Bekræftelse af brugeridentitet i ADSelfService Plus

Det er risikabelt af give slutbrugere mulighed for at nulstille deres adgangskoder eller åbne deres konti. Det er ikke ualmindeligt, at en hacker maskerer sig som en gyldig bruger for at stjæle legitimationsoplysninger. For at sikre, at kun tilsigtede brugere får adgang til selvbetjeningsportalen, bruger ADSelfService Plus følgende strenge godkendelsesmetoder til at fastslå brugerens identitet:

Administratorer har mulighed for at vælge alle godkendelsesprocedurer eller en kombination af de tilgængelige metoder baseret på deres behov.

Settings configuration

Sikkerhedsspørgsmål og svar

Brugere tilmelder sig med ADSelfService Plus ved at besvare en række personlige spørgsmål. Svarene gemmes derefter sikkert i ADSelfService Plus-databasen efter kryptering. For at nulstille deres adgangskoder eller for at låse deres konti op, skal brugerne bekræfte deres identitet ved at besvare de spørgsmål, de tidligere har besvaret.

End-user portal

Administratorer kan yderligere styrke identitetsverifikation ved at tilføje yderligere begrænsninger til spørgsmål og svar.

Configuration

Sms- og e-mail-baserede verifikationskoder

Når en bruger forsøger at nulstille sin adgangskode eller låse sin konto op, sendes en verifikationskode til brugerens mobilnummer eller e-mail-adresse. Administratorer kan også sende et sikkert link via e-mail, som brugeren kan bruge til at nulstille sin adgangskode. Administratorer kan konfigurere det antal gange, en bruger kan indtaste ugyldige legitimationsoplysninger, før de midlertidigt blokeres fra at logge ind.

Advanced settings

Bemærk: Administratorer kan konfigurere ADSelfService Plus til at trække mobilenheden og e-mail-adresse fra de tilsvarende LDAP-attributter i Active Directory.

Configuration

Google Autentificering

ADSelfService Plus understøtter Google Authentificering, et almindeligt anvendt tredjeparts godkendelsesprogram til mobiltelefoner. Brugere tilmelder sig med ADSelfService Plus ved at scanne en QR-kode. Når en selvbetjeningsoperation udføres, skal brugeren åbne app’en og indtaste koden, der vises i Google Autentificering, for at verificere sin identitet.

Foruden Google Autentificering kan administratorer bruge andre tredjeparts, tidsbaserede godkendere, som Microsoft Authenticator eller Sophos Authenticator.

Duo Security

Duo Security

Multifaktorgodkendelse i ADSelfService Plus understøtter Duo Security, en bredt betroet adgangsplatform, der sikrer organisationer ved at verificere brugernes identiteter. Brugere er forpligtet til at tilmelde sig Duo Security. Når denne godkendelsesprocedure er aktiveret, og brugerne forsøger at nulstille adgangskoder eller låse konti op, skal de vælge en kommunikationsmåde (push-besked, sms eller opkald), hvorigennem Duo Security sender en bekræftelseskode. Efter vellykket verifikation kan brugerne selvbetjene deres adgangskoder og konti.

RSA SecurID

RSA SecurID

ADSelfService Plus kan integreres med RSA SecurID for at give sikker godkendelse til brugere, der forsøger at få adgang til en netværksressource. Når en bruger nulstiller en adgangskode eller låser en konto op, kan vedkommende bruge sikkerhedskoder, der genereres af RSA SecurID mobilapp, hardware-tokens eller tokens, der modtages via e-mail eller sms, for at logge på ADSelfService Plus.

Block users

RADIUS

ADSelfService Plus tillader administratorer at tilføje RADIUS som en ekstra vej til brugergodkendelse. Når administratorer har aktiveret RADIUS, skal brugerne give deres RADIUS-adgangskoder til at autentificere sig selv. Når kontoen er blevet bekræftet, kan brugeren fortsætte med at udføre selvbetjeningsoperationen eller fortsætte til næste godkendelsesprocedure som krævet i protokollen.

Block users

For at forhindre, at ondsindede brugere udfører flere gæt på svarene, kan administratorer oprette en midlertidig blokering for enhver konto, der opgør et bestemt antal forkerte svar inden for en vis tid.

Push notifications

Sådan fungerer det

Identifikationsverifikationsprocessen starter, når brugeren får adgang til ADSelfService Plus-programmet og klikker på linket ”Nulstil adgangskode” eller ”Åbn konto”. Når brugeren har indtastet sit brugernavn og domæne, udfører ADSelfService Plus-serveren en række sikkerhedskontroller.

Identity verification process in ADSelfService Plus

Kontrol af domænetilknytning: Kontrollerer, om brugeren er tilknyttet det angivne domæne.

Kontrol af politikindstillinger: Kontrollerer, om brugeren har tilladelse til at nulstille adgangskoden eller åbne kontoen via ADSelfService Plus. ADSelfService Plus-politikker kan konfigureres, så slutbrugere kun har adgang til visse selvbetjeningsfunktioner.

Kontrol af tilmeldingsstatus: Kontrollerer, om brugeren har tilmeldt sig ADSelfService Plus ved at besvare sikkerhedsspørgsmålene, opdatere deres mobilnummer eller e-mail-adresse og synkronisere deres Google Autentificering-konto. Kun registrerede brugere kan nulstille adgangskoder og åbne konti.

Kontrol af blokerede brugere: Kontrollerer, om brugerkontoen er blokeret af ADSelfService Plus-serveren fra at udføre selvbetjeningshandlinger på grund af flere ugyldige handlinger. Brugere, der ikke indtaster den korrekte bekræftelseskode og / eller svar på sikkerhedsspørgsmålet, vil blive blokeret af programmet efter et vist antal forsøg, som ADSelfService Plus-administratoren fastsætter. Dette hjælper med at forhindre Bot-baserede angreb, DoS-angreb og andre typer angreb.

Når først den indledende kontrol er gennemført, verificerer ADSelfService Plus brugerens identitet ved at køre de godkendelsesprocedurer, der er konfigureret af administratoren.

Download

Fordele
  • Ekstra lag af sikkerhed: Den almindeligt anvendte spørgsmål-og-svar sikkerhedsmetode, der anvendes i sociale medier, er fejlbehæftet, fordi brugere leverer spørgsmål og svar, der er nemme for hackere at finde. Ved at tilføje verifikationskoder og Google Autentificering til identifikationsverifikationsprocessen, har ADSelfService Plus gjort konti mere sikre.
  • Brugervenlig: Nem adgang til e-mail og mobiltelefoner har gjort disse enheder til en nem mulighed for at administrere deres konti på farten.
  • Magt til administratoren: Administratorer har fuldstændig kontrol over, om du vil vælge en eller alle godkendelsesfunktioner for ekstra sikkerhed.
  • E-mail-meddelelse efter adgangskode selvbetjening: Når en bruger gennemfører en selvbetjeningshandling, modtager vedkommende en e-mail-besked fra ADSelfService Plus. E-mail-meddelelsen fungerer som en advarsel i tilfælde af uautoriseret kontoaktivitet, og giver brugeren mulighed for at reagere og forhindre yderligere skade.

Push-meddelelser

Push-meddelelser

Push-meddelelser er en af de nemmeste og hurtigste godkendelsesmetoder. Når push-meddelelser er aktiveret, får brugerne en loginanmodning sendt til mobilappen ADSelfService Plus på deres registrerede mobile enhed. De kan enten godkende godkendelsesanmodningen eller trykke på afvis for at afvise uventede anmodninger. Når de er tilmeldt, kan brugerne også nulstille deres adgangskode eller låse deres konto op fra deres mobilapp ved hjælp af push-meddelelser.

Fingeraftryksgodkendelse

Fingeraftryksgodkendelse

Der er intet så unikt som en persons fingeraftryk. Derfor er fingeraftryksgodkendelse en af de nemmeste, men alligevel mest sikre godkendelsesmetoder. Hvis en brugers registrerede mobile enhed har en fingeraftrykssensor, kan de bruge deres fingeraftryk til at godkende nulstilling af adgangskoder og oplåsning af konti fra mobilappen ADSelfService Plus.

Godkendelse baseret på QR-kode

Godkendelse baseret på QR-kode

ADSelfService Plus-mobilappen er alt det, brugerne har brug for for at bruge QR-koder til godkendelse. Brugerne kan blot scanne QR-koden, der vises på deres ADSelfService Plus-webportal, fra deres registrerede mobile enhed for at afslutte processen.

Tidsbaserede engangsagangskoder (TOTP'er)

Tidsbaserede engangsagangskoder (TOTP'er)

En af de mest anvendte metoder til godkendelse er tidsbaserede engangsadgangskoder (TOTP'er). ADSelfService Plus' mobilapp genererer TOTP'er, der ændres hvert minut. Brugerne skal indtaste den 6-cifrede adgangskode under godkendelsesprocessen inden for en bestemt tidsperiode for at fuldføre deres identitetsbekræftelse.

AD-baserede sikkerhedsspørgsmål

ADSelfService Plus giver administratorer mulighed for at opsætte Active Directory-baserede (AD) sikkerhedsspørgsmål som en af multifaktor-godkendelsesmetoderne for at bekræfte brugerens identitet under den selvbetjente nulstilling af adgangskoden. Når denne metode er aktiveret, kobles sikkerhedsspørgsmålene til en AD-attribut, og brugere godkendes, når deres svar matcher den specifikke attributværdi.

AD-baserede sikkerhedsspørgsmål

Antag f.eks. at administratoren har valgt "Hvad er dit CPR-nummer?" som et AD-baseret sikkerhedsspørgsmål og har knyttet en brugerdefineret attribut til brugeren, der har CPR-nummeret som dets værdi. Hver gang en bruger forsøger at nulstille sin adgangskode, skal denne indtaste sit CPR-nummer som angivet i værdien for den tilpassede attribut som et svar. Hvis der er indtastet forkert, afbrydes nulstillingen af adgangskoden.

Da denne teknik bruger brugernes AD-attributter, behøver de ikke at tilmelde sig ADSelfService Plus separat.