Vérification d'identité des utilisateurs dans ADSelfService Plus

Besoin de vérification d'identité

Permettre aux utilisateurs de réinitialiser leur mot de passe ou de débloquer leur compte engendre des risques. Il arrive qu'un malfaiteur se fasse passer pour un utilisateur valide afin de voler des identifiants. Pour garantir que seuls les utilisateurs prévus accèdent au portail en libre-service, il faut des procédures d'authentification strictes afin d'établir les identités des utilisateurs.

Pour garantir que seuls les utilisateurs autorisés accèdent au portail de connexion en libre-service, ADSelfService Plus applique les méthodes d'authentification suivantes afin de vérifier l'identité des utilisateurs :

  • Questions et réponses de sécurité
  • Codes de vérification par SMS ou e-mail
  • Google Authenticator

Les administrateurs ont la faculté de choisir toutes les procédures d'authentification ou une combinaison des méthodes disponibles en fonction de leurs besoins.

Settings configuration

Questions et réponses de sécurité

Les utilisateurs s'inscrivent à ADSelfService Plus en répondant à une série de questions personnelles. Les réponses sont alors enregistrées en toute sécurité dans la base de données ADSelfService Plus après un chiffrement. Pour réinitialiser leurs mots de passe ou débloquer leurs comptes, les utilisateurs doivent vérifier leur identité en répondant aux questions établies auparavant.

End-user portal

Les administrateurs peuvent renforcer davantage la vérification d'identité en définissant d'autres restrictions pour les questions et les réponses.

Configuration

Codes de vérification par SMS ou e-mail

Lorsqu'un utilisateur tente de réinitialiser son mot de passe ou de débloquer son compte, un code de vérification est envoyé au numéro de mobile ou à l'adresse électronique de cet utilisateur. Les administrateurs ont aussi l'option d'envoyer un lien sécurisé par e-mail qui permet à l'utilisateur de réinitialiser son mot de passe. Les administrateurs peuvent configurer le nombre de tentatives non valides qui, une fois atteint, déclenche un blocage temporaire de la connexion de l'utilisateur.

Advanced settings

Remarque : Les administrateurs peuvent configurer ADSelfService Plus pour extraire le numéro de mobile et l'adresse électronique des attributs LDAP correspondants dans Active Directory.

Google Authenticator

Configuration

ADSelfService Plus prend en charge Google Authenticator, une application d'authentification tierce largement utilisée pour les téléphones mobiles. Les utilisateurs s'inscrivent à ADSelfService Plus en lisant un code QR. Lorsqu'il effectue une opération en libre-service, l'utilisateur doit entrer le code affiché dans Google Authenticator pour vérifier son identité.

Outre Google Authenticator, les administrateurs peuvent utiliser d'autres outils d'authentification temporelle tiers comme Microsoft Authenticator ou Sophos Authenticator.

Block users

Pour empêcher des utilisateurs malveillants de tenter de deviner des réponses à plusieurs reprises, les administrateurs peuvent configurer un blocage temporaire pour un compte qui cumule un nombre défini de mauvaises réponses dans un intervalle donné

Principe de fonctionnement

Le processus de vérification d'identité démarre quand l'utilisateur accède à l'application ADSelfService Plus et clique sur le lien de réinitialisation du mot de passe ou de déblocage du compte. Une fois que l'utilisateur entre son nom d'utilisateur et le domaine, le serveur ADSelfService Plus effectue une série de contrôles de sécurité.

Identity verification process in ADSelfService Plus

Contrôle d'affiliation du domaine : Vérifie si l'utilisateur est affilié au domaine indiqué.

Contrôle des paramètres de stratégie : Vérifie si l'utilisateur a l'autorisation de réinitialiser le mot de passe ou de débloquer le compte via ADSelfService Plus. Les stratégies ADSelfService Plus sont configurables de sorte que l'utilisateur ne dispose que de certaines fonctions nécessaires.

Contrôle d'état d'inscription : Vérifie si l'utilisateur s'est inscrit à ADSelfService Plus en répondant aux questions de sécurité, en mettant à jour son numéro de mobile ou son adresse électronique et en synchronisant son compte Google Authenticator. Seuls les utilisateurs inscrits sont autorisés à réinitialiser des mots de passe ou à débloquer des comptes.

Contrôle d'utilisateur bloqué : Vérifie si le compte d'utilisateur est bloqué par le serveur ADSelfService Plus pour l'empêcher d'effectuer des actions en libre-service en raison de plusieurs actions non valides. Les utilisateurs qui ne réussissent pas à entrer le code de vérification correct et/ou les réponses aux questions de sécurité sont bloqués par l'application après un certain nombre de tentatives, comme établi par l'administrateur ADSelfService Plus. Il garantit ainsi la sécurité contre les attaques de robots, par déni de service ou d'autres types.

Une fois les contrôles préliminaires effectués, le produit procède à la vérification de l'identité de l'utilisateur en exécutant les procédures d'authentification configurées par l'administrateur.

Avantages

Niveau de sécurité complémentaire : : La méthode des questions-réponses de sécurité largement utilisée, notamment par les médias sociaux, est devenue déficiente, car les utilisateurs fournissent des questions et des réponses que les hackers trouvent facilement. En ajoutant des codes de vérification et Google Authenticator au processus de vérification d'identité, ADSelfService Plus renforce la sécurité des comptes.

Convivialité : Comme l'utilisateur peut accéder facilement à une messagerie ou à un téléphone mobile, il dispose ainsi d'une option plus simple pour gérer son compte en mobilité.

Contrôle de l'administrateur : Les administrateurs disposent d'un contrôle complet sur le choix de l'un ou de tous les modes d'authentification pour une sécurité renforcée.

Notification par e-mail d'une action en libre-service :

Notification par e-mail d'une action en libre-service :

Download