Verificación de identidad de usuario en ADSelfService Plus

Necesidad de verificación de identidad

Permitir a los usuarios finales restablecer su contraseña o liberar su cuenta genera riesgos. No es poco común que un asaltante se disfrace como un usuario válido para robar credenciales. Para asegurarse que solo los verdaderos usuarios acceden al portal de autoservicio, los procedimientos estrictos de autenticación la identidad son obligatorios.

Para garantizar que solo los usuarios autorizados tengan acceso al portal de autoservicio de inicio de sesión, ADSelfService Plus emplea los siguientes métodos de autenticación para identificar la identidad de los usuarios:

Preguntas y respuestas de seguridad
Códigos de verificación a través de SMS y correo electrónico
Google Authenticator

Los administradores tienen la flexibilidad de escoger todos los procesos de autenticación o una combinación de los métodos disponibles basados en sus necesidades.

Preguntas y respuestas de seguridad

Los usuarios se inscriben a la plataforma de ADSelfService Plus respondiendo una serie de preguntas personales; las respuestas son después almacenadas de manera segura en la base de datos de ADSelfService Plus después del cifrado. Para restablecer sus contraseñas o desbloquear sus cuentas, los usuarios deben identificar su identidad respondiendo la serie de preguntas que anteriormente han añadido.

Los administradores pueden fortalecer aún más la verificación de identidad proporcionando restricciones adicionales en las preguntas y respuestas.

Código de verificación a través de correo electrónico y SMS.

Cuando un usuario intenta restablecer su contraseña o desbloquear su cuenta, un código de verificación es enviado a su celular o a su correo electrónico. Los administradores tienen la facilidad de enviar un enlace de seguridad vía correo electrónico con el cual pueden restablecer la contraseña, además de configurar el número de intentos inválidos después de los cuales el usuario será bloqueado temporalmente del inicio de sesión.

Note: Los administradores pueden configurar ADSelfService Plus Para extraer el número de teléfono e información del correo electrónico de los atributos LDAP correspondientes en el Active Directory.

Google Authenticator

ADSelfService Plus es compatible con Google Authenticator, una aplicación de terceros para teléfonos móviles ampliamente usada. Los usuarios se inscriben a ADSelfService Plus escaneando un código QR. Cuando se hace cualquier tipo de operación de autoservicio, el usuario debe ingresar el código que es mostrado en Google Authenticator para verificar su identidad.

Además de Google Authenticator, los administradores en adición pueden usar otros terceros, los autenticadores basados en el tiempo como Microsoft Authenticator o Sophos Authenticator.

Con el objetivo de prevenir que usuarios maliciosos tengan múltiples intentos de suponer respuestas, los administradores pueden establecer bloqueos temporales para cualquier cuenta que acumule un número específico de respuestas erróneas dentro de un tiempo estipulado.

Cómo funciona

El proceso de verificación de identidad empieza cuando el usuario accede a la aplicación ADSelfService Plus y hace clic en el enlace de ‘’Restablecer contraseña’’ o ‘’Desbloquear cuenta”. Después de que el usuario ingresa el nombre de usuario y el dominio, el servidor ADSelfService Plus realiza una serie de programaciones de seguridad.

Identity verification process in ADSelfService Plus

Comprobación de la afiliación de dominio: Comprueba si el usuario está afiliado con el dominio especificado.

Verificación de configuración de políticas Comprueba si el usuario tiene permiso de restablecer su contraseña o desbloquear su cuenta a través de ADSelfService Plus. Las políticas de ADSelfService Plus pueden ser configuradas para que solo algunas características necesarias estén disponibles para el usuario final.

Comprueba el estado de inscripción: Comprueba si el usuario se ha inscrito con ADSelfService Plus contestando las preguntas de seguridad, actualizado su número de teléfono móvil o correo electrónico y sincronizándolo con su cuenta de Google Authenticator. Solo los usuarios inscritos están autorizados a restablecer contraseñas o desbloquear cuentas.

Revisión de usuarios bloqueados: Comprueba si la cuenta del usuario es bloqueada por el servidor de ADSelfService Plus por realizar acciones de auto-servicio debido a múltiples acciones no válidas. Los usuarios que no introducen el código de verificación Correcto y/o la(s) respuesta(s) a la(s) pregunta(s) de seguridad serán bloqueados por la aplicación después de una serie de intentos establecidos por el administrador de ADSelfService Plus. Esto asegura la seguridad sobre ataques basados en Bot, ataques de denegación de servicio y otros tipos de ataques.

Una vez estas comprobaciones preliminares han sido completadas, el producto procede a identificar el usuario mediante la ejecución de los procedimientos de autenticación configurados por el administrador.

Beneficios

Capa adicional de seguridad: El método ampliamente usado de pregunta y respuesta, empleados en los medios de comunicación social, se ha vuelto defectuoso, ya que los usuarios aportan preguntas y respuestas que son fáciles para los hackers de encontrar. Agregando códigos de verificación y google Authenticator para el proceso de verificación de identidad, ADSelfService Plus ha hecho que las cuentas sean más seguras.

Fácil de utilizar: El fácil acceso a los teléfonos móviles o al correo electrónico ha hecho de estos dispositivos, una opción simple y rápida para controlar su cuenta en medio del trajín.

Control del administrador: Los administradores tienen control completo sobre sí escoger uno o todos los métodos de autenticación para una mayor seguridad.

Notificación de correo al autoservicio de contraseña

Cuando dentro del autoservicio una acción es completada, el usuario automáticamente recibe una notificación de correo. La notificación de correo trabaja como una alerta en caso de actividad no autorizada, le permite al usuario reaccionar y prevenir daños mayores.