Wanneer eindgebruikers hun wachtwoord opnieuw instellen of hun account ontgrendelen, zijn er altijd veiligheidsrisico’s. Het is niet ongewoon dat een aanvaller zich voordoet als een geldige gebruiker om gebruikersreferenties te stelen. ADSelfService Plus zorgt ervoor dat alleen de beoogde gebruikers toegang tot de selfservice portal krijgen door de identiteit van gebruikers te controleren met de volgende strikte verificatiemethoden:
Administrators kunnen een van de verificatiemethoden kiezen of kunnen opteren voor een combinatie van de beschikbare methoden naargelang hun behoeften.
Gebruikers kunnen zich registreren bij ADSelfService Plus door een aantal persoonlijke vragen te beantwoorden. De antwoorden worden dan veilig en gecodeerd opgeslagen in de database van ADSelfService Plus. Als gebruikers hun wachtwoord opnieuw willen instellen of hun account willen ontgrendelen, moeten ze hun identiteit verifiëren door de eerder gekozen vragen te beantwoorden.
Administrators kunnen de identiteitsverificatie nog versterken door de vragen en de antwoorden te beperken.
Wanneer gebruikers proberen om hun wachtwoord opnieuw in te stellen of om hun account te ontgrendelen, wordt een verificatiecode naar hun mobiele apparaat of e-mailadres verstuurd. Administrators kunnen ook een beveiligde koppeling per e-mail versturen waarmee de gebruiker diens wachtwoord opnieuw kan instellen. Administrators kunnen configureren hoeveel keer een gebruiker verkeerde aanmeldingsgegevens mag invoeren voordat het gebruikersaccount tijdelijk wordt geblokkeerd.
NB: Administrators kunnen ADSelfService Plus zodanig configureren dat het nummer van het mobiele apparaat en het e-mailadres worden gehaald uit de overeenkomstige LDAP-kenmerken in Active Directory.
ADSelfService Plus ondersteunt Google Authenticator, een veelgebruikte verificatie-app voor mobiele telefoons. Gebruikers kunnen zich registreren bij ADSelfService Plus door een QR-code te scannen. Wanneer gebruikers een selfservice-bewerking uitvoeren, moeten ze de Google Authenticator openen en de gegenereerde code invoeren om hun identiteit te verifiëren.
Naast Google Authenticator kunnen administrators ook andere op tijd gebaseerde verificatietools gebruiken, zoals Microsoft Authenticator of Sophos Authenticator.
De meerledige verificatie in ADSelfService Plus ondersteunt Duo Security, een alom vertrouwd toegangsplatform dat bedrijven beschermt door de identiteit van gebruikers te verifiëren. Gebruikers moeten zich registreren bij Duo Security. Wanneer deze verificatieprocedure is ingeschakeld en gebruikers proberen om hun wachtwoord opnieuw in te stellen of om hun account te ontgrendelen, moeten ze een communicatiemodus selecteren (pushmelding, sms of oproep) die Duo Security gebruikt om een verificatiecode te versturen. Als de verificatie met succes wordt voltooid, kunnen gebruikers zelf hun wachtwoord of account beheren.
U kunt RSA SecurID in ADSelfService Plus integreren voor de beveiligde verificatie van gebruikers die toegang tot een netwerkbron willen. Wanneer gebruikers hun wachtwoord opnieuw instellen of hun account ontgrendelen, kunnen ze gebruikmaken van de veiligheidscodes die door de mobiele RSA SecurID-app zijn gegenereerd, hardware tokens of tokens ontvangen per e-mail of sms om zich bij ADSelfService Plus aan te melden.
Met ADSelfService Plus kunnen beheerders RADIUS toevoegen als extra verificatiemiddel. Nadat de administrators RADIUS hebben ingeschakeld, moeten gebruikers hun RADIUS-wachtwoord invoeren om hun identiteit te verifiëren. Zodra het account is geverifieerd, kan de gebruiker doorgaan met de selfservice-bewerking of naar de volgende verificatieprocedure gaan, naargelang vereist door het protocol.
Om te beletten dat kwaadwillende gebruikers meermaals de antwoorden proberen te raden, kunnen administrators een tijdelijke blokkering voor accounts instellen als binnen een bepaalde tijd een opgegeven aantal verkeerde antwoorden wordt gegeven.
Pushmeldingen zijn een van de eenvoudigste en snelste methoden van verificatie. Wanneer pushmeldingen zijn ingeschakeld, krijgen gebruikers een aanmeldverzoek gestuurd naar de mobiele app ADSelfService Plus op hun geregistreerde mobiele aparaat. Ze kunnen het verificatieverzoek goedkeuren of drukken op weigeren voor het verwerpen van onverwachte verzoeken. Wanneer gebruikers zijn geregistreerd, kunnen ze tevens hun wachtwoord opnieuw instellen of hun account ontgrendelen vanuit hun mobiele app met gebruik van pushmeldingen.
Er is niets zo uniek als iemands vingerafdruk. Daarom is verificatie door vingerafdruk een van de eenvoudigste maar toch meest veilige verificatiemethoden. Als het geregistreerde mobiele apparaat van een gebruiker een vingerafdruksensor heeft, kunnen ze hun vingerafdruk gebruiken voor het verifiëren van wachtwoordresets en accountontgrendelingen van de mobiele app ADSelfService Plus.
De mobiele app ADSelfService Plus is het enige dat gebruikers nodig hebben voor het gebruiken van QR-codes voor verificatie. Gebruikers kunnen gewoon de QR-code scannen die wordt weergegeven in hun ADSelfService Plus-webportaal vanaf hun geregistreerde mobiele apparaat om het proces af te ronden.
Een van de meest gebruikte methoden van verificatie zijn op tijd gebaseerde eenmalige wachtwoorden (TOTP's). De mobiele app van ADSelfService Plus genereert TOTP’s die om de minuut veranderen. Gebruikers moeten tijdens het verificatieproces het wachtwoord van 6 cijfers invoeren binnen een specifieke tijdsperiode om de verificatie van hun identiteit af te ronden.
ADSelfService Plus umożliwia administratorom konfigurowanie pytań zabezpieczających opartych na usłudze Active Directory (AD) jako jednej z metod uwierzytelniania wieloczynnikowego w celu weryfikacji tożsamości użytkownika podczas samodzielnego resetowania hasła. Gdy ta metoda jest włączona, pytania bezpieczeństwa są powiązane z atrybutem AD, a użytkownicy są pomyślnie uwierzytelniani, gdy ich odpowiedzi odpowiadają tej konkretnej wartości atrybutu.
Załóżmy na przykład, że administrator wybrał opcję „Jaki jest twój numer ubezpieczenia społecznego”? jako pytanie zabezpieczające oparte na AD i połączyło atrybut niestandardowy użytkownika, którego wartością jest numer ubezpieczenia społecznego. Teraz, gdy użytkownik próbuje zresetować hasło, musi podać swój numer ubezpieczenia społecznego określony w wartości atrybutu niestandardowego jako odpowiedź. Jeśli zostanie wprowadzony niepoprawnie, operacja resetowania hasła zostanie przerwana.
Ponieważ technika ta wykorzystuje atrybuty AD użytkowników, nie muszą one rejestrować się osobno z ADSelfService Plus.
De identiteitsverificatie begint wanneer de gebruiker de ADSelfService Plus-toepassing opent en op de koppeling ‘Wachtwoord opnieuw instellen’ of ‘Account ontgrendelen’ klikt. Nadat de gebruiker diens gebruikersnaam en het domein heeft ingevoerd, voert de ADSelfService Plus-server een aantal veiligheidscontroles uit.
Controle van gerelateerd domein: controleert of de gebruiker tot het opgegeven domein behoort.
Controle van beleidsinstellingen: controleert of de gebruiker is gemachtigd om diens wachtwoord opnieuw in te stellen of om diens account te ontgrendelen via ADSelfService Plus. De ADSelfService Plus-beleidslijnen kunnen zodanig worden geconfigureerd dat eindgebruikers alleen toegang hebben tot bepaalde selfservice-functies.
Controle van registratiestatus: controleert of de gebruiker zich heeft geregistreerd bij ADSelfService Plus door de beveiligingsvragen te beantwoorden, diens mobiele nummer of e-mailadres bij te werken en diens Google Authenticator-account te synchroniseren. Alleen geregistreerde gebruikers mogen hun wachtwoord opnieuw instellen en hun account ontgrendelen.
Controle van geblokkeerde gebruikers: controleert of het gebruikersaccount door de ADSelfService Plus-server wordt belet om selfservice-acties uit te voeren wegens meerdere ongeldige acties. Gebruikers die niet de juiste verificatiecode en/of antwoorden op de beveiligingsvragen invoeren, worden na een bepaald aantal pogingen geblokkeerd door de toepassing. Het aantal pogingen is door de ADSelfService Plus-administrator ingesteld. Dit helpt aanvallen door bots, DOS-aanvallen en andere soorten aanvallen te voorkomen.
Zodra de eerste controles zijn voltooid, verifieert ADSelfService Plus de identiteit van gebruikers door de verificatieprocedures te volgen die de administrator heeft geconfigureerd.
Extra beveiliging: de op sociale media veelgebruikte beveiligingsmethode met vraag en antwoord is niet langer veilig omdat gebruikers vragen en antwoorden kiezen die hackers gemakkelijk kunnen raden of opzoeken. Door verificatiecodes en Google Authenticator toe te voegen aan de identiteitsverificatie heeft ADSelfService Plus accounts veiliger gemaakt.
Gebruiksvriendelijk: door de gemakkelijke toegang tot e-mail en mobiele telefoons zijn die apparaten een eenvoudigere optie voor gebruikers om hun account onderweg te beheren.
Administrator aan de macht: administrators kunnen zelf vrij kiezen welke verificatiemethode ze willen gebruiken voor extra beveiliging of kunnen gewoon alle verificatiemethoden gebruiken.
E-mailmelding bij selfservice voor wachtwoorden: wanneer een gebruiker een selfservice-actie voltooit, ontvangt deze een e-mailmelding van ADSelfService Plus. De e-mailmelding is een waarschuwing in het geval van onbevoegde accountactiviteit en geeft de gebruiker de mogelijkheid om te reageren en verdere schade te voorkomen.
Bespaar Active Directory-gebruikers lange wachttijden bij bellen met helpdesks door ze zelf het wachtwoord opnieuw te laten instellen/account te laten ontgrendelen. Probleemloos wachtwoord veranderen voor gebruikers van Active Directory met ADSelfService Plus ‘Wachtwoord wijzigen’-console.
Krijg naadloze toegang tot meer dan 100 cloud-toepassingen met één klik. Met eenmalige aanmelding voor bedrijven hebben gebruikers toegang tot al hun cloud-toepassingen met hun Active Directory-aanmeldgegevens. Dankzij ADSelfService Plus!
Maak Active Directory-gebruikers bekend dat hun wachtwoord/account binnenkort afloopt door ze deze afloopmeldingen voor wachtwoord/account te e-mailen.
Synchroniseer wijzigingen aan Windows Active Directory-gebruikerswachtwoord/account automatisch over meerdere systemen, inclusief Office 365, G Suite, IBM iSeries en meer.
Zorg voor sterke gebruikerswachtwoorden die verschillende bedreigingen van hackers kunnen weerstaan met ADSelfService Plus door Active Directory-gebruikers te dwingen to voldoen aan wachtwoorden die naleving volgen via weergeven vereisten voor complexiteit voor wachtwoorden.
Portaal waarmee Active Directory-gebruikers hun meest recente gegevens bijwerken en een snelle zoekvoorziening voor het verkennen van informatie over collega’s door het gebruik van zoeksleutels, zoals contactnummer, van de persoon die wordt gezocht
