RSA SecurID

Hinweis: RSA SecurID ist ein Erweiterter Authentifikator verfügbar als Teil der Professional Edition von ADSelfService Plus.

RSA SecurID ist ein Zwei-Faktor-Authentifizierungssystem (2FA) von RSA Security LLC, das Benutzern ermöglicht, sich sicher mit Netzwerkressourcen zu verbinden. Benutzer können sicher auf ADSelfService Plus mittels Sicherheitscodes der RSA SecurID Mobilanwendung, physischen Token oder Passcodes zugreifen, die per E-Mail oder SMS gesendet werden.

Einrichtung der RSA SecurID-Authentifizierung

Sie können RSA SecurID als Authentifikator in ADSelfService Plus in zwei Schritten einrichten:

1. Fügen Sie den ADSelfService Plus Server als Authentifizierungsagent in der SecurID SECURITY CONSOLE hinzu.
2. Konfigurieren Sie ADSelfService Plus für RSA SecurID.

Voraussetzungen

• Stellen Sie sicher, dass eine unterstützte Version des RSA Authentication Manager installiert ist.
  • Für SDK-Integration: RSA Authentication Manager 8.0 oder höher
  • Für REST API-Integration: RSA Authentication Manager 8.2 SP1 oder höher

Hinzufügen von ADSelfService Plus als Authentifizierungsagent in der RSA SecurID SECURITY CONSOLE

1. Melden Sie sich in Ihrer RSA Admin-Konsole an (z. B. https://adssp-rsa.mydomain.com/sc ).
2. Navigieren Sie zu Access > Authentication Agents. Klicken Sie auf Add New.



3. Geben Sie den Hostnamen des ADSelfService Plus Servers im Hostname Feld ein und klicken Sie auf Resolve IP um eine Verbindung zwischen der SecurID SECURITY CONSOLE und dem ADSelfService Plus Server herzustellen.
4. Klicken Sie auf Save um den ADSelfService Plus Server als Authentifizierungsagent hinzuzufügen.

Konfigurieren von ADSelfService Plus für RSA SecurID

Die RSA SecurID-Konfiguration kann mit einer der folgenden Methoden erfolgen:

• REST API-Integration
• SDK-Integration

Hinweis: Es wird empfohlen, die RSA-Authentifizierung über die REST API zu konfigurieren, da RSA SecurID die SDK-Integration nicht mehr unterstützt.

Schritte zur Konfiguration von RSA SecurID mit REST API-Integration

1. Melden Sie sich in der RSA Admin-Konsole an und navigieren Sie zu Setup > System Settings.
2. Unter Authentication Settingsklicken Sie auf RSA SecurID Authentication API.
3. Kopieren Sie die Access ID, Access Keyund Communication Port Daten.
4. Melden Sie sich in der ADSelfService Plus Admin-Konsole an und navigieren Sie zu Admin > Configuration > Self-Service > Multi-factor Authentication > RSA SecurID.
5. Wählen Sie aus der Choose the Policy Dropdown-Liste eine Richtlinie aus.

Hinweis: ADSelfService Plus erlaubt das Erstellen von OU- und gruppenbasierten Richtlinien. Um eine Richtlinie zu erstellen, gehen Sie zu Configuration > Self-Service > Policy Configuration > Add New Policy. Klicken Sie auf Wählen Sie OUs/Gruppen ausund treffen Sie die Auswahl basierend auf Ihren Anforderungen. Sie müssen mindestens eine Self-Service-Funktion auswählen. Klicken Sie abschließend auf Save Policy.

6. Klicken Sie auf RSA SecurID.
7. Für Integration Typewählen Sie REST API.



8. Geben Sie den Hostnamen des RSA Authentication Manager im API Host Name Feld ein.
9. Fügen Sie die in Schritt 3 erhaltene Portnummer und den Zugriffsschlüssel in die Port bzw. Access Key Felder ein.
10. Geben Sie den Namen des Authentifizierungsagents (d. h. den Hostnamen oder Zugriffs-URL des ADSelfService Plus Servers) in Client Id Feld ein.
11. ein. Aktivieren Sie das Kontrollkästchen Secure API requests to RSA server with HMAC Authentication um die Integrität der Authentifizierungsanfragen zu überprüfen. Bitte folgen Sie den unter HMAC prerequisites



12. genannten Schritten, bevor Sie die HMAC-Authentifizierung aktivieren. Geben Sie die in Schritt 3 kopierte Zugriff-ID in das Feld Feld ein.
13. Access Id ein. Wählen Sie ein Username Pattern aus, das dem

Hinweis: User Account Format

14. Klicken Sie auf in der RSA Admin-Konsole entspricht. bzw. Save.

Benutzer in verschiedenen Domains können denselben Benutzernamen haben, was bei der RSA-Zuordnung zu Mehrdeutigkeiten führt. Um eine sichere Authentifizierung zu gewährleisten, empfehlen wir dringend, ein Benutzernamensmuster zu verwenden, das die Domain enthält. Dieses Username Pattern muss mit dem RSA User Account Format in der RSA Admin-Konsole übereinstimmen, um Domänen-Benutzerkonten korrekt auf RSA-Benutzerkonten abzubilden.

1. Verbindung testen Schritte zur Konfiguration von RSA SecurID mit SDK-Integration Stellen Sie sicher, dass die unten aufgeführten erforderlichen JAR-Dateien im
   • <ADSelfService_Plus_install_directory>/lib
   • Ordner vorhanden sind.
   • authapi-8.6.jar
   • log4j-1.2.12rsa-1.jar
   • cryptojcommon-6.1.3.3.jar

Hinweis: jcmFIPS-6.1.3.3.jar Schritte zur Konfiguration von RSA SecurID mit SDK-Integration cryptojce-6.1.3.3.jar Diese JAR-Dateien gehören zur neuesten Version des Authentication Agent SDK für Java (Version 8.6). Sollten sie nicht im.

2. Ordner vorhanden sein, laden Sie diese bitte von RSA Community.
3. Klicken Sie auf herunter. Navigieren Sie in der RSA Admin-Konsole zu Access > Authentication Agents > Generate Configuration File Klicken Sie auf Generate Config File,
4. um die AM_Config.zip Datei herunterzuladen.
5. Extrahieren Sie die sdconf.rec.
6. Wählen Sie aus der Choose the Policy Dropdown-Liste eine Richtlinie aus.

Hinweis: ADSelfService Plus erlaubt das Erstellen von OU- und gruppenbasierten Richtlinien. Um eine Richtlinie zu erstellen, gehen Sie zu Configuration > Self-Service > Policy Configuration > Add New Policy. Klicken Sie auf Wählen Sie OUs/Gruppen ausund treffen Sie die Auswahl basierend auf Ihren Anforderungen. Sie müssen mindestens eine Self-Service-Funktion auswählen. Klicken Sie abschließend auf Save Policy.

7. Klicken Sie auf RSA SecurID.
8. Für Integration Typewählen Sie Datei aus der ZIP-Datei..



9. Klicken Sie auf Melden Sie sich im ADSelfService Plus Adminportal an und navigieren Sie zu Admin > Configuration > Self-Service > Multi-factor Authentication > Authenticators Setup > RSA SecurID AM_Config.zip SDK
10. Access Id ein. Durchsuchen Sie

Hinweis: und wählen Sie die Datei aus, die aus der SecurID SECURITY CONSOLE heruntergeladen wurde. die dem User Account Format in der RSA Admin-Konsole entspricht. Benutzer aus verschiedenen Domains können denselben.

11. Klicken Sie auf Save.

Benutzernamen haben, was bei der Zuordnung von RSA-Konten zu ADSelfService Plus-Benutzerkonten während MFA zu Mehrdeutigkeiten führt. Um eine sichere Authentifizierung zu gewährleisten, empfehlen wir dringend, ein Username Pattern zu verwenden, das den Domänennamen (domain_dns_name) oder die E-Mail (email_id) enthält,

um die Integrität der Authentifizierungsanfragen zu überprüfen. Bitte folgen Sie den unter

Hash-basierter Nachrichten-Authentifizierungscode (HMAC) wird verwendet, um die zwischen Authentifizierungsagenten und der RSA SecurID Authentication API ausgetauschten Authentifizierungsanfragen zu validieren.

1. Melden Sie sich mit dem Secure Shell-Client am Appliance an oder greifen Sie auf das Appliance auf einer virtuellen Maschine mit dem VMware vSphere Client, Hyper-V Virtual Machine Manager oder Hyper-V Manager zu.
2. Um Authentifizierungsanfragen durch Implementierung von HMAC zu überprüfen, geben Sie Folgendes ein:
   • ./rsautil store –a update_config
   • auth_manager.rest_service.authorization.mode 1 GLOBAL 501
3. Um nur den Zugriffsschlüssel der RSA SecurID Authentication API für die Authentifizierung zu verwenden, geben Sie Folgendes ein:
   • ./rsautil store –a update_config
   • auth_manager.rest_service.authorization.mode 0 GLOBAL 501

Verschiedene Methoden zum Anmelden bei ADSelfService Plus mit RSA SecurID

Methode 1: Benutzer- oder systemgenerierte PIN

Die RSA-Passcode-Authentifizierung kann aus einer PIN kombiniert mit einem Tokencode, nur einem Tokencode oder ausschließlich einem Passwort bestehen. Dies basiert auf den Konfigurationseinstellungen im RSA Authentication Manager. Wenn die Einstellungen in der RSA Security Console verlangen, dass die Benutzer eine PIN selbst erstellen oder eine systemgenerierte PIN verwenden, werden den Benutzern nach Eingabe eines gültigen Passcodes die folgenden Optionen angezeigt.

Option 1: Benutzer-erstellte PIN

• Benutzer können ihre eigene PIN erstellen.
• Anschließend werden sie aufgefordert, diese selbst erzeugte PIN zusammen mit dem RSA-Tokencode für die Authentifizierung zu verwenden.

Hinweis: Wenn die vom Benutzer selbst erstellte PIN ungültig ist, muss er den RSA-Passcode erneut eingeben, um den Authentifizierungsprozess neu zu starten.

Option 2: System-generierte PIN

• Hier generiert der RSA Authentication Manager automatisch eine zufällige PIN.
• Benutzer müssen diese systemgenerierte PIN notieren und sowohl diese PIN als auch den RSA-Tokencode für die Authentifizierung verwenden.

Methode 2: Nächster Tokencode

• Wenn ein Benutzer nacheinander falsche Passcodes eingibt, kann der RSA Authentication Manager ihn auffordern, den nächsten Tokencode einzugeben.
• Benutzer müssen warten, bis ein neuer Tokencode auf dem RSA-Gerät angezeigt wird, um mit dem Authentifizierungsprozess fortzufahren.

Methode 3: Tokencode

Benutzer müssen sowohl die PIN als auch den RSA-Passcode für die Authentifizierung verwenden.