Vérification d'identité des utilisateurs dans ADSelfService Plus

Permettre aux utilisateurs de réinitialiser leurs mots de passe ou de débloquer leurs propres comptes engendre des risques de sécurité. Il arrive qu'un malfaiteur se fasse passer pour un utilisateur valide afin de voler des identifiants. Pour garantir que seuls les utilisateurs prévus accèdent au portail en libre-service, ADSelfService Plus utilise les méthodes d'authentification strictes suivantes afin de vérifier l'identité des utilisateurs :

Les administrateurs ont la faculté de choisir toutes les procédures d'authentification ou une combinaison des méthodes disponibles en fonction de leurs besoins.

Settings configuration

Questions et réponses de sécurité

Les utilisateurs s'inscrivent à ADSelfService Plus en répondant à une série de questions personnelles. Les réponses sont alors enregistrées en toute sécurité dans la base de données ADSelfService Plus après un chiffrement. Pour réinitialiser leurs mots de passe ou débloquer leurs comptes, les utilisateurs doivent vérifier leur identité en répondant aux questions établies auparavant.

End-user portal

Les administrateurs peuvent renforcer davantage la vérification d'identité en ajoutant d'autres restrictions pour les questions et les réponses.

Configuration

Codes de vérification par SMS ou e-mail

Lorsqu'un utilisateur tente de réinitialiser son mot de passe ou de débloquer son compte, un code de vérification est envoyé à son appareil mobile ou son adresse électronique. Les administrateurs peuvent aussi envoyer un lien sécurisé par e-mail qui permet à l'utilisateur de réinitialiser son mot de passe. Les administrateurs peuvent configurer le nombre de tentatives non valides qui, une fois atteint, déclenche un blocage temporaire de la connexion de l'utilisateur..

Advanced settings

Remarque : Les administrateurs peuvent configurer ADSelfService Plus pour extraire le numéro de mobile et l'adresse électronique des attributs LDAP correspondants dans Active Directory.

Configuration

Google Authenticator

ADSelfService Plus prend en charge Google Authenticator, une application d'authentification tierce largement utilisée pour les téléphones mobiles. Les utilisateurs s'inscrivent à ADSelfService Plus en lisant un code QR. Lorsqu'il effectue une opération en libre-service, l'utilisateur doit ouvrir l'application et entrer le code affiché dans Google Authenticator pour vérifier son identité.

Outre Google Authenticator, les administrateurs peuvent utiliser d'autres outils d'authentification temporelle tiers comme Microsoft Authenticator ou Sophos Authenticator.

Duo Security

Duo Security

L'authentification multifacteur dans ADSelfService Plus prend en charge Duo Security, une plateforme d'accès de grande confiance qui protège les entreprises en vérifiant les identités des utilisateurs. Les utilisateurs doivent s'inscrire auprès de Duo Security. Lorsque cette procédure d'authentification est activée et que les utilisateurs tentent de réinitialiser des mots de passe ou de débloquer des comptes, ils doivent sélectionner un mode de communication (notification directe, SMS ou appel) par lequel Duo Security envoie un code de vérification. Une fois la vérification réussie, les utilisateurs peuvent effectuer l'opération en libre-service.

RSA SecurID

RSA SecurID

Vous pouvez intégrer ADSelfService Plus à RSA SecurID pour fournir une authentification sécurisée aux utilisateurs tentant d'accéder à une ressource réseau. Lorsqu'ils réinitialisent un mot de passe ou débloquent un compte, les utilisateurs disposent des codes de sécurité générés par l'application mobile RSA SecurID, des jetons matériels ou des jetons reçus par e-mail ou SMS pour se connecter à ADSelfService Plus.

Block users

RADIUS

ADSelfService Plus permet aux administrateurs d'ajouter RADIUS comme autre moyen d'authentification des utilisateurs. Une fois RADIUS activé par les administrateurs, les utilisateurs doivent fournir leurs mots de passe RADIUS pour s'authentifier. Une fois le compte vérifié, l'utilisateur peut procéder à l'exécution de l'opération en libre-service ou passer à la procédure d'authentification suivante comme l'exige le protocole.

Block users

Pour empêcher des utilisateurs malveillants de tenter de deviner des réponses à plusieurs reprises, les administrateurs peuvent configurer un blocage temporaire pour un compte qui cumule un nombre défini de mauvaises réponses dans une période donnée.

Principe de fonctionnement

Le processus de vérification d'identité démarre quand l'utilisateur accède à l'application ADSelfService Plus et clique sur le lien de réinitialisation du mot de passe ou de déblocage du compte. Une fois que l'utilisateur entre son nom d'utilisateur et le domaine, le serveur ADSelfService Plus effectue une série de contrôles de sécurité.

Identity verification process in ADSelfService Plus

Contrôle d'affiliation du domaine : Vérifie si l'utilisateur est affilié au domaine indiqué.

Contrôle des paramètres de stratégie : Vérifie si l'utilisateur a l'autorisation de réinitialiser son mot de passe ou de débloquer son compte via ADSelfService Plus. Les stratégies ADSelfService Plus sont configurables de sorte que l'utilisateur n'ait accès qu'à certaines fonctions nécessaires.

Contrôle d'état d'inscription : Vérifie si l'utilisateur s'est inscrit à ADSelfService Plus en répondant aux questions de sécurité, en mettant à jour son numéro de mobile ou son adresse électronique et en synchronisant son compte Google Authenticator. Seuls les utilisateurs inscrits sont autorisés à réinitialiser des mots de passe ou à débloquer des comptes.

Contrôle d'utilisateur bloqué : Vérifie si le compte d'utilisateur est bloqué par le serveur ADSelfService Plus pour l'empêcher d'effectuer des actions en libre-service en raison de plusieurs actions non valides. Les utilisateurs qui ne réussissent pas à entrer le code de vérification correct et/ou les réponses aux questions de sécurité sont bloqués par l'application après un certain nombre de tentatives, comme établi par l'administrateur ADSelfService Plus. Cela permet de prévenir les attaques de robots, par déni de service ou d'autres types.

Une fois les contrôles préliminaires effectués, ADSelfService Plus vérifie l'identité de l'utilisateur en exécutant les procédures d'authentification configurées par l'administrateur.

Avantages

Niveau de sécurité complémentaire : La méthode des questions-réponses de sécurité largement utilisée, notamment par les médias sociaux, est devenue déficiente, car les utilisateurs fournissent des questions et des réponses que les hackers trouvent facilement. En ajoutant des codes de vérification et Google Authenticator au processus de vérification d'identité, ADSelfService Plus renforce la sécurité des comptes.

Convivialité : Comme l'utilisateur peut accéder facilement à une messagerie ou à un téléphone mobile, il dispose ainsi d'une option plus simple pour gérer son compte en mobilité.

Contrôle de l'administrateur : Les administrateurs disposent d'un contrôle complet sur le choix de l'un ou de tous les modes d'authentification pour une sécurité renforcée.

Notification par e-mail d'une action en libre-service : Quand une action en libre-service est effectuée pour un utilisateur, celui-ci reçoit une notification par e-mail d'ADSelfService Plus. Cette notification agit comme une alerte en cas d'activité non autorisée sur le compte et permet à l'utilisateur de réagir et de prévenir d'autres dommages.