Tópico Anterior Próximo Tópico

Técnicos

Técnicos são usuários finais com privilégios específicos que lhes permitem realizar tarefas administrativas relacionadas ao produto. Para fazer login no portal ADSelfService Plus e executar tarefas administrativas, os técnicos precisam ser atribuídos a uma licença do ADSelfService Plus. O relatório Configurações do Técnico (Configuração > Ferramentas Administrativas > Técnico) permite monitorar as licenças atribuídas aos técnicos a partir da coluna de Status Licenciamento, que mostra o status da licença de cada técnico.

1. Técnicos baseados em domínio: São técnicos que possuem uma conta no AD. Técnicos baseados em domínio têm controle apenas sobre o domínio ao qual pertencem.
2. Técnicos baseados no produto: Essas contas de técnicos são criadas no ADSelfService Plus e usam as credenciais da conta do produto para autenticação. Técnicos baseados no produto têm controle sobre todos os domínios configurados no ADSelfService Plus.

Técnicos podem ser atribuídos a um destes papéis:

1. Super Admin: Tem controle total sobre toda a aplicação por padrão.
2. Operador: Pode auditar operações e visualizar relatórios na aplicação por padrão.

Como atribuir permissões aos papéis de técnico

1. Vá para Configuração > Ferramentas Administrativas > Técnico..
2. Clique em Configurações de Papel.
3. Selecione o papel desejado no menu suspenso.
4. Agora você pode escolher atribuir ou remover as permissões exibidas.

Como criar um técnico

1. Vá para Configuração > Ferramentas Administrativas > Técnico.
2. Clique no botão + Adicionar Novo Técnico.
3. Selecione o tipo de técnico, papel, domínio e usuários ou grupos nos respectivos menus suspensos.

Importante: Quando Técnico baseado em domínio é selecionado, o técnico criado pode usar suas credenciais de login do Windows para acessar o ADSelfService Plus.
4. Se desejar permitir que o técnico gerencie usuários locais, selecione a opção Delegar gerenciamento de localuser.domain.
5. Se você selecionar Técnico baseado no produto no campo Tipo de Técnico, será necessário inserir as credenciais de login desse técnico.

Importante: Quando Técnico baseado no produto é selecionado, isso cria apenas uma conta no ADSelfService Plus. O técnico não terá uma conta no AD e precisará usar as credenciais que você configurar para fazer login no produto.
6. Clique em Add.

Configurações avançadas

A opção Avançado na página Configurações do Técnico permite configurar as definições de MFA de login e política de senha para técnicos que utilizam autenticação do produto.

MFA de login

Você pode configurar MFA especializado para técnicos usando esta seção.

1. Vá para Configuração > Ferramentas Administrativas > Técnico.
2. Clique em Avançado no canto inferior direito e clique na aba MFA de Login.

3. Ativar MFA durante o login para técnicos que usam autenticação do produto: Ative esta opção se desejar que o ADSelfService Plus solicite aos técnicos do produto os autenticadores MFA configurados durante o login para maior segurança.

Nota: Estas configurações de MFA serão aplicadas a todos os técnicos do produto, incluindo a conta padrão do administrador. Isso resultará no bloqueio das contas sem códigos de backup em caso de falha na MFA. Você pode desbloquear a conta padrão do administrador ou contatar o suporte se a conta padrão do administrador estiver bloqueada.

Se necessário, você também pode optar por redefinir a senha padrão do administrador usando estes passos.

4. O técnico deve satisfazer __ fator(es) de autenticação durante o login: Escolha o número de autenticadores para solicitar aos técnicos durante o login no menu suspenso.
5. Selecione os autenticadores necessários: Escolha os autenticadores que deseja aplicar ao técnico no menu suspenso.
6. Clique em Avançado para acessar mais opções e personalizar as configurações para técnicos.
7. Ocultar CAPTCHA durante o processo de MFA de login em: Especifique as páginas de MFA nas quais você não deseja que o CAPTCHA seja exibido.
8. Limite de tempo ocioso para o processo de MFA de login é de __ min: Especifique o limite de tempo ocioso para o processo de MFA de login. Após o tempo especificado, se o técnico não concluir o processo de verificação, ele terá que passar novamente pela verificação MFA.
9. A opção Confiar neste navegador expira após __: Quando esta opção está ativada, os usuários não serão solicitados a passar pelo MFA durante o período especificado ao fazer login no ADSelfService Plus usando navegadores confiáveis. Especifique a duração do período de confiança em dias, horas ou minutos.
10. Manter a opção 'Confiar neste navegador' selecionada por padrão: Ative esta opção se desejar que a caixa de seleção Confiar neste navegador esteja selecionada por padrão na tela de verificação MFA.
11. Ativar Códigos de Verificação de Backup MFA: Clique nesta opção para permitir que administradores gerem códigos de backup para contas de técnicos via o Relatório de Usuários Inscritos em MFA. Os administradores podem optar por exibir a coluna Código de Backup MFA no Relatório de Usuários Inscritos em MFA e gerar códigos de backup a partir do relatório.

Política de senha

1. Vá para Configuração > Ferramentas Administrativas > Técnico.
2. Clique em Avançado no canto inferior direito e clique na aba Política de Senha.
3. Restringir Caracteres: Especifique quantos caracteres especiais, números e caracteres Unicode devem ser usados em uma senha.

4. Restringir Repetição: Limite o uso de:
• Caracteres consecutivos (ex.: aaaa).
• Uma sequência de caracteres consecutivos do nome de usuário e senha antiga (ex.: user01).

5. Restringir Padrão: Restringa técnicos de usar sequências de teclado, palavras de dicionário e palíndromos, ou garanta que suas senhas atendam a critérios específicos aplicando um padrão regex. Saiba mais sobre como definir um padrão regex, aqui.
Nota importante: Certifique-se de que o padrão regex e outras regras da política de senha não entrem em conflito. Se você ativar uma política de senha baseada em padrão regex, assegure-se de que o agente de login nas máquinas dos usuários esteja atualizado para a versão 6.11 ou superior, e que o aplicativo ADSelfService Plus nos dispositivos dos técnicos esteja na versão 1.7.2 ou 1.6.6 para dispositivos Android ou iOS, respectivamente.

6. Restringir Comprimento: Especifique o comprimento máximo e mínimo da senha.

7. Ativar Analisador de Força da Senha: Ative esta configuração para fornecer uma representação visual da força da senha, incentivando técnicos a criarem senhas complexas.
8. Você também pode configurar as definições para substituir todas as regras de complexidade se a senha atender a um comprimento predefinido. Também é possível especificar o número de regras de complexidade que uma senha deve satisfazer.
9. Proteja as contas dos técnicos verificando se suas senhas atendem a todas as regras da política de senha configuradas no ADSelfService Plus e checando o uso de senhas comprometidas através da integração Have I Been Pwned a cada tentativa de login no portal ADSelfService Plus. Se as senhas não atenderem aos requisitos, os técnicos serão obrigados a alterá-las.

Geral

• Ocultar o CAPTCHA na página de alteração de senha: Você pode optar por ocultar o CAPTCHA na página de alteração de senha usando esta opção.
• Impedir que o técnico copie e cole a senha nos campos de alteração de senha: Garanta segurança extra impedindo que técnicos copiem e colem senhas nos campos de senha.
• Ativar Analisador de Força da Senha: Ative esta opção para ajudar técnicos a analisar em tempo real a força de suas senhas ao redefinir ou alterar suas senhas.

Bloquear usuários que falharem na verificação de identidade

• Use a opção Permitir no máximo __ tentativas inválidas dentro de __ minutos para definir o número máximo de tentativas de verificação falhas permitidas para um técnico dentro de um intervalo de tempo definido. Técnicos que excederem o número de tentativas falhas especificadas aqui serão bloqueados.
Nota: Each identity verification attempt failure, whether during password entry, backup code entry, OTP submission (including during the enrollment process), or MFA verification, will count toward the maximum verification attempts limit before the account is blocked. Blocked users cannot reset passwords, unlock accounts, or log in to applications or endpoint devices.

MFA failures while using Duo Security or Smart Card Authentication will not be counted towards identity verification failures, as those authenticators have their own blocking mechanisms.



Você pode desbloquear a conta de administrador padrão ou contatar o suporte se a conta de administrador padrão for bloqueada.

Se necessário, você também pode optar por redefinir a senha do administrador padrão usando estes passos.

• Usando a opção Bloquear usuário por um período de __ min, especifique:
1. O número de minutos que o técnico permanecerá bloqueado.
Exemplo: Por exemplo, suponha que você definiu o máximo de tentativas inválidas como cinco, o intervalo de tempo como 10 minutos e o período pelo qual o usuário permanecerá bloqueado como 30 minutos. Isso significa que, quando um técnico falhar em verificar sua identidade cinco vezes em um intervalo de 10 minutos, ele será bloqueado por 30 minutos.
2. Escolha Para sempre (até ser desbloqueado pelo administrador) para configurar contas de técnicos para permanecerem bloqueadas até serem desbloqueadas manualmente por um administrador. Contas bloqueadas podem ser desbloqueadas a partir do Relatório de Usuários Bloqueados.


Técnicos que forem bloqueados ao tentar acessar aplicações ou endpoints, ou ao realizar redefinições de senha ou desbloqueios de conta via autoatendimento, terão o acesso restrito a todos os endpoints protegidos pelo ADSelfService Plus até que suas contas sejam desbloqueadas.

Tópico Anterior Próximo Tópico