Adoptez un outil MFA pour renforcer votre cyberdéfense
L’authentification multifacteur (MFA) permet de réduire la surface d’attaque et protège votre entreprise en exigeant un niveau supérieur de garantie de l’identité. On peut l’activer pour tous les utilisateurs et tous les systèmes (applications et terminaux cloud et sur site) du réseau. ManageEngine ADSelfService Plus permet de déployer efficacement et facilement l’authentification multifacteur dans votre organisation et de protéger votre activité.
MFA pour réinitialisation de mot de passe en libre-service
Permet aux utilisateurs d’effectuer une réinitialisation de mot de passe et un déverrouillage de compte en libre-service une fois qu’ils ont prouvé leur identité via les authentificateurs imposés.
MFA pour accès à des applications
Régule l’accès aux applications d’entreprise via l’authentification unique (SSO) avec des authentificateurs avancés comme la biométrie ou RSA SecurID.
MFA pour accès aux terminaux
Sécurise l’accès local et à distance à Windows, macOS et Linux OS via l’authentification multifacteur.
Déployez l’authentification multifacteur partout où vous en avez besoin
ADSelfService Plus permet aux administrateurs informatiques de déclencher un workflow d’authentification préconfiguré dès qu’un utilisateur effectue une action de mot de passe en libre-service, d’authentification unique ou de connexion à un terminal. Ce workflow aide les administrateurs à appliquer différents authentificateurs à diverses séries d’utilisateurs, selon leur unité d’organisation, domaine et appartenance à un groupe.
Principaux avantages d’utiliser l’authentification multifacteur avec ADSelfService Plus
Sécurité des tentatives de connexion à distance
ADSelfService Plus sécurise les tentatives de connexion locale et à distance aux serveurs et aux postes de travail.
Défense contre les attaques liées aux identifiants
L’authentification multifacteur aide à lutter contre toutes les cyberattaques liées aux identifiants, notamment par force brute, test de mots de passe faibles ou de dictionnaire.
Assurance de la conformité réglementaire
ADSelfService Plus répond aux normes de conformité NIST SP 800-63B, NYCRR, FFIEC, GDPR et HIPAA.
Mode de vérification des identités des utilisateurs
Liste complète des authentificateurs pris en charge par ADSelfService Plus
Questions et réponses de sécurité
Les utilisateurs s'inscrivent à ADSelfService Plus en répondant à plusieurs questions précises. Les réponses sont alors enregistrées en toute sécurité dans la base de données ADSelfService Plus après un chiffrement. Pour réinitialiser leur mot de passe ou déverrouiller leur compte, les utilisateurs doivent prouver leur identité en répondant aux questions posées auparavant. Les administrateurs peuvent renforcer davantage la vérification d'identité avec des options pour empêcher les utilisateurs d’employer les mêmes réponses à plusieurs questions, ou un mot des questions et d’autres paramètres.
Codes de vérification par SMS ou courrier électronique
Lorsqu'un utilisateur tente de réinitialiser son mot de passe ou de déverrouiller son compte, un code de vérification est envoyé à son numéro de mobile ou son adresse électronique. Les administrateurs peuvent aussi envoyer un lien sécurisé par courrier qui permet à l'utilisateur de réinitialiser son mot de passe ou indiquer le nombre de tentatives avortées qui, une fois atteint, déclenche un blocage temporaire de la connexion de l'utilisateur. Pour envoyer le lien de réinitialisation de mot de passe, les administrateurs peuvent configurer ADSelfService Plus afin d’obtenir le numéro de mobile ou l’adresse électronique dans les attributs LDAP (Lightweight Directory Access Protocol) concernés d’Active Directory (AD).
Google Authenticator
ADSelfService Plus prend en charge Google Authenticator, une application d'authentification tierce largement utilisée pour les téléphones mobiles. Les utilisateurs s'inscrivent à ADSelfService Plus en lisant un code QR. Lorsqu'il effectue une opération en libre-service, l'utilisateur doit ouvrir l'application et entrer le code affiché dans Google Authenticator pour prouver son identité.
Microsoft Authenticator
ADSelfService Plus prend en charge Microsoft Authenticator, une application d'authentification tierce largement utilisée pour les téléphones mobiles. Une fois l’utilisateur inscrit à ADSelfService Plus, il peut prouver son identité lors d’opérations en libre-service ou de connexion à un terminal en entrant le code affiché dans Microsoft Authenticator.
YubiKey Authenticator
ADSelfService Plus prend en charge YubiKey, un dispositif d’authentification qui s’identifie comme un clavier et fournit un mot de passe à usage unique. Une fois l’utilisateur inscrit, le dispositif YubiKey lui permet de prouver son identité lors d’opérations en libre-service ou de connexion à un terminal.
Utilisation de YubiKey pour prouver son identité
- 1. Poste de travail : l’utilisateur connecte le dispositif YubiKey à son poste de travail ou ordinateur portable, place le curseur dans le champ correspondant et appuie sur le bouton du dispositif ou le maintient enfoncé. Le code est automatiquement mis à jour.
- 2. Appareil mobile : lorsque l’utilisateur appuie sur le dispositif YubiKey sur son appareil mobile, il est redirigé vers une page affichant un code secret. Il copie le code secret et le colle dans le champ concerné pour prouver son identité.
Duo Security
ADSelfService Plus prend en charge Duo Securitypour l’authentification multifacteur. Les utilisateurs doivent d’abord s'inscrire auprès de Duo Security. Lorsqu’on active cette méthode d'authentification et que les utilisateurs tentent de réinitialiser des mots de passe ou de déverrouiller des comptes, ils doivent choisir un mode de communication (notification directe, SMS ou appel) par lequel Duo Security envoie un code de vérification. Une fois la vérification réussie, l’utilisateur peut employer le libre-service pour gérer son mot de passe et son compte.
RSA SecurID
On peut intégrer ADSelfService Plus à RSA SecurID pour offrir une authentification protégée aux utilisateurs tentant d'accéder à une ressource réseau. Lorsqu'ils réinitialisent un mot de passe ou déverrouillent un compte, les utilisateurs disposent des codes de sécurité générés par l'application mobile RSA SecurID, des jetons matériels ou des jetons reçus par courrier ou SMS pour se connecter à ADSelfService Plus.
RADIUS
ADSelfService Plus permet aux administrateurs d'ajouter RADIUS comme autre moyen d'authentification des utilisateurs. Les utilisateurs doivent fournir leurs mots de passe RADIUS pour s'authentifier. Une fois leurs comptes vérifiés, les utilisateurs peuvent effectuer des opérations en libre-service ou passer au facteur d’authentification suivant comme l’exige le protocole.
Notifications directes
Il s’agit de l’une des méthodes d’authentification les plus faciles et rapides. Une fois la notification directe activée, l’utilisateur reçoit une demande de connexion envoyée d’ADSelfService Plus pour son appareil mobile enregistré. Il peut approuver la demande d’authentification ou la rejeter s’il n’est pas à son origine. Une fois inscrit, l’utilisateur peut aussi réinitialiser son mot de passe ou déverrouiller son compte de l’application mobile via notification directe.
Authentification par empreinte digitale
Les empreintes digitales d’un individu sont uniques et offrent l’une des méthodes d’authentification les plus faciles mais fiables. Si l’appareil mobile enregistré d’un utilisateur possède un capteur d’empreinte digitale, elle permet d’authentifier une réinitialisation de mot de passe ou un déverrouillage de compte de l’application mobile ADSelfService Plus.
Authentification Face ID
L’authentification biométrique est l’une des méthodes d’authentification les plus fiables disponibles actuellement. ADSelfService Plus permet la vérification d’identité via Face ID (reconnaissance faciale) sur des appareils mobiles iOS pour les utilisateurs ayant installé et configuré l’application mobile ADSelfService Plus sur leur iPhone.
Authentification par code QR
L’utilisateur n’a besoin que de l’application mobile ADSelfService Plus pour s’authentifier via des codes QR. Il peut simplement lire le code QR qu’affiche le portail Web ADSelfService Plus sur son appareil mobile enregistré pour exécuter l’opération.
Mot de passe à usage unique et durée définie (TOTP)
L’une des méthodes d’authentification les plus courantes est un mot de passe à usage unique et durée définie (TOTP). L’application mobile ADSelfService Plus génère des TOTP qui changent chaque minute. Lors du processus d’authentification, l’utilisateur dispose d’une minute pour taper le code secret à six chiffres et effectuer la vérification d'identité.
Questions de sécurité AD
ADSelfService Plus permet aux administrateurs d’établir des questions de sécurité basées sur Active Directory comme l’une des méthodes d’authentification pour vérifier l’identité des utilisateurs lors d’une réinitialisation de mot de passe en libre-service. Une fois cette méthode activée, les questions de sécurité sont liées à un attribut Active Directory et l’utilisateur s'authentifie avec succès si ses réponses correspondant à la valeur de cet attribut. Par exemple, supposons que l’administrateur choisit « quel est votre numéro de sécurité sociale ? » comme question de sécurité AD. Lorsque l’utilisateur tente de réinitialiser un mot de passe, il doit indiquer son numéro de sécurité sociale en réponse (valeur définie de l’attribut personnalisé). Si la valeur indiquée est incorrecte, la réinitialisation de mot de passe est annulée. Cette méthode utilisant les attributs Active Directory de l’utilisateur, il ne doit pas s’inscrire séparément à ADSelfService Plus.