Déploiement en libre-service des mots de passe

ADSelfService Plus permet aux utilisateurs de réinitialiser leurs mots de passe, débloquer leurs comptes et mettre à jour leurs informations d'annuaire en toute sécurité sans intervention de l'assistance informatique. Pour déployer les fonctionnalités de libre-service de réinitialisation de mot de passe d'ADSelfService Plus, suivez ce processus simple en quatre étapes.

Configurer les politiques de libre-service

ADSelfService Plus offre quatre fonctionnalités clés en libre-service :

• Réinitialisation de mot de passe
• Déblocage de compte
• Mise à jour en libre-service de l'annuaire
• Changement de mot de passe

Les politiques déterminent qui a accès à quelles fonctionnalités en libre-service. Vous pouvez les assigner aux utilisateurs selon leur OU ou leur appartenance à un groupe.

Pour créer une politique de libre-service :

1. Naviguez vers Configuration > Libre-Service > Configuration des Politiques.
2. Cliquez +Ajouter une nouvelle politique.
3. Saisissez un nom descriptif pour la politique.
4. Cochez les cases pour les fonctionnalités en libre-service que vous souhaitez activer, telles que Réinitialiser le mot de passe ou Débloquer le compte.
5. Cliquez Sélectionnez les OU/Groupes et assignez la politique aux utilisateurs souhaités. Vous pouvez appliquer des politiques basées sur les OU, l'appartenance aux groupes ou une combinaison des deux.

   Astuce: Utilisez plusieurs politiques si différents départements ou rôles ont besoin de fonctionnalités différentes.

6. Cliquez Enregistrer la politique.

Référez-vous à cette page pour plus de détails sur la configuration avancée des politiques

Configurer la vérification d'identité (MFA)

Pour renforcer la sécurité, les utilisateurs doivent vérifier leur identité avant d'effectuer des actions en libre-service. ADSelfService Plus prend en charge 20 méthodes d'authentification multi-facteurs (MFA) pour sécuriser ce processus.

Pour configurer la MFA pour les actions de libre-service sur les mots de passe :

1. Naviguez vers Configuration > Libre-Service > Authentification Multi-facteurs > Configuration des authenticators.
2. Vous verrez ici tous les authenticators disponibles (par exemple, Google Authenticator, vérification par email, YubiKey, et clés FIDO).
3. Cliquez sur l'authenticator que vous souhaitez activer pour vos utilisateurs. Suivez les instructions à l'écran pour toute configuration nécessaire, comme la configuration d'un serveur email ou des clés API.
4. Cliquez Enregistrer.
5. Ensuite, naviguez vers l' onglet MFA pour Réinitialisation/Déblocage pour appliquer la MFA aux réinitialisations de mot de passe et déblocages de compte.
6. Définissez le nombre d'authenticators à demander et spécifiez les authenticators que l'utilisateur doit satisfaire lors des actions en libre-service.
7. Cliquez Enregistrer les paramètres.

Les méthodes d'authentification disponibles dans ADSelfService Plus incluent :

En cliquant sur les liens ci-dessus, vous pouvez consulter les étapes de configuration pour chacune de ces méthodes d'authentification.

Enregistrer les utilisateurs

Pour que la MFA fonctionne, les utilisateurs doivent s'enregistrer en fournissant les informations de vérification (comme leur numéro de téléphone, réponses de sécurité ou configuration de l'application d'authentification). Vous pouvez gérer ce processus pour eux ou laisser les utilisateurs s'enregistrer eux-mêmes.

Enregistrement dirigé par l'administrateur (aucune action utilisateur requise)

• Importer depuis un fichier CSV : Naviguez vers Configuration > Outils administratifs > Enregistrement rapide > Importer les données d'enregistrement depuis un CSV pour importer en masse les données utilisateurs comme les numéros de mobile et adresses email. Cliquez ici pour plus de détails.
• Importer depuis une base de données externe : Connectez-vous aux bases de données externes (MS SQL, PostgreSQL, etc.) sous Configuration > Outils administratifs > Enregistrement rapide > Importer les données d'enregistrement depuis une base de données externe pour synchroniser les données utilisateurs. Vous pouvez également configurer un planificateur pour rechercher régulièrement les nouveaux utilisateurs ajoutés dans les sources de données externes connectées et les enregistrer dans ADSelfService Plus. Pour plus d'informations sur l'importation des données d'enregistrement à partir d'une base de données externe, cliquez ici.

Note: Pour les méthodes MFA telles que les questions de sécurité AD, la vérification par email et par SMS, ADSelfService Plus peut récupérer les valeurs directement depuis les attributs AD (sAMAccountName, mail ou mobile), aucun enregistrement n'est donc requis.

Enregistrement dirigé par l'utilisateur

Les utilisateurs peuvent s'enregistrer avec ADSelfService Plus via le client Web ADSelfService Plus ou l'application mobile ADSelfService Plus dans la section Enregistrement. Pour imposer l'enregistrement des utilisateurs, vous pouvez appliquer les mesures suivantes : Notifications d’enregistrement :

• Envoyer une notification d'enregistrement par Email/SMS/Push Naviguez vers Configuration > Outils administratifs > Enregistrement rapide > . Activez et programmez des notifications automatisées par email, SMS ou push pour rappeler aux utilisateurs non inscrits de compléter leur enregistrement.Forcer l'enregistrement via un script de connexion : Cliquez ici pour plus de détails.
• Sous Forcer l'enregistrement via script de connexion Configuration > Outils administratifs > Enregistrement rapide > , vous pouvez associer un script de connexion aux utilisateurs non enregistrés. Cela forcera les utilisateurs à s'enregistrer lors de leur prochaine connexion à leur machine. Vous pouvez aussi programmer un planificateur pour vérifier périodiquement la présence d’utilisateurs non enregistrés ou nouvellement ajoutés et configurer des scripts de connexion pour leurs comptes. Pour les étapes d'activation des scripts de connexion,Sécuriser les actions en libre-service cliquez ici.

Enfin, affine vos paramètres de sécurité pour ajouter des couches supplémentaires de protection au processus en libre-service et sécuriser vos comptes utilisateurs.

Configuration > Centre de sécurité

Naviguez vers pour revoir et activer ces paramètres recommandés : Catégorie de paramètre

Actions recommandées	Protection des comptes
Bloquer les utilisateurs :	Verrouiller automatiquement le compte d'un utilisateur après un nombre spécifié de tentatives de vérification d'identité échouées. CAPTCHA : Activez CAPTCHA pour prévenir les attaques automatisées par bots. Timeout de session : Déconnecter automatiquement les utilisateurs du portail après une période d'inactivité. Restreindre les utilisateurs inactifs. Politiques de mot de passe
Appliquer un niveau de complexité pour les mots de passe :	Enforce password strength level: Créez et appliquez des politiques de mot de passe granulaires et personnalisées qui vont au-delà de la politique par défaut AD. Obliger le changement lors de la prochaine connexion : Exigez que les utilisateurs changent leur mot de passe immédiatement lors de leur prochaine connexion après une réinitialisation de mot de passe.
Sécurité de l'authentificateur	Empêcher la réutilisation des réponses : Empêchez les utilisateurs de fournir la même réponse pour plusieurs questions de sécurité. Améliorer la sécurité des réponses : Empêchez les utilisateurs d'utiliser un mot de la question dans leurs réponses. Randomiser les questions : Affichez un sous-ensemble aléatoire des questions de sécurité auxquelles un utilisateur est inscrit lors de la vérification. Cacher les réponses : Masquez les réponses de sécurité lors des opérations de réinitialisation et de déverrouillage de mot de passe. Rendez les réponses de sécurité sensibles à la casse.
Système et réseau	Connexions sécurisées : Appliquez HTTPS (SSL) pour le portail web et LDAPS pour la communication avec le contrôleur de domaine. Notifications par email : Informez automatiquement les utilisateurs par email lorsqu'une action d’auto-service de mot de passe est effectuée sur leur compte.