Multifaktor-Authentifizierungsmethoden in ADSelfService Plus

Sehen wir uns die verschiedenen Authentifizierungsmethoden an, die Unternehmen mit ADSelfService Plus zur Multifaktor-Authentifizierung nutzen können.

Wozu denn Multifaktor-Authentifizierung?

Eine Authentifizierung, bei der nur Benutzernamen und Passwörter vorkommen, ist in der heutigen Zeit nicht mehr sicher genug. Durch eine rein passwortbasierte Authentifizierung sind Benutzerkonten anfällig für Bedrohungen, wie Brute-Force- und Wörterbuch-Angriffe. Zum Schutz vor diesen Sicherheitsrisiken bestätigt ADSelfService Plus die Identitäten von Benutzern neben den standardmäßigen AD-Anmeldedaten auch anhand einer Multifaktor-Authentifizierung. Bei den folgenden Vorgängen nutzt ADSelfService Plus die Multifaktor-Authentifizierung zur Bestätigung von Identitäten:

• Windows, macOS, und Linux Anmeldungen (wenn die Client-Software von ADSelfService Plus installiert wurde).
• Anmeldung am Portal von ADSelfService Plus.
• Anmeldungen bei Unternehmensanwendungen per Single-Sign-On (SSO).
• SB-Aktionen zur Passwortzurücksetzung oder Kontoentsperrung in Active Directory über das ADSelfService-Portal, die ADSelfService Plus Mobilapp sowie über native Anmeldebildschirme unter Windows, macOS und Linux (wenn die Client-Software von ADSelfService Plus installiert wurde).
• VPN-Anmeldungen (Wenn die Erweiterung „Network Policy Server“ installiert wurde).
• Anmeldungen bei Outlook Web Access (wenn die Erweiterung „Internet Information Services Multi-Factor Authentication“ installiert wurde).

Zahlreiche verfügbare Authentifizierungsmethoden in ADSelfService Plus

1. Fingerabdruck-/Face-ID-Authentifizierung:: Benutzer mit Mobilgeräten, die einen Fingerabdruck oder Face-ID-Sensor enthalten, können ihre Identität über diese Methode bestätigen. Die Registrierung wird über die Mobilapp von ADSelfService Plus durchgeführt. Die Schritte zur „Registrierung“ werden unter der gleichnamigen Registerkarte angezeigt, sobald der Administrator die Methode konfiguriert. Bei der Multifaktor-Authentifizierung müssen Benutzer ihren Fingerabdruck oder ihr Gesicht scannen und auf „Akzeptieren“ klicken, um sich erfolgreich zu authentifizieren.
2. YubiKey-Authentifizierung:: YubiKey ist ein Hardware-Gerät, das Codes zur Multifaktor-Authentifizierung einsetzt. Zur Registrierung wird das YubiKey-Gerät in die Workstation gesteckt und der Schalter betätigt (im Falle des ADSelfService Plus Endbenutzer-Portals), oder das Gerät wird gegen das Mobilgerät gehalten (im Falle der ADSelfService Plus Mobilapp). Danach wird der Code im in ADSelfService Plus angegebenen Feld automatisch aktualisiert. Bei der Multifaktor-Authentifizierung müssen Benutzer die gleichen Schritte ausführen, um ihre Identität zu bestätigen.
3. RSA SecurID: RSA SecurID ist eine weitere Methode, bei der sog. Passcodes zur Multifaktor-Authentifizierung eingesetzt werden. Zur Registrierung müssen Benutzer den vom Administrator bereitgestellten Passcode eingeben. Um dann ihre Identität unter Beweis zu stellen, müssen Benutzer einen Einmal-Passcode eingeben, der folgendermaßen erzeugt wird:
   • Über ein Hardware-Token.
   • Über die RSA-SecurID-Mobilapp.
   • Per E-Mail und SMS empfangene Tokens.
4. Duo Security: Duo Security ist eine weitere Authentifizierungslösung, die unter anderem folgende Methoden verwendet:
   • SMS-basierte Bestätigungscodes.
   • Bestätigung durch Telefonanruf.
   • App-basierte Bestätigungscodes.
   • Push-Benachrichtigungen.

   Nach der Konfiguration müssen Benutzer zur Authentifizierung entweder einen Code eingeben, den sie empfangen, oder eine Benachrichtigung akzeptieren. Bei der Registrierung müssen Benutzer angeben, welche Methode sie zur Multifaktor-Authentifizierung verwenden werden.

5. Multifaktor-Authentifizierung für Azure AD:: Organisationen, bei denen die MFA für Azure Active Directory bereits aktiviert ist, können die bestehende Konfiguration verwenden und Benutzern gestatten, sich durch bereits registrierte Authentifizierungsmethoden in Azure Active Directory auszuweisen. Zu den unterstützten Methoden zählen:
   • Auf Microsoft Authenticator basierende Push-Benachrichtigungen.
   • Auf Microsoft Authenticator basierende Bestätigungscodes.
   • Bestätigung durch Telefonanruf.
   • SMS-basierte Verifizierung.
   • OATH-Hardwaretokens mit Yubico, DeepNet Security und mehr.
6. RADIUS: RADIUS setzt Passcodes zur Multifaktor-Authentifizierung ein. Benutzer werden automatisch registriert, wenn der Admin die RADIUS-Authentifizierung konfiguriert. Zur Multifaktor-Authentifizierung müssen sie dann einfach das vom Administrator bereitgestellte RADIUS-Passwort eingeben.
7. Google Authenticator: Google Authenticator ist eine App, die zeitbasierte Codes zur Authentifizierung einsetzt. Um die Benutzeridentität zu bestätigen, erzeugt die App einen zeitbasierten Code, mit dem sich die Benutzer authentifizieren müssen. Benutzer müssen sich registrieren, indem sie die App verwenden oder den QR-Code scannen, der im ADSelfService Plus Endbenutzer-Portal unter „Registrierung“ angezeigt wird.
8. Microsoft Authenticator: Microsoft Authenticator App erzeugt einen zeitbasierten Code, mit dem sich die Benutzer authentifizieren müssen. Zur Registrierung müssen Benutzer zunächst die Microsoft Authenticator App installieren. Anschließend verwenden Sie den Barcode, der im SB-Portal auf der Registerkarte „Registrierung“ zu finden ist, um die App für ADSelfService Plus zu konfigurieren.
9. SMS-basierte Bestätigungscodes : Um such über diese Methode zu verifizieren, müssen Benutzer einen Einmalcode eingeben, der auf ihr Mobilgerät gesendet wird. Administratoren können dazu die Mobilnummer verwenden, die in den AD-Profilen der Benutzer angegeben ist – oder Benutzern ermöglichen, bei der Registrierung eine weitere Nummer anzugeben.
10. E-Mail-basierte Bestätigungscodes: Bei dieser Methode wird ein Einmalcode an die E-Mail-Adresse eines Benutzers gesendet. Administratoren können dazu die E-Mail-Adresse verwenden, die in den AD-Profilen der Benutzer angegeben ist – oder Benutzern ermöglichen, bei der Registrierung eine weitere E-Mail-Adresse anzugeben.
11. Zeitbasierte Einmalkennwörter (TOTP): Die TOTP-basierte Authentifizierung wird über die Mobilapp von ADSelfService Plus durchgeführt. Nach der Registrierung wird die Authentifizierung auf ähnliche Weise durchgeführt, wie oben beschrieben: Benutzer erhalten jedes Mal ein TOTP, wenn sie ihre Identität bestätigen müssen. Sie müssen das TOTP dann innerhalb eines bestimmten Zeitraums eingeben, um sich zu authentifizieren.
12. Spezifische TOTP-Authentifikatoren: Auch die spezifischen von Organisationen verwendeten TOTP-Apps lassen sich zu einer Authentifizierungsmethode für die MFA in ADSelfService Plus erweitern. Der Registrierungsprozess hängt von den Funktionen der App ab. Das TOTP aus der App müssen Benutzer zur Authentifizierung im angegebenen Zeitrahmen in das entsprechende Feld im Produktportal eingeben.
13. Zoho OneAuth TOTP: Zoho OneAuth ist eine App, die Multifaktor-Authentifizierung und Single Sign-On für Unternehmenskonten bietet. ADSelfService Plus kann die TOTP-Funktion der App als Authentifizierungsmethode nutzen. Zur Registrierung müssen Benutzer mit der Zoho OneAuth App einen QR-Code scannen, der im Produktportal angezeigt wird. Nach der Registrierung können sie sich authentifizieren, indem sie die in der App angezeigte TOTP im angegebenen Zeitrahmen in das entsprechende Feld im Portal eingeben.
14. Push-Benachrichtigungen: Push-Benachrichtigungen werden über die ADSelfService-Plus-Mobilapp empfangen, die auf den Mobilgeräten der Benutzer installiert wird. Die Registrierung erfolgt ausschließlich durch die Mobilapp. Die Schritte zur „Registrierung“ werden unter der gleichnamigen Registerkarte angezeigt, sobald der Administrator die Push-Benachrichtigungen aktiviert. Nach der Registrierung erhalten Benutzer eine Benachrichtigung, die sie annehmen müssen, um ihre Identität zu bestätigen.
15. QR-Code-basierte Authentifizierung: Wenn diese Methode aktiviert wird, müssen Benutzer mit der ADSelfService-Plus-Mobilapp den QR-Code scannen, der im Endbenutzerportal angezeigt wird, um ihre Identität zu bestätigen. Benutzer können sich über die App registrieren, indem Sie die auf der Registerkarte „Registrierung“ angezeigten Schritte ausführen.
16. SAML-Authentifizierung: Organisationen, die bereits SAML-basierte Identity-Provider-Anwendungen (IdPs) wie Okta oder OneLogin verwenden, können Benutzeridentitäten über die SAML-Authentifizierung bestätigen. Bei aktivierter SAML-Authentifizierung werden Benutzer nur dann zu ihrer IdP-Anmeldung weitergeleitet, wenn sie SB-Passwortzurücksetzung oder -Kontoentsperrung in ADSelfService Plus durchführen. Die Registrierung ist für diese Methode nicht erforderlich.
17. Smart-Card-Authentifizierung: Diese Methode lässt sich nur bei Anmeldungen beim Produktportal bzw. bei Unternehmensanwendungen zur MFA einsetzen. ADSelfService Plus vergleicht die Zertifikatdatei auf dem Gerät des Benutzers mit der Datei in AD, bevor der Benutzer authentifiziert wird. Die Registrierung erfolgt automatisch, wenn sich der Benutzer zum ersten Mal authentifiziert.
18. icherheitsfragen und Antworten: Bei dieser Methode wird ein Satz vordefinierter persönlicher Fragen gestellt, wie „Welches ist Ihre Lieblingsfarbe“? Diese Fragen können von Admins oder Benutzern konfiguriert werden. Benutzer können sich registrieren, indem sie entweder spezifische Fragen und Antworten festlegen, oder indem sie auf die von den Admins definierten Fragen antworten. Sie müssen die richtigen Antworten auf diese Fragen bei der Identitätsbestätigung angeben.
19. AD-basierte Sicherheitsfragen: Bei dieser Methode richten Administratoren verschiedene AD-basierte Fragen ein, die mit bestehenden oder spezifischen AD-Attributen (wie der Sozialversicherungsnummer) in Verbindung stehen. Um ihre Identität zu bestätigen, müssen Benutzer eine Antwort eingeben, die dann mit dem AD-Attributswert ihres Benutzerkontos verglichen wird. Wenn beides übereinstimmt, wird der Benutzer authentifiziert. Für diese Methode ist keine Benutzer-Registrierung erforderlich.

Vorteile beim Einsatz von ADSelfService Plus für Multifaktor-Authentifizierung

• Umfassende Sicherheit für das Unternehmen: Mehrere Remote- und lokale Zugangspunkte zum Unternehmensnetzwerk lassen sich vor Angriffen schützen, die auf Anmeldedaten basieren.
• Feinkörnige Funktionskonfiguration: spezifische Authentifizierungsmethoden können für Benutzer aktiviert werden, die zu bestimmten OEs, Gruppen und Domänen gehören. Bestimmte Unternehmensendpunkte lassen sich auch durch die Multifaktor-Authentifizierung schützen, abhängig von diesen Benutzerkriterien.
• Compliance mit gesetzlichen Vorgaben: Die Multifaktor-Authentifizierung hilft bei der Einhaltung von Vorschriften wie DSGVO, HIPAA, NYCRR und FFIEC.
• Authentifizierung ohne Passwort:Unternehmen können auch gänzlich auf AD-Domänenpasswörter verzichten und nur die Multifaktor-Authentifizierung verwenden, um Benutzeridentitäten zu bestätigen.