»). При необходимости, например, в случае компрометации, любое из устройств может быть блокировано (см. разд. «Блокированные устройства eToken Pass»).

Устройства eToken Pass, используемые для дополнительной авторизации, передаются клиентам уполномоченным банком лицом.

Для авторизации ключами eToken Pass используются два параметра – сеансовый ключ и текущее значение счетчика сеансовых ключей. Сеансовые ключи хранятся как на самом устройстве eToken Pass так и на сервере в системе eToken TMS. Счетчик в устройстве клиента увеличивается при каждой генерации сеансового ключа, а на сервере – при каждой удачной аутентификации.

Проверка введенного пользователем сеансового ключа осуществляется сервером RADIUS (Microsoft IAS, FreeRadius и другие), который обращается к системе eToken TMS, осуществляющей генерацию сеансового ключа на стороне сервера. Если введенное пользователем значение сеансового ключа совпадает со значением, полученным на сервере, авторизация считается успешной.

В случае нарушения синхронизации счетчика генерации в устройстве и на сервере (при случайном нажатии на кнопку устройства или при неправильном вводе сеансового ключа значение счетчика на устройстве увеличивается, а на сервере остается неизменным) в системе предусмотрена проверка определенного количества последующих сеансовых ключей на стороне сервера, в случае совпадения аутентификация считается успешной и счетчики синхронизируются.


Активация комплектов сеансовых ключей		Принадлежность устройств eToken Pass