# Cinématique d'une authentification ## Attribution d'une carte avec certificat Pour la première authentification et pour pouvoir faire sa carte, l'administrateur doit posséder un certificat valide. pour cela, il se tournera vers le gestionnaire de la PKI (La DSMR) qui créera le certificat. Ensuite, le gestionnaire créera la carte en y intégrant le certificat et en donnant le code pin (qui pourra être modifié en toute autonomie par l'administrateur). ## première authentification ### But il faut permetre à l'administrateur de s'authentifier depuis n'importe alors que la chine n'est pas sur le domaine SIA. En effet, Le PC de l'administrateur, n'étant pas connecté aux ressources du SIA, donc n'étant pas sur domaine SIA, doit en premier lieux se connecter directement au réseau SIA afin d'obtenir le certificat client, de le copier sur le PC (mécanisme à décrire précisement par Thales), permettant à l'admin de s'authentifier en local sur sa machine au moyen de sa carte et de son code pin. ### Etat en cas de machine nouvellement masterisée à l'occasion du renouvellement du certificat, la machine est sur sur le domaine SIA. ### Process - A cette étape, la machine est reconnus par l'AD. - le possesseur de la carte s'authentifit sur l'AD du SIA au moyen de sa carte et de son code pin. - la conscéquence est la copie du certificat sur la machine. - l'administrateur à accès aux resources de l'AD SIA ## Authentification suivante ### but Permetre à l'admin de s'authentifier depuis n'importe où en mode mobilité. ### Etat - La machine n'est pas connectée à l'AD SIA. - l'admin est en possission de sa carte et de son code pin. ### Process 1. Démarage du PC : le PC est connecté en filaire ou en Wifi sur le réseau de l'Insee ou depuis Internet (Nomade). Dans tous les cas, le but est de monter un tunnel vers les ressources du SIA. Le PC n'est alors reconnu sur aucun domaine. 2. l'admin insère sa carte et lance la session Windows par l'authentification par carte. l'authentification par mot de passe reste possible mais un mot de passe extremmement fort et coffrisé. (A voir pour l'organisation) 3. la reconnaissance du certificat se fait entre la carte et le certificat client du PC (d'ou la première connexion sur le réseau du SIA) (faire préciser ce qui se passe exactement en terme de flux par thales) 4. l'admin donne le deuxième facteur d'authentification (code pin) 5. la session s'ouvre mais en mode déconnecté du domaine (le tunnel n'est pas encore monté) : l'admin n'accès à aucune ressouces du SIA. 6. l'admin ouvre le tunnel VPN par le lancement du logiciel ad-hoc (avec code pin ?) : l'admin est connecté alors au domaine SIA lui permettant ainsi d'accèder à toutes les ressources notamment les ressources administrées. 7. Tout retrait de la carte ferme le tunnel et la session : le PC est déconnecté du domaine SIA (faire valider par Thales ce qui se passe réellement notament en terme de services Windows et de vidage mémoire). ## cycles de vie :::danger Qui sera en chargede la gestion du cycles de vie des carte ?  ::: ### Renouvellement du code pin un service Web permettra aux administrateurs de s'enroller auprès de la PKI et de renouveller le code pin (vérifié avec Thales) ### Renouvellement du certificat ou de la carte cette procédure devra se faire auprès d'un opérateur (DSMR ?). Dans tous les cas, la machine devra se connecter au réseau SIA afin de faire une première authentification. ### que faire ou prévoir en cas de perte/destruction de carte Attente retour Thales sur les bonnes pratiques ## authentification ressources ### Windows ### Linux ### autres # Les tests à prévoir dans le cadre du POC - création du certificat - paramétrage de la carte - première authentification - authentification en mode mobile - authentification sur ressouces serveur Windows - authentification sur ressources serveur Linux - authentification sur ressources type infra - déconnexion de la carte - déblocage du code pin - révocation du certificat - contrôle de la CRL - suppression certificat - bascule entre les deux sites - panne du système de gestion des certificats