Det er risikabelt af give slutbrugere mulighed for at nulstille deres adgangskoder eller åbne deres konti. Det er ikke ualmindeligt, at en hacker maskerer sig som en gyldig bruger for at stjæle legitimationsoplysninger. For at sikre, at kun tilsigtede brugere får adgang til selvbetjeningsportalen, bruger ADSelfService Plus følgende strenge godkendelsesmetoder til at fastslå brugerens identitet:
Administratorer har mulighed for at vælge alle godkendelsesprocedurer eller en kombination af de tilgængelige metoder baseret på deres behov.
Brugere tilmelder sig med ADSelfService Plus ved at besvare en række personlige spørgsmål. Svarene gemmes derefter sikkert i ADSelfService Plus-databasen efter kryptering. For at nulstille deres adgangskoder eller for at låse deres konti op, skal brugerne bekræfte deres identitet ved at besvare de spørgsmål, de tidligere har besvaret.
Administratorer kan yderligere styrke identitetsverifikation ved at tilføje yderligere begrænsninger til spørgsmål og svar.
Når en bruger forsøger at nulstille sin adgangskode eller låse sin konto op, sendes en verifikationskode til brugerens mobilnummer eller e-mail-adresse. Administratorer kan også sende et sikkert link via e-mail, som brugeren kan bruge til at nulstille sin adgangskode. Administratorer kan konfigurere det antal gange, en bruger kan indtaste ugyldige legitimationsoplysninger, før de midlertidigt blokeres fra at logge ind.
Bemærk: Administratorer kan konfigurere ADSelfService Plus til at trække mobilenheden og e-mail-adresse fra de tilsvarende LDAP-attributter i Active Directory.
ADSelfService Plus understøtter Google Authentificering, et almindeligt anvendt tredjeparts godkendelsesprogram til mobiltelefoner. Brugere tilmelder sig med ADSelfService Plus ved at scanne en QR-kode. Når en selvbetjeningsoperation udføres, skal brugeren åbne app’en og indtaste koden, der vises i Google Autentificering, for at verificere sin identitet.
Foruden Google Autentificering kan administratorer bruge andre tredjeparts, tidsbaserede godkendere, som Microsoft Authenticator eller Sophos Authenticator.
Multifaktorgodkendelse i ADSelfService Plus understøtter Duo Security, en bredt betroet adgangsplatform, der sikrer organisationer ved at verificere brugernes identiteter. Brugere er forpligtet til at tilmelde sig Duo Security. Når denne godkendelsesprocedure er aktiveret, og brugerne forsøger at nulstille adgangskoder eller låse konti op, skal de vælge en kommunikationsmåde (push-besked, sms eller opkald), hvorigennem Duo Security sender en bekræftelseskode. Efter vellykket verifikation kan brugerne selvbetjene deres adgangskoder og konti.
ADSelfService Plus kan integreres med RSA SecurID for at give sikker godkendelse til brugere, der forsøger at få adgang til en netværksressource. Når en bruger nulstiller en adgangskode eller låser en konto op, kan vedkommende bruge sikkerhedskoder, der genereres af RSA SecurID mobilapp, hardware-tokens eller tokens, der modtages via e-mail eller sms, for at logge på ADSelfService Plus.
ADSelfService Plus tillader administratorer at tilføje RADIUS som en ekstra vej til brugergodkendelse. Når administratorer har aktiveret RADIUS, skal brugerne give deres RADIUS-adgangskoder til at autentificere sig selv. Når kontoen er blevet bekræftet, kan brugeren fortsætte med at udføre selvbetjeningsoperationen eller fortsætte til næste godkendelsesprocedure som krævet i protokollen.
For at forhindre, at ondsindede brugere udfører flere gæt på svarene, kan administratorer oprette en midlertidig blokering for enhver konto, der opgør et bestemt antal forkerte svar inden for en vis tid.
Identifikationsverifikationsprocessen starter, når brugeren får adgang til ADSelfService Plus-programmet og klikker på linket ”Nulstil adgangskode” eller ”Åbn konto”. Når brugeren har indtastet sit brugernavn og domæne, udfører ADSelfService Plus-serveren en række sikkerhedskontroller.
Kontrol af domænetilknytning: Kontrollerer, om brugeren er tilknyttet det angivne domæne.
Kontrol af politikindstillinger: Kontrollerer, om brugeren har tilladelse til at nulstille adgangskoden eller åbne kontoen via ADSelfService Plus. ADSelfService Plus-politikker kan konfigureres, så slutbrugere kun har adgang til visse selvbetjeningsfunktioner.
Kontrol af tilmeldingsstatus: Kontrollerer, om brugeren har tilmeldt sig ADSelfService Plus ved at besvare sikkerhedsspørgsmålene, opdatere deres mobilnummer eller e-mail-adresse og synkronisere deres Google Autentificering-konto. Kun registrerede brugere kan nulstille adgangskoder og åbne konti.
Kontrol af blokerede brugere: Kontrollerer, om brugerkontoen er blokeret af ADSelfService Plus-serveren fra at udføre selvbetjeningshandlinger på grund af flere ugyldige handlinger. Brugere, der ikke indtaster den korrekte bekræftelseskode og / eller svar på sikkerhedsspørgsmålet, vil blive blokeret af programmet efter et vist antal forsøg, som ADSelfService Plus-administratoren fastsætter. Dette hjælper med at forhindre Bot-baserede angreb, DoS-angreb og andre typer angreb.
Når først den indledende kontrol er gennemført, verificerer ADSelfService Plus brugerens identitet ved at køre de godkendelsesprocedurer, der er konfigureret af administratoren.
Push-meddelelser er en af de nemmeste og hurtigste godkendelsesmetoder. Når push-meddelelser er aktiveret, får brugerne en loginanmodning sendt til mobilappen ADSelfService Plus på deres registrerede mobile enhed. De kan enten godkende godkendelsesanmodningen eller trykke på afvis for at afvise uventede anmodninger. Når de er tilmeldt, kan brugerne også nulstille deres adgangskode eller låse deres konto op fra deres mobilapp ved hjælp af push-meddelelser.
Der er intet så unikt som en persons fingeraftryk. Derfor er fingeraftryksgodkendelse en af de nemmeste, men alligevel mest sikre godkendelsesmetoder. Hvis en brugers registrerede mobile enhed har en fingeraftrykssensor, kan de bruge deres fingeraftryk til at godkende nulstilling af adgangskoder og oplåsning af konti fra mobilappen ADSelfService Plus.
ADSelfService Plus-mobilappen er alt det, brugerne har brug for for at bruge QR-koder til godkendelse. Brugerne kan blot scanne QR-koden, der vises på deres ADSelfService Plus-webportal, fra deres registrerede mobile enhed for at afslutte processen.
En af de mest anvendte metoder til godkendelse er tidsbaserede engangsadgangskoder (TOTP'er). ADSelfService Plus' mobilapp genererer TOTP'er, der ændres hvert minut. Brugerne skal indtaste den 6-cifrede adgangskode under godkendelsesprocessen inden for en bestemt tidsperiode for at fuldføre deres identitetsbekræftelse.
ADSelfService Plus giver administratorer mulighed for at opsætte Active Directory-baserede (AD) sikkerhedsspørgsmål som en af multifaktor-godkendelsesmetoderne for at bekræfte brugerens identitet under den selvbetjente nulstilling af adgangskoden. Når denne metode er aktiveret, kobles sikkerhedsspørgsmålene til en AD-attribut, og brugere godkendes, når deres svar matcher den specifikke attributværdi.
Antag f.eks. at administratoren har valgt "Hvad er dit CPR-nummer?" som et AD-baseret sikkerhedsspørgsmål og har knyttet en brugerdefineret attribut til brugeren, der har CPR-nummeret som dets værdi. Hver gang en bruger forsøger at nulstille sin adgangskode, skal denne indtaste sit CPR-nummer som angivet i værdien for den tilpassede attribut som et svar. Hvis der er indtastet forkert, afbrydes nulstillingen af adgangskoden.
Da denne teknik bruger brugernes AD-attributter, behøver de ikke at tilmelde sig ADSelfService Plus separat.