Verificación de la identidad de usuarios en ADSelfService Plus
Permitirle a los usuarios finales restablecer sus contraseñas o desbloquear sus propias cuentas plantea riesgos de seguridad. No es raro que un atacante se haga pasar por un usuario válido para robar credenciales. Para garantizar que solo los usuarios deseados accedan al portal de autoservicio, ADSelfService Plus utiliza los siguientes métodos de autenticación estrictos para establecer las identidades de los usuarios:
- Preguntas y respuestas de seguridad
- Códigos de verificación por SMS y correo electrónico
- Google Authenticator
- Duo Security
- RSA SecurID
- RADIUS
Los administradores tienen la flexibilidad de elegir todos los procedimientos de autenticación o una combinación de los métodos disponibles con base en sus necesidades.
Preguntas y respuestas de seguridad
Los usuarios se registran en ADSelfService Plus respondiendo a una serie de preguntas personales. Las respuestas se almacenan de forma segura en la base de datos de ADSelfService Plus después del cifrado. Para restablecer sus contraseñas o para desbloquear sus cuentas, los usuarios deben verificar su identidad respondiendo a las preguntas a las que respondieron previamente.
Los administradores pueden fortalecer aún más el proceso de verificación de identidad agregando restricciones adicionales a las preguntas y respuestas.
Códigos de verificación basados en SMS y correo electrónico
Cuando un usuario intenta restablecer su contraseña o desbloquear su cuenta, se le envía un código de verificación a su dispositivo móvil o dirección de correo electrónico. Los administradores también pueden enviar un enlace seguro por correo electrónico que el usuario puede utilizar para restablecer su contraseña. Los administradores pueden configurar el número de veces que un usuario puede introducir credenciales no válidas antes de bloquear temporalmente el inicio de sesión.
Nota: Los administradores pueden configurar ADSelfService Plus para extraer el dispositivo móvil y la dirección de correo electrónico de los atributos LDAP correspondientes de Active Directory.
Google Authenticator
ADSelfService Plus admite Google Authenticator, una aplicación de autenticación de terceros ampliamente utilizada para teléfonos móviles. Los usuarios se registran con ADSelfService Plus escaneando un código QR. Al realizar una operación de autoservicio, el usuario deberá abrir la aplicación e ingresar el código que aparece en Google Authenticator para verificar su identidad. Además de Google Authenticator, los administradores pueden utilizar otros autenticadores de terceros basados en el tiempo, como Microsoft Authenticator o Sophos Authenticator.
Duo Security
La autenticación multifactor en ADSelfService Plus es compatible con Duo Security, una plataforma de acceso ampliamente confiable que protege a las organizaciones mediante la verificación de las identidades de los usuarios. Los usuarios deben registrarse en Duo Security. Cuando habilitado este procedimiento de autenticación se encuentra habilitado y los usuarios intentan restablecer contraseñas o desbloquear cuentas, deberán seleccionar un modo de comunicación (notificación push, SMS o llamada) a través del cual Duo Security enviará un código de verificación. Tras una verificación satisfactoria, los usuarios podrán restablecer sus contraseñas y sus cuentas.
RSA SecurID
ADSelfService Plus se puede integrar con RSA SecureID para proporcionar autenticación segura a los usuarios que intenten acceder a un recurso de red. Al restablecer una contraseña o desbloquear una cuenta, los usuarios pueden utilizar los códigos de seguridad generados por la aplicación móvil RSA SecureID, los tokens de hardware o los tokens recibidos por correo electrónico o SMS para iniciar sesión en ADSelfService Plus.
RADIUS
ADSelfService Plus le permite a los administradores añadir RADIUS como una vía adicional para la autenticación de usuarios. Cuando los administradores habilitan RADIUS, los usuarios deberán proporcionar sus contraseñas RADIUS para autenticarse. Una vez que se verifica la cuenta, el usuario puede continuar con la realización de la operación de autoservicio o pasar al siguiente procedimiento de autenticación según lo establecido en el protocolo.
Con el fin de evitar que usuarios maliciosos intenten adivinar las respuestas varias veces, los administradores pueden configurar un bloqueo temporal para cualquier cuenta que alcance un número específico de respuestas incorrectas dentro de un período de tiempo determinado.
Cómo funciona
El proceso de verificación de identidad comienza cuando el usuario accede a la aplicación ADSelfService Plus y hace clic en el enlace “restablecer contraseña” o “desbloquear cuenta”. Después de que el usuario ingrese su nombre de usuario y el dominio, el servidor ADSelfService Plus realiza una serie de verificaciones de seguridad.
Verificación de la afiliación de dominio: Verifica si el usuario está afiliado al dominio especificado.
Verificación de la configuración de directivas: Verifica si el usuario tiene permiso para restablecer su contraseña o desbloquear su cuenta a través de ADSelfService Plus. Las directivas de ADSelfService Plus se pueden configurar para que los usuarios finales solo tengan acceso a ciertas funcione de autoservicio.
Verificación del estado del registro: Verifica si el usuario está registrado con ADSelfService Plus respondiendo a las preguntas de seguridad, actualizando su número de móvil o dirección de correo electrónico y sincronizando su cuenta de Google Authenticator. Solo los usuarios registrados pueden restablecer contraseñas y desbloquear cuentas.
Verificación de usuarios bloqueados: Verifica si la cuenta de usuario ha sido bloqueada por el servidor de ADSelfService Plus para realizar acciones de autoservicio debido a varias acciones no válidas. Los usuarios que no ingresen el código de verificación y/o las respuesta(s) correcta(s) a las preguntas de seguridad serán bloqueados por la aplicación después de un cierto número de intentos según lo establecido por el administrador ADSelfService Plus. Esto ayuda a prevenir ataques de Bots, ataques de denegación de servicio y otros tipos de ataques.
Una vez realizadas las verificaciones preliminares, ADSelfService Plus confirma la identidad del usuario ejecutando los procedimientos de autenticación configurados por el administrador.
Beneficios
Capa de seguridad adicional: El método de seguridad de preguntas y respuestas, ampliamente utilizado en las redes sociales, ha perdido su efectividad debido a que los usuarios proporcionan preguntas y respuestas fáciles de encontrar para los piratas informáticos. Al agregar códigos de verificación y Google Authenticator al proceso de verificación de identidad, ADSelfService Plus puede proteger aún más las cuentas.
Fácil de usar: El fácil acceso al correo electrónico y los teléfonos móviles ha hecho de estos dispositivos una opción más sencilla para que los usuarios puedan administrar sus cuentas desde cualquier lugar.
Control para los administradores: Los administradores tienen control completo sobre si elegir uno o todos los modos de autenticación para mayor seguridad.
Notificación por correo electrónico con el auto-servicio de la contraseña: Cada vez que un usuario realice una acción de autoservicio, recibirá una notificación por correo electrónico de ADSelfService Plus. La notificación por correo electrónico actúa como una alerta en caso de actividad no autorizada de la cuenta y le permite al usuario reaccionar y evitar daños adicionales.
ADSelfService Plus trusted by
