Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Applicatie Structuur
Als de toepassing wordt gestart en er is geen Trust1Connector geïnstalleerd, wordt de volgende lay-out weergegeven:
Op de start pagina kan de gebruiker de Trust1Connector downloaden of zien welke versie momenteel is geïnstalleerd.
Hoewel de connector kan bepalen op welk besturingssysteem de browser wordt uitgevoerd, toont de pagina alle mogelijke downloads.
Beschikbare installers zijn er voor:
Windows 32/64 bit (LTS)
Mac Intel/ARM (LTS)
Linux (Ubuntu/Debian of andere op aanvraag)
Na het downloaden kan het ondertekende pakket op je systeem worden geïnstalleerd. De connector is zo gemaakt dat hij weinig ruimte in beslag neemt. Na een succesvolle installatie moet de pagina worden herladen (ververst). De applicatie is gebouwd om expliciet opvragen van lezers voorafgaand aan de installatie te vermijden.
De installatiewizard wordt gestart wanneer het gedownloade installatieprogramma wordt uitgevoerd:
Na een succesvolle installatie en wanneer de pagina wordt vernieuwd, wordt de gebruiker om toestemming (consent) gevraagd. De toestemming is nodig om toegang te krijgen tot kaartlezers op het apparaat van de gebruiker.
Als u toestemming geeft, verdwijnt de vorige pagina en wordt er een nieuwe pagina geladen, waarop wordt gezocht naar beschikbare kaartlezers. Het volgende scherm toont het resultaat als er geen kaartlezers aanwezig zijn:
De administratiepagina bevat algemene informatie die beschikbaar is via de connector.
Het Readers-menu geeft een overzicht van alle gedetecteerde systeemtokens
When one or more readers are connected to the device, the application will display an overview with basic card reader or physical token information.
The table informs about the following reader semantics:
| Kolom | Betekenis |
|---|---|
De kaart ATR (ref: https://en.wikipedia.org/wiki/Answer_to_reset - Answer-To-Reset) wordt gebruikt om het smartcard schema te bepalen dat kan worden gebruikt met de Trust1Connector.
Als een kaart onbekend is voor de connector, kan een module worden voorgesteld. Dit zal een override activeren voor het geselecteerde token. De connector zal de juiste module laden om de kaartinformatie te parsen en de use cases uit te voeren met behulp van de geselecteerde module.
Er zijn geen garanties op een correcte uitvoering wanneer 'module-override' is gewijzigd. Dit wordt meestal gebruikt om te controleren of een ATR geforceerd kan worden gelezen en alleen als de gebruiker weet hoe smartcards en fysieke tokens technisch werken.
Toont een overzicht van alle informatie die is opgehaald van een geselecteerde smartcard of token
Vanaf de lezerspagina, wanneer een token is gedetecteerd en herkend, kan een 'select'-knop worden gebruikt om alle bekende informatie van het geselecteerde token te dumpen:
Het eerste deel van de 'Kaart Details Pagina' toont een visuele weergave van de kaart, dit bevat de 'biometrische' informatie van een kaart. Merk op dat deze informatie kan worden opgevraagd wanneer:
de smartcard of het token een aangepaste toepassing heeft die deze informatie vrijgeeft
de smartcard of het token beschikt over basisgebruikersinformatie in de certificaten op het token
De visuele weergave kan variëren afhankelijk van het geselecteerde token-type (elk kaarttype wordt een 'module' genoemd in de Trust1Connector context. Als er geen specifieke visuele weergave beschikbaar is voor een bepaald/geselecteerd token, wordt het standaard visualisatieschema toegepast. Trust1Team kan nieuwe tokenvisualisaties toevoegen aan het extensieraamwerk van de connector.
Het tweede deel bevat specifieke gegevens voor het geselecteerde token en kan variëren afhankelijk van het gebruikte schema. In het gegeven voorbeeld is het adres niet beschikbaar in de kaartcertificaten, maar wordt het rechtstreeks uitgelezen uit de Belgische eID-toepassing. Aangezien deze functie niet door alle tokens wordt ondersteund, is het mogelijk dat het adres niet wordt gevisualiseerd.
De volgende sectie toont alle beschikbare certificaten van het token
De certificaatgegevens voeren een certificeringsvalidatieproces uit. Dit wordt gedaan met behulp van de Trust1Connector Validation Service, een service die wordt gehost door Trust1Team.
De service voert alle benodigde validaties uit en retourneert een 'kleurcode' vergezeld van een korte beschrijving van het antwoord dat door de validatieservice is verkregen.
Het voorbeeld, met de testkaart, toont een waarschuwing (omdat dit een testkaart is):
When selecting the option 'Show Details', a short summary of the validation feedback can be obtianed:
Als dezelfde stroom wordt uitgevoerd met een geldige kaart, is het resultaat als volgt:
De verkregen certificaten zijn in binair base64-formaat. Toekomstige versies van ReadMyCards zullen het verkregen certificaat ontleden en de resulterende certificaateigenschappen in een leesbaar formaat weergeven. De volgende certificaattypes worden gebruikt door de connector:
Sommige tokens kunnen meerdere certificaten van hetzelfde type hebben. Deze worden geretourneerd door de Trust1Connector en kunnen worden gebruikt in de context van de toepassing. In de toepassing ReadMyCards wordt er slechts één weergegeven.
Hoofd Navigatie en Applicatie Instellingen
Het linkermenu toont de mogelijkheden van ReadMyCards:
| Menu | Beschrijving |
|---|---|
De ReadMyCards applicatie wordt aangepast afhankelijk van de hosting URL. Dit is het geval wanneer een specifieke ReadMyCards-instantie in een partnercontext met een eigen domeinnaam wordt gelanceerd. Het menu kan beperkte mogelijkheden hebben afhankelijk van de hostingcontext.
Rechtsboven wordt het instellingenmenu weergegeven als een 'tandwiel'. Wanneer u hierop klikt, zijn de volgende opties beschikbaar:
De ReadMyCards applicatie volgt een ander semantisch versiebeleid dan de Trust1Connector. De applicatieversie wordt linksboven onder het logo weergegeven:
| Eigenschap | Beschrijving |
|---|---|
| Eigenschap | Beschrijving |
|---|---|
| Indicator | Beschrijving |
|---|---|
| Certificaat Type | Beschijving |
|---|---|
| Instelling | Beschrijving |
|---|---|
API versie
Trust1Connector API-versie. De connector heeft een lokale API die op de achtergrond actief is op een willekeurig toegewezen poort (of vast, afhankelijk van de configuratie). De API-versie wordt opgehaald en weergegeven voor foutopsporingsdoeleinden.
Javascrip versie
Trust1Connector SDK Javascrip-versie die wordt gebruikt in de webtoepassing. De SDK communiceert met de eerder genoemde connector-API. De versie wordt voornamelijk weergegeven voor foutopsporingsdoeleinden
Status
De status van Trust1Connector geeft ACTIVATED weer wanneer deze correct is geïnitialiseerd en optioneel een verbinding en registratie tot stand heeft gebracht met een centrale distributieserver ( https://t1t.gitbook.io/t1c-distribution-service-v3-guide/ )
Log Niveau
Logniveau geconfigureerd in de connector. De volgende opties kunnen worden weergegeven: INFO, DEBUG, WARN, ERROR
Besturingssysteem
Het afgeleide besturingssysteem (Windows, Mac of Linux)
Versie
Versie van besturingssysteem
Apparaat-ID
De unieke apparaat-ID van het apparaat waarop de connector is geïnstalleerd. De ID is uniek en blijft hetzelfde na een upgrade, installatie, herinstallatie, zelfs na een volledige verwijdering van de middleware van de connector.
Naam
Aangemelde gebruiker
Gebruikersnaam
Systeeem gebruikersnaam
Gebruikers systeem folder
De homedirectory van de gebruiker die de connector-instantie uitvoert
Trust1Connector API
Controleert de verbinding met de lopende connector (zie #application-settings)
Validatie Service
De service die wordt gebruikt om certificaatketens, EUTL, LOTL, certificaatintrekking enz. te valideren.
Distributie Service
Controleer de connectiviteit met de distributieserver waarop de geïnstalleerde connector zich richt. De connector is verpakt met een vooraf geconfigureerde distributie-URL (kan worden overschreven door configuratie)
NON REPUDIATION CERTIFICATE
Het certificaat dat wordt gebruikt om een digitale handtekening uit te voeren
AUTHENTICATION CERTIFICATE
Het certificaat dat wordt gebruikt om een verificatie uit te voeren
ENCRYPTION CERTIFICATE
Het certificaat dat wordt gebruikt voor encryptie/decryptie van data
ISSUER CERTIFICATE
Het certificaat dat wordt gebruikt voor validatie van de gelezen kaartgegevens
INTERMEDIATE CERTIFICATE
Het tussenliggende certificaat van de uitgever
ROOT CERTIFICATE
Het rootcertificaat van de uitgever
Mode
Schakelen tussen licht of donker thema. De optie om uit te lijnen met de systeem installingen is eveneens beschikbaar
Talen
De applicatie ondersteunt de vermelde talen. Extra talen kunnen op verzoek worden toegevoegd
Connectie Instellingen
De URL en poort die wordt gebruikt van de geinstalleerde connector. Deze optie is vooral belangrijk als je een andere instantie van de connector wenst te gebruiken. Er kunnen meerdere connectoren op één apparaat worden geïnstalleerd, deze optie kan bijvoorbeeld een ontwikkel-, acceptatie- of productievariant koppelen.
Lezer naam
Toont de naam van de systeemlezer en de technische id van de lezer (de lezer-id die wordt gebruikt bij programmatische interactie)
Modules
Toont alle beschikbare modules. Een module wordt automatisch geselecteerd wanneer een kaart wordt gedetecteerd en herkend. Lees voor meer informatie over moduleselectie en override:#card-atr
Voorgestelde Modules
De door de Trust1Connector voorgestelde module. Wanneer een kaart wordt herkend, wordt het voorgestelde schema voor kaartinteractie geselecteerd door de afgeleide module in te stellen. De voorgestelde module heeft een identificator die kan worden gebruikt als module-selector tijdens integratie en een optionele beschrijving bij herkenning.
PinPad
Toont of de kaartlezer een pinpad heeft, afgeleid door de Trust1Connector. Niet-herkende lezers kunnen indien nodig worden toegevoegd aan de connector
Kaart Ingestoken
Bepaalt wanneer een smartcard of token voor de lezer is gevonden. Dit kan een smartcard in een leesapparaat zijn, of een token met een ingebed beveiligd element
Acties
Acties die zijn toegestaan op de geselecteerde lezer. Als deze optie is geselecteerd, wordt een volledige dump van een token gestart met de betreffende connector
Kaart lezers
Lijst van alle lezers en interactie met smartcards of fysieke tokens
Admin
Administratiepagina met apparaatinformatie, gebruikersinformatie en statusinformatie voor afhankelijkheden
Bestand Verkenner
Voorbeeldimplementatie van de bestandsverkenner-module. Maakt een abstracte toewijzing van mappen in de webapplicatie mogelijk, onafhankelijk van het onderliggende besturingssysteem
Contact
Een contactpagina om in contact te komen met Trust1Team voor verbeteringen en productgerelateerde vragen
De gebruiker "heeft" een token en "kent" een pincode
Ga voor meer diepgaande details over de technische stroom voor PIN-validatie naar:
Een gebruikersauthenticatie kan worden uitgevoerd vanuit de ReadMyCards toepassing. Onderaan de pagina zijn er 3 use cases beschikbaar:
verifieer gebruiker met browser OF besturingssysteem pin dialoog
een PDF-document uploaden als voorwaarde voor het uitvoeren van een digitale handtekening
een PDF-document digitaal ondertekenen
De Trust1Connector vraagt de gebruiker om een PIN bij het uitvoeren van een authenticatie of een digitale handtekening. Wanneer een gebruiker de PIN in een browserdialoogvenster invoert, heeft de Trust1Connector de nodige functies in de SDK om de PIN te versleutelen die vanuit de browser naar de Trust1Connector instantie wordt verzonden. De redenering achter deze aanpak is:
de Trust1Connector vertrouwt NIET de lokale browser: de browser kan bijvoorbeeld corrupt zijn met een 'malafide' plugin;
er zal geen pincode zichtbaar zijn in de 'debug console' van de browser applicaties, behalve bij het presenteren van een geldig token en bij het uitvoeren van een sleuteluitwisseling voorafgaand aan het gebruik van de connector
Als u de optie 'Pin-dialoog besturingssysteem gebruiken' inschakelt, vraagt u om het invoeren van de pincode in de browser te negeren door het invoeren van de pincode te delegeren aan het besturingssysteem.
Als deze optie is ingeschakeld, zal de Trust1Connector het onderliggende besturingssysteem vragen om de PIN-invoer af te handelen.
Dit betekent dat de PIN-invoer VOLLEDIG gescheiden is van de webtoepassing of browser.
Dit onderwerp heeft verschillende motivaties, afhankelijk van de use case en het beveiligingsbeleid dat in een organisatie wordt toegepast. De Trust1Connector wil een veilige implementatie garanderen voor beide genoemde gebruikssituaties.
Als de use case succesvol is afgerond, verschijnt rechtsboven korte tijd het volgende bericht:
File Explorer Functionalities
Als u het menu 'File Explorer' selecteert, verschijnt het volgende scherm:
De Bestandsverkenner contextualiseert het toewijzen van mappen op basis van de verbonden toepassing (virtueel gedaan met behulp van een toepassingsidentificatie).
Elke toepassing kan een of meer 'entiteiten' hebben. De voorbeeldentiteit die in deze toepassing wordt gebruikt, heet 'RMC'. Je kunt meer applicatie-entiteiten definiëren met behulp van de Trust1Connector.
Voor de voorbeeldtoepassing is er één voorgedefinieerd.
Binnen een Entiteit kunnen een of meer mapkoppelingen worden gedefinieerd, dit wordt een 'Type' mapping genoemd.
Het komt erop neer dat je een virtuele naam aanmaakt en deze koppelt aan een bestaande map op je lokale apparaat. Selecteer de knop 'Type aanmaken en locatie toewijzen':
Na het definiëren van de naam verschijnt er een bestandskiezer van de Trust1Connector, nu kun je een map aanmaken en selecteren. De map wordt gekoppeld aan het 'type', wat betekent dat alle bestanden in de map beschikbaar worden voor de webapplicatie. Hiervoor is toestemming van de gebruiker nodig:
Het resultaat van het aanmaken en toewijzen van bestanden wordt weergegeven in het hoofdapplicatieoverzicht:
De gebruiker "heeft" een token en "kent" een PIN voor de toepassing van een digitale handtekening met behulp van een PDF-document
Ga voor meer diepgaande details over de technische stroom voor PIN-validatie naar:
Een gebruiker kan een document digitaal ondertekenen met ReadMyCard.
Onderaan de pagina zijn 3 use cases beschikbaar:
gebruiker authenticeren met browser OF besturingssysteem pin dialoog
een PDF-document opladen als voorwaarde voor het uitvoeren van een digitale handtekening
een PDF-document digitaal ondertekenen
De Trust1Connector vraagt de gebruiker om een PIN bij het uitvoeren van een authenticatie of een digitale handtekening. Wanneer een gebruiker de PIN in een browserdialoogvenster invoert, heeft de Trust1Connector de nodige functies in de SDK om de PIN te versleutelen die vanuit de browser naar de Trust1Connector instantie wordt verzonden. De redenering achter deze aanpak is:
de Trust1Connector vertrouwt NIET de lokale browser: de browser kan bijvoorbeeld corrupt zijn met een 'malafide' plugin;
er zal geen pincode zichtbaar zijn in de 'debug console' van de browser applicaties, behalve bij het presenteren van een geldig token en bij het uitvoeren van een sleuteluitwisseling voorafgaand aan het gebruik van de connector
Als u de optie 'Pin-dialoog besturingssysteem gebruiken' inschakelt, vraagt u om het invoeren van de pincode in de browser te negeren door het invoeren van de pincode te delegeren aan het besturingssysteem. Als deze optie is ingeschakeld, zal de Trust1Connector het onderliggende besturingssysteem vragen om de PIN-invoer af te handelen. Dit betekent dat de PIN-invoer VOLLEDIG gescheiden is van de webtoepassing of browser.
Dit onderwerp heeft verschillende motivaties, afhankelijk van de use case en het beveiligingsbeleid dat in een organisatie wordt toegepast. De Trust1Connector wil een veilige implementatie garanderen voor beide genoemde gebruikssituaties.
Als de use case succesvol is afgerond, verschijnt rechtsboven korte tijd het volgende bericht:
Met de ReadMyCard toepassing kan een gebruiker een PDF-document ondertekenen met behulp van het baseline PAdES-LTV profiel (Long Term Validation). Dit is het formaat voor langlevende handtekeningen. Met dit profiel kunt u de geldigheid van handtekeningen in PDF-formaat onbeperkt verlengen. Het kan gebruikt worden in combinatie met andere PAdEs profielen. Dit profiel wordt gebruikt om validatie te garanderen vele jaren nadat de handtekening is voltooid. Het garandeert validatie op lange termijn.
U kunt beginnen met het uploaden van een PDF-document door de 'file-drop'-zone te selecteren of door een bestand naar de 'file-drop'-zone te slepen.
Zodra een bestand is geüpload, verschijnt de bestandsnaam in de dropzone.
Start de handtekeningstroom met 'Onderteken geüpload document':
Als de flow succesvol is voltooid, wordt het volgende pop-upvenster weergegeven:
Vanuit de pop-up kun je:
het ondertekende PDF-document downloaden (via de downloadlink)
de pop-up sluiten en teruggaan naar het vorige scherm
Het openen van het document in Adobe Acrobat Reader demonstreert de toepassing van de digitale handtekening.
Door de details van de handtekening te openen, kunnen de eigenschappen van de handtekening worden gecontroleerd:
Er zijn geen garanties voor de gedocumenteerde eigenschappen van de ReadMyCards toepassing. Aangezien de applicatie voor demodoeleinden kan worden gewijzigd, kunnen sommige details na verloop van tijd veranderen.
Trust1Connector Web Applicatie en Diagnostiek
De webtoepassing ReadMyCards is een voorbeeld implementatie van de Trust1Connector. De applicatie faciliteert de volgende use cases:
Visualiseer beschikbare smartcard lezers en fysieke tokens
Ophalen van certificaten, certificaat lijsten
Visualiseren van smartcards en fysieke tokens personalisatie-informatie
Verificatie van gebruikers
Een PDF-document digitaal ondertekenen
Inhoud afdrukken naar beschikbare printers
Lokale bestandstoewijzing voor uploaden, downloaden en synchroniseren van bestanden
ReadMyCards is beschikbaar op: https://rmc.t1t.io/
Dit document beschrijft de beschikbare functionaliteiten voor ReadMyCards en hoe dit waardevol kan zijn voor partners en eindgebruikers.
OS-onafhankelijk en veilig bestandsbeheer voor webtoepassingen
Met de bestandsuitwisselingscontainer kan Trust1Connector bestanden en mappen beheren en bestanden uploaden naar of downloaden van het bestandssysteem van of naar de aanvragende partij (vooral voor webtoepassingen).
De gebruiker van het apparaat moet toestemming geven voor bestandsoperaties. De File Explorer biedt een gecontroleerde en beveiligde abstractie voor bestandsoperaties.
De Bestandsuitwisselingscontainer biedt de volgende functionaliteiten:
selecteren van een map op basis van applicatietype
bestanden in het geselecteerde toepassingstype weergeven
een of meer bestanden downloaden naar het geselecteerde applicatietype
een of meer bestanden uploaden vanuit het geselecteerde applicatietype
submappen maken in 'gemapte' mappen (toepassingstypes)
De Trust1Connector staat NIET toe dat mappen of bestanden op het apparaat van de gebruiker worden verwijderd.
Een applicatietype verwijst lokaal naar een absoluut bestandssysteempad. Een applicatie kan extra mappen maken voor een bepaald applicatietype, deze mappen zijn relatief ten opzichte van het absolute pad dat lokaal is toegewezen aan het applicatietype. Dit betekent dat de webtoepassing de gebruiker kan vragen om submappen aan te maken in een applicatietype dat al in kaart is gebracht.
De bestandsuitwisselingscontainer biedt bovendien
optionele gebruikersmelding voor voltooiing van bestandsoverdracht
bestanden kopiëren en verplaatsen tussen applicatietypes
toestemming van de gebruiker om de consumerende applicatie bestandsbewerkingen te laten uitvoeren
toepassing/domein scoped, toepassingstypen zijn gebonden aan het toepassingsdomein
OS native bestands- en mappenkiezer dialogen
Gedetailleerde documentatie voor ontwikkelaars is te vinden in de technische documentatie:
Voor een bestaand 'Type' (zie Overzicht) kun je een nieuwe map aanmaken in de hoofdmap:
Een bestand kan worden geüpload naar de webapplicatie vanaf het lokale apparaat.
Wanneer bestanden naar de gekoppelde map worden gekopieerd (gekoppeld aan de 'type'-definitie), zullen de bestanden ook verschijnen/beschikbaar zijn in/voor de webtoepassing. Vergeet niet dat de webapplicatie recursief toegang heeft tot alle gegevens van de hoofdmap.
Na het selecteren en bevestigen van de bestandsupload wordt het bestand weergegeven in het applicatieoverzicht
Als een bestand is geselecteerd, zijn er extra opties beschikbaar:
bestand downloaden
bestand afdrukken
bestand hernoemen
bestand verplaatsen
bestand kopiëren
De betekenis van 'Bestand downloaden' is vanuit het perspectief van het lokale apparaat - aka - het lokale apparaat downloadt een bestand vanuit de webapplicatie (uploaden en downloaden MOET worden gezien vanuit het perspectief van het lokale apparaat).
Bij het downloaden van een bestand kan de gebruiker dit natuurlijk in elke systeemmap doen.
De Trust1Connector heeft een printermodule ingeschakeld, wat betekent dat een printer (beschikbaar op het besturingssysteem) kan worden geselecteerd en geactiveerd voor een afdruktaak.
Hernoem een bestand vanuit de webapplicatie zoals dat het geval zou zijn op het lokale besturingssysteem.
Verplaats een bestand vanuit de webapplicatie zoals het geval zou zijn met het lokale besturingssysteem, maar met de extra beperking dat dit alleen kan worden gedaan tussen toegankelijke mappen, of binnen dezelfde map. Het verplaatsen van bestanden naar ontoegankelijke mappen is niet toegestaan en zal worden verhinderd door de Trust1Connector.
Kopieer een bestand vanuit de webapplicatie zoals het geval zou zijn vanuit het lokale besturingssysteem, maar met de extra beperking dat dit alleen kan tussen toegankelijke mappen, of binnen dezelfde map. Het kopiëren van bestanden naar ontoegankelijke mappen is niet toegestaan en zal worden verhinderd door de Trust1Connector.
| Nr | Functie | Beschrijving |
|---|---|---|
1
Type - gekoppeld aan lokale (root)-folder
Map die fungeert als een geïsoleerde bestandsruimte voor de webapplicatie
2
Bestand Opladen
Upload een bestand van uw webapplicatie naar het lokale bestandssysteem
3
Map aanmaken
Nieuwe map maken binnen het geselecteerde 'Type'
4
Type aanmaken
Een andere/nieuwe Type mapping toevoegen
5
Type verwijderen
Verwijdert alleen de virtuele toewijzing, NIET de echte gegevens van het lokale apparaat