OSsign: Unterschriften-Pad: Biometrische Integration

Der folgende Artikel beschreibt die technische Integration von Unterschriften-Pads für die biometrische Verifikation. Die Unterschrift ist ein anerkanntes Authentifizierungsmerkmal. Lesen Sie hierzu auch folgende Informationen zu den charakteristischen Merkmalen der Unterschrift.

Folgende Unterschriften-Pads werden unterstützt (USB, Netzwerk, seriell):

---

Welchen Vorteil bieten Unterschriften-Pads?

Die UVV-Kassen ermöglicht das Einbeziehen von Kunden in bestimmte Auszahlungsvorgänge. Wenn der Kunde z.B. vorbestelltes Geld abholen möchte, kann dieser Kunde bei der Auszahlung (Fachöffnung) in einer PLUS-Geschäftsstelle mitwirken. Der entscheidende Vorteil ist, dass der Mitarbeiter zusammen mit dem Kunden auch die Ausgabe einer Whitecards im 4-Augen-Prinzip autorisieren kann und kein zweiter Mitarbeiter für den Vorgang erforderlich ist. Der Kunde verifiziert sich „biometrisch“ mittels Unterschrift. Unterschriften-Pads können natürlich optional auch zur biometrischen Verifikation von zwei Mitarbeitern genutzt werden. Zur Mitarbeiter-Autorisierung ist jedoch die Fingerprint-Biometrie emp­foh­len.

---

Welche Grundvoraussetzungen müssen erfüllt sein?

Für die Nutzung der Unterschrift als biometrisches Merkmal sind keine besonderen Voraussetzungen erforderlich. Neue Unterschriften-Pads können von SAFECOR bezogen werden und es lassen sich bestehende Unterschriften-Pads in OSsecure integrieren. Sofern bereits Unterschriften-Pads vorhanden sind, wird technisch dahingehend unterschieden, ob die Bank signotec SignoSign bereits mit Biometrie (UPS Server) oder nur für die Signierung nutzt. OSsecure unterstützt sowohl bestehende biometrische Unterschriften, als auch (neue) biometrische Unterschriften ohne signotec UPS Basisisystem (Unterschriftprüfsystem Server). Die folgende Prozess-Darstellung zeigt die unterschiedlichen Möglichkeiten/Varianten:

Grundvoraussetzungen Unterschriften-PAD (Unterschiede Variante A und B) inkl. Preise

Die folgende Anleitung geht das von aus, dass signotec SignoSign als Software-Komponente, sowie die Treiber des Unterschriften-Pads bereits installiert sind. Das Pad ist also bereits einsatzfähig und in Verwendung. Die Anleitung beschreibt die biometrische Integration der Pads in OSsecure. Sofern bei der Inbetriebnahme des Pads Hilfestellung benötigt ist, wenden Sie sich bitte an unseren oder an den Support von signotec.

---

Welche biometrischen Verfahren und Techniken stehen zur Verfügung?

OSsecure unterstützt alle (zwei) technischen Verfahren zur Integration der Unterschrift (siehe PDF-Grafik „Voraussetzungen Biometrie: Variante A und B“).

Variante A: Es sind bereits biometrische Unterschriften vorhanden.
Es können bestehende Unterschriften der Kunden für die Verifikation in OSsecure-System genutzt werden. In diesem Fall steht in der Bank bereits ein signotec UPS Basis-System (Unterschriftprüfsystem Server) zur Verfügung. Auf dem UPS Server muss ggf. ein zusätzlicher Dienst installiert werden (das Gegenstück zur signo VerifyAPI, WCF-SERVICE, siehe Verify Schnellstart Anleitung). Im Vorfeld der Inbetriebnahme werden die Dateien „signoVerify_WCFSerivce.dll.config“ und „Web.config“ aus dem Ordner „%PROGRAMFILES%\signotec\signoVerify API\WCFService“ des UPS Servers benötigt. Diese enthalten Konfigurationsparameter für die Installation von OSsign auf dem Client.

Variante B: Es sind noch keine biometrischen Unterschriften vorhanden
In der Bank existiert kein signotec UPS Basis-System (Unterschriftprüfsystem Server). Es wurden entweder noch keine Unterschriften-Pads genutzt oder diese wurden ausschließlich für die elektronische Signatur verwendet. In diesem Fall übernimmt OSsecure die Funktion des Biometrie-Servers.

In beiden Varianten ist oder wird das Unterschriften-Pad am Client-Arbeitsplatz (Bankarbeitsplatz) angeschlossen. Auf dem Client-Arbeitsplatz muss OSsign als Software-Komponente installiert, konfiguriert und gestartet sein. OSsign ist die Software-Komponente, welche die Kommunikation zwischen Unterschriften-Pad und OSsecure steuert.

---

Können auch bereits bestehende biometrische Unterschriften intergiert werden?

Ja, es lassen sich bestehende Unterschriften der Kunden, als auch die der Mitarbeiter (siehe Variante A) integrieren. Der Verifikations-Score, bzw. das Ergebnis der biometrische Überprüfung lässt sich individuell für die Kunden-Gruppe und die Mitarbeiter-Gruppe in der Client-Komponente von OSsign einstellen.

---

Installation und Konfiguration

Die Anbindung von Unterschriften-Pads besteht aus zwei Schritten und Komponenten. 1. Schritt: OSsign Installation auf dem Client-Arbeitsplatz (Bankarbeitsplatz) und 2. Schritt OSsecure-Konfiguration.

Client-Arbeitsplatz (Bankarbeitsplatz): OSsign Installation

Das Pad ist via USB am Arbeitsplatz angeschlossen. Auf dem Client-Arbeitsplatz (Bankarbeitsplatz) wird OSsign installiert, konfiguriert und gestartet. OSsign steuert die Kommunikation zwischen Unterschriften-Pad und OSsecure. Bei der Variante B (siehe oben) sind zuvor zwei zusätzliche Installationsschritte erforderlich. Sofern Sie die Variante A nutzen, starten Sie bitte mit Punkt 3.

1. Nur Variante B: Bitte installieren Sie Microsoft .Net (dotNet).
2. Beide Varianten: Bitte laden Sie sich die aktuelle OSsign-Version herunter und entpacken den Ordner.
3. Nur Variante B: Bitte installieren Sie signotec_Biometric_API_1.0.3.exe (im OSsign Ordner enthalten)
4. Nur Variante B: Bitte lizenzieren Sie die Biometrie-API mit dem signotec Lizenz-Tool. Führen Sie hierzu das Programm „Signotec-Lizenz.exe“ auf dem jeweiligen Arbeitsplatz aus. Wählen Sie „signoKernel“ und wählen Sie signotec-Telefon: 02102-5357518. Je Arbeitsplatz fallen 95 EUR Lizenzgebühren an. (In Variante A ist dieser Schritt nicht erforderlich, da die signotec Komponente bereits lizenziert wurde.)
5. Beide Varianten: Kopieren Sie den OSsign Ordner unter „%PROGRAMFILES%\OSsign\„. Sie können OSsign auch auf einem Netzwerklaufwerk installieren.
6. Nur Variante A: Passen Sie die Datei „OSsign.exe.config“ an und editieren Sie die Parameter zwischen <system.serviceModel> und </system.serviceModel>. Die Angaben für die Parameter finden Sie auf Ihrem UPS-Server unter „%PROGRAMFILES%\signotec\signoVerify API\WCFService\signoVerify_WCFSerivce.dll.config„. Es handelt sich um die Metadaten. Sofern der Ordner oder die Datei noch nicht vorhanden ist, muss dieser signotec Dienst noch zusätzlich auf dem Server installiert werden (das Gegenstück zur signo VerifyAPI, WCF-SERVICE, siehe signoVerify API Schnellstart).
7. Beide Varianten: OSsign sollte automatisch starten, sobald Windows startet (Autostart). Melden Sie sich als Administrator am System an und wechseln Sie in den folgenden Ordner: „C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup“ oder einfach: ► Start ► Alle Programme ► Rechtsklick auf Autostart ► Öffnen – Alle Benutzer
8. Beide Varianten: Legen Sie eine Verknüpfung für die „OSsign.exe“ an: ► Rechtsklick ► Neu ► Verknüpfung. Suchen Sie jetzt den Pfand zum Installationsordner von OSsign. Bei der Installation auf einem Netzwerklaufwerk verwenden Sie bitte den smb-Pfad (z.B. „//server.gad.de/yxertt34/urs/prog/ossign/ossign.exe„) – verwenden Sie nicht das Netzwerklaufwerk, da dieses erst bei der Benutzeranmeldung zur Verfügung steht (gemappt wird) und daher noch nicht für einen „Autostart“ zur Verfügung steht. Wenn die Benutzeranmeldung am PC mit einem in den Rechten eingeschränkten TEAMUSER im FIDUCIA Umfeld erfolgt, dann ist die Autostart-Funktion bei jenem TEAMUSER nicht möglich. Hier können Sie bei der FIDUCIA eine GPO erstellen lassen, die den Aufruf auch für den TEAMUSER als angemeldeter Benutzer erlauben wird oder Sie benennen OSsign um, in eine von den GPO berechtigten Services. Beispiel: Benennen Sie die „OSsign.exe“ in „skytel.exe“ und die OSsign-Config-Datei in „skytel.exe.config“ um (Voice Manager von Realtek Semiconductor). Erstellen Sie nun die Autostart-Verknüpfung auf jene Datei.
9. Beide Varianten: Starten Sie OSsign. In der Taskleiste neben der Uhr finden Sie das OSsign Symbol (siehe rechts). Mit einem Rechtsklick auf das Symbol gelangen Sie in die Einstellungs-Menüs.

Die „Pad-Einstellungen“ zeigen Ihnen das angeschlossene Pad (in diesem Beispiel Device 0). Klicken Sie auf „Verbinden„, sofern das Pad noch nicht für die Kommunikation geöffnet ist.
Standardmäßig wird nur nach per USB angeschlossenen Pads gesucht. Ist Ihr Pad über eine serielle Schnittstelle anschlossen (das gilt auch für Virtuelle COM-Ports mit Seriell- auf USB-Wandler), müssen Sie die Einstellung „COM-Port durchsuchen“ aktivieren. Haben Sie keine weiteren per serieller Schnittstelle kommunizierender Geräte an Ihrem Rechner angeschlossen, dann können Sie die Auswahl auf „Alle LowSpeed“ belassen. Alternativ bzw. bei weiteren Geräten mit serieller Schnittstelle können Sie auch den COM-Port direkt auswählen.
Weiter können Sie auch nach Pads suchen, die über einen AK USB-Deviceserver per IP angeschlossen sind. Aktivieren Sie hierzu die Einstellung „IP-Adresse durchsuchen“ und hinterlegen Sie IP und Port beispielsweise „192.168.5.81:1002“.

Sofern das Pad nicht auftaucht, kann es an der Pad Konfiguration liegen. Rufen Sie sich (sofern Ihnen in den OSsign Pad Einstellungen kein Gerät angezeigt wird), bitte im Signotec Programmverzeichnis das folgende Tool (1) mit Admin-Rechten auf. Aktivieren Sie ggf. VCOM (2), sofern es sich um ein über USB-COM-Wandler angeschlossenes Pad handelt. Gehen Sie auf Search (3). Es sollte ein Pad links auftauchen. Ziehen Sie dieses Pad von der linken Liste (not configured) mit der Maus nach rechts (4) zur Liste der „Configured Pads“. Schließen Sie das Tool über den Button „Save Close“.

In den „OSsign-Einstellungen“ muss die IP-Adresse oder der Hostname des OSsecure-Systems (Tagestresors) hinterlegt werden. Prüfen Sie zunächst, ob die IP-Adresse/der Hostname erreichbar ist, indem Sie sich das Gerät im Web-Browser aufrufen. Wählen Sie anschließend für Variante A „SignoVerify SignoSign“ oder für Variante B „SignoBiometrie (OSsecure)“. Ändern Sie alle anderen Parameter nur nach Rücksprache mit unserem Support.

Der Punkt „Über OSsign“ zeigt Ihnen den aktuellen Status und mögliche Fehler der OSsign Komponente. Sie können hier prüfen, ob eine Kommunikation mit OSsecure, bzw. dem Tagestresor möglich ist. In der Variante A wird Ihnen auch der Status, bzw. die Verbindung zum UPS-Server als Status angezeigt (in der Variante B wird der SignoVerify Status als „n.n.“ angezeigt).

---

OSsecure-Konfiguration

In OSsecure muss OSsign aktiviert werden: ► Systemverwaltung ► System einstellen ► OSsign aktivieren (Speichern Sie die Einstellungen und starten Sie das System neu)

Nach der Aktivierung steht Ihnen die Unterschriften-Pad Funktion zur Verfügung: ► Konfiguration ► OSsign Einstellungen

Aktivieren Sie alle Unterschriften-Pads unter dem Punkt OSsign Clients, welche mit OSsecure kommunizieren dürfen. Prüfen Sie anschließend den Status am Bankarbeitsplatz mit einem Rechtsklick auf OSsign ► „Über OSsign“. Der Status muss „OK“ zeigen.

Wählen Sie bei OSsign VerifyAPI für die Variante A (siehe oben): SIGNO_VERIFY oder für die Variante B: SIGNO_BIOMETRICS und speichern Sie die Einstellung. Für die Variante B (SIGNO_BIOMETRICS) sind die Konfigurationseinstellungen abgeschlossen. In der Variante A (SIGNO_VERIFY) sind weitere Einstellungen vorzunehmen.

Nur für Variante A (SIGNO_VERIFY): Sie haben verschiedene Möglichkeiten (siehe Screenshot und Tabelle):

	a) deaktiviert	b) aktiviert	c) aktiviert, nur Depotfächer
1. Tech- nischer Dummy	Der Kunde, welcher unterschreibt, wird gegenüber dem OSsecure-System immer als Dummy gewertet. Es greifen also immer die Berechtigungen des technischen Dummy-Users. Dieser muss zuvor in OSsecure angelegt und berechtigt worden sein. Bei dieser Funktion sind also alle SIGNO VERIFY Kunden (in der Signotec Datenbank erfassten Kunden) für OSsecure „gleich“. Die Kunden verifizieren sich (mit Ihrer Kundennummer und Unterschrift) – werden aus Sicht des OSsecure-Systems jedoch immer als gleicher „technischer Benutzer“ behandelt. Diese Funktion ist sinnvoll, wenn auf das zusätzliche Anlegen der bereits in Signotec vorhandenen Kunden im OSsecure-System verzichtet werden soll. Der Mitarbeiter muss dann „eigenständig“ darauf achten, dass nur jener Kunde mit dem Mitarbeiter zusammen das Fach öffnet, welcher auch Geld vorbestellt hatte (und nicht ein anderer, bereits erfasster Kunde). ► Legen Sie einen technischen Benutzer in den Stammdaten an und berechtigen Sie diesen Benutzer für alle Fächer (oder Whitecards), bei denen der Kunde mitwirken darf. Legen Sie ggf. eine separate (neue) Berechtigungs-Rolle an. Wählen Sie anschließend unter ► Konfiguration ► OSsign ► Kunden Benutzer diesen technischen Benutzer aus. Speichern Sie die Einstellung. Sofern die Unterschrift des (echten) Kunden vom UPS-Server verifiziert wurde, wird der Kunde innerhalb von OSsecure mit dieser technischen Berechtigung geführt. Für die Dokumentation wird in den Log-Daten von OSsecure der technische Benutzer inkl. der (echten) signotec Kundennummer protokolliert.	Der Kunde wird immer zum OSsecure-Benutzer gemappt. Bei dieser Funktion wird die Berechtigung des Kunden zwischen SIGNO VERIFY (der Signotec Datenbank) und der OSsecure Datenbank „gemappt“ (abgeglichen). Ist dies nicht möglich, dann ist die Authentifizierung fehlgeschlagen. Der Dummy wird ignoriert. Die Kundenummer muss also in beiden Systemen vorhanden sein. Der Kunde, bzw. die Kundennummer muss in OSsecure (als ID-Nr) angelegt und berechtigt sein. Die Funktion ist immer dann sinnvoll, wenn einem Kunden ein Depotfach zugeordnet werden soll und nur dieser Kunde auch bei der Öffnung des Faches mitwirken kann. Im Unterschied zur Variante „technischer User“, wo theoretisch alle in Signotec erfassten Kunden bei der Fachöffnung mitwirken können. ► Wählen Sie unter ► Konfiguration ► OSsign ► Kunden Benutzer „Benutzer aus Kundennummer“. Speichern Sie die Einstellung. Achten Sie bei der Depotfachverwaltung darauf, dass die Kunden in OSsecure erfasst werden und im Feld ID-Nr. beim Anlegen des Kunden die Kundennumemr steht, welche der Kunde auch in der Signotec Datenbank hat. Hier ist die Konfiguration der Depotfachverwaltung beschrieben.	Der Kunde wird nur dann (wie bei b) zum OSsecure-Benutzer gemappt, wenn das zu öffnende Fach einer Rolle zugeordnet ist, der die Programmfunktion „Berechtigung für Benutzer von Depotfächern“ zugeordnet ist*. In allen anderen Fällen ist der Kunde der Dummy (wie bei a). Mit dieser Funktion besteht also die Möglichkeit Depotfächer nur einem bestimmten und im OSsecure-System erfassen Kunden zuzuordnen und nur dieser Kunde kann auch bei der Öffnung mitwirken. Es können jedoch alle Kunden aus der SIGNO VERIFY Datenbank bei der Whitecard mitwirken (auch wenn diese nicht in OSsecure erfasst sind).
2. Kein Benutzer	Der Kunde kann zwar unterschreiben, aber es gibt keinen Benutzer in OSsecure. Die Einstellung macht daher eigentlich keinen Sinn (weil ja nichts passiert), aber der Vollständigkeit halber ist diese mit aufgeführt.	Die gleiche Funktion wie oben – technischer Dummy und b) aktiviert. Der Kunde wird immer zum OSsecurebenutzer gemappt. Ist dies nicht möglich, dann ist die Authentifizierung fehlgeschlagen.	Der Kunde wird nur dann zum OSsecure-Benutzer gemappt, wenn das zu öffnende Fach eine Rolle zugeordnet ist, der die Programmfunktion „Berechtigung für Benutzer von Depotfächern“ zugeordnet ist*. In allen anderen Fällen kann der Kunde sich nicht authentifizieren (ist also nicht der Dummy wie oben).

* damit ist nicht die Systemrolle „Benutzer eines Depofaches“ gemeint. Diese hat diese Programmfunktion nicht. Es ist die Programmfunktion „Berechtigung für Benutzer von Depotfächern“ gemeint, welche im Standard der vorgefertigten Berechtigungsrolle „Depotnutzer“ zugeordnet ist, aber auch beliebigen anderen Deponutzerrollen zugeordnet werden kann. Siehe Anleitung Depot Punkt 3 und 4.

Konfigurations-Beispiel (Variante A):
Für die Whitecard-Ausgabe zusammen mit (allen) Kunden und eine Depotfachnutzung für einen speziellen Kunden (nicht alle) würde man nun folgendes konfigurieren:

• In OSsign wird ein Sammelbenutzer/Dummy ausgewählt und darüber hinaus die Einstellung „aktiviert, nur Depotfächer“ gesetzt.
• Die Kartenausgabe bekommt die Rolle „Benutzer eines Depofaches“ zugeordnet. Damit kann der Kunde ohne in OSsecure hinterlegt zu sein über den Dummy die Karte mit ausgeben.
• Das Depotfach bekommt eine Rolle „Depotnutzer“ zugeordnet, der die Programmfunktion „Berechtigung für Benutzer von Depotfächern“ zugeordnet ist. Der Kunde wird in
• OSsecure mit seiner Kundennummer als ID-Nr/Personalnr angelegt und dem Depotfach zugeordnet. Damit kann der Kunde als er selbst das Depotfach öffnen.
• Wichtig fürs Verständnis bei der genannten Einstellung: Selbst wenn der Kunde in OSsecure angelegt ist, aber nicht aktiv ist und mit keiner Berechtigung dem Fach/der Karte zugeordnet ist, kann er jederzeit eine Karte mit ausgeben, weil er in diesem Fall nicht er selbst, sondern der Dummy ist.

---

Anwendung: Ein Fach mit Unterschrift öffnen

Folgende Voraussetzungen müssen erfüllt sein, um an einem Freigabe-Prozess in OSsecure mitwirken zu können. Im Folgenden wird beispielhaft beschrieben, wie ein Fach geöffnet wird.

Um ein Fach zu öffnen, gehen Sie bitte wie folgt vor:

• Rufen Sie sich das Menü ► Steuerung ► Tagestresor auf und wählen Sie das Fach an.
• Klicken Sie im Authentifizierung-Dialog auf ► OSsign, um sich via Unterschrift zu authentifizieren.
• Geben Sie in der Variante A die Kundennummer (ID-Nummer) oder in Variante B die Mitarbeiternummer (PersonalNr.) ein.
• Sofern Sie mehrere Unterschriften-Pads angeschlossen haben, wählen Sie bitte das Pad aus, auf welchem Sie unterschreiben möchten.
• Folgen Sie nun dem Dialog auf dem Unterschriften-Pad.
• Sie können die erforderlichen Authentifikationen auch mit einem Fingerprint kombinieren (Unterschrift + Finger).

Beispiel-Dialog Variante A:

Beispiel-Dialog Variante B:

Dialog für die Auswahl mehrerer Unterschriften Pads (Variante A). Auf dem gewählten Pad kann unterschrieben werden.

Nach Eingabe der ID-Nummern erscheint der Warte-Dialog. Folgen Sie nun den Anweisungen auf dem Unterschriften-Pad:

---

Anwendung Unterschrift in OSsecure erfassen

Bei der Variante B (SIGNO_BIOMETRICS) werden die Unterschriften in OSsecure erfasst und biometrisch in OSsecure ausgewertet. Erfassen Sie die Unterschriften im Menü ► Konfiguration ► Stammdaten im Dialog ► Authentifizierung bearbeiten. (In der Variante A werden die Unterschriften im signotec System erfasst.)

• Erfassen Sie die Unterschrift min. dreimal.
• Klicken Sie auf die Schaltfläche „neue Unterschrift“ und folgen Sie den Anweisungen auf dem Pad. Sofern mehrere Unterschriften Pads mit OSsecure verknüpft sind, wird der Dialog auf allen Pads angezeigt. Es ist also unerheblich, auf welchem der angeschlossenen Pads die Unterschrift erfolgt.
• Klicken Sie auf die Grafik einer Unterschrift, um diese zu löschen.

---

Möglich Fehlerquellen beim Betrieb oder der Installation

OSsign-Programm stürzt auf dem Bankrechner ab, sobald unterschrieben werden soll.
Der bereits einmal autorisierte Bankrechner wurde vermutlich getauscht. Die Autorisierungsschlüssel stimmen daher nicht überein. Beenden Sie OSsign auf dem Bankrechner. Löschen Sie die Bankrechner in OSsecure unter Konfiguration > OSsign Einstellungen. Starten Sie OSsign auf dem Bankrecher. Autorisieren Sie den neuen Bankrechner in OSsecure unter Konfiguration > OSsign Einstellungen.

---

Keine Aktivierung der OSsign Clients möglich

Sollten die Signotec-Clients über das Frontend nicht aktivierbar sein…

…bitte folgendermaßen vorgehen:

– Loggen Sie sich bei OSsecure wie gewohnt als Admin ein
– Öffnen Sie dann bitte im gleichen Browser einen neuen TAB
– Rufen Sie dann bitte diese Adresse auf: http://IHRE-IP/configuration/ossign.jsp
– Nehmen Sie dann bitte die gewünschten Einstellungen vor

---