Techniques d'authentification multifacteur dans ADSelfService Plus

Jetons un coup d'œil aux différentes méthodes d'authentification prises en charge par ADSelfService Plus pour l'authentification multifacteur d'entreprise.

Pourquoi l'authentification multifacteur ?

L'authentification basée uniquement sur des noms d'utilisateur et des mots de passe n'est plus considérée comme sûre. L'authentification par mot de passe seule laisse les comptes des utilisateurs vulnérables aux menaces telles que les attaques par force brute et par dictionnaire. Pour atténuer ces risques de sécurité, ADSelfService Plus vérifie les identités des utilisateurs en utilisant l'authentification multifacteur ainsi que les informations d'identification Active Directory par défaut. ADSelfService Plus utilise l’authentification multifacteur pour la vérification de l'identité pendant :

• Les connexions Windows, macOS et Linux (si le logiciel client ADSelfService Plus est installé).
• Les connexions au portail ADSelfService Plus.
• Les connexions aux applications d'entreprise par l'authentification unique (SSO).
• Les actions en libre-service Active Directory de réinitialisation du mot de passe ou de déverrouillage de compte via le portail ADSelfService, l'application mobile ADSelfService Plus et les écrans de connexion natifs de Windows, macOS et Linux (si le logiciel client ADSelfService Plus est installé).
• Les connexions VPN (si l'extension Network Policy Server est installée).
• Les connexions à Outlook Web Access (si l'extension d'authentification multifacteur d'Internet Information Services est installée).

Différentes techniques d'authentification disponibles dans ADSelfService Plus

1. Authentification par empreinte digitale/Face ID : Les utilisateurs de périphériques mobiles équipés d’un capteur d'empreintes digitales ou de Face ID peuvent utiliser cette méthode pour la vérification d'identité. L'inscription est effectuée à l'aide de l'application mobile ADSelfService Plus. Les étapes de l'inscription sont affichées sous l'onglet Inscription une fois que l'administrateur a configuré cette méthode. Lors de l'authentification multifacteur, les utilisateurs doivent scanner leurs empreintes digitales ou leur visage et cliquer sur Accepter pour que l'authentification soit réussie.
2. Authentificateur YubiKey : YubiKey est une clé matérielle qui utilise des codes pour l'authentification multifacteur. L'inscription se fait soit en branchant le périphérique YubiKey à la station de travail et en appuyant sur son bouton (dans le cas du portail de l'utilisateur final ADSelfService Plus), soit en sans contact avec l'appareil mobile (dans le cas de l'application mobile ADSelfService Plus). Une fois terminé, le code est automatiquement mis à jour dans le champ prévu à cet effet dans ADSelfService Plus. Les utilisateurs doivent suivre les mêmes étapes pour vérifier leur identité lors de l'authentification multifacteur.
3. RSA SecurID : RSA SecurID est une autre méthode qui utilise des codes de passe pour l'authentification multifacteur. Pour s'inscrire, les utilisateurs saisissent le code d'accès fourni par l'administrateur. Ensuite, pour prouver leur identité, les utilisateurs saisissent un code d'accès à usage unique généré via :
   • Un jeton matériel.
   • L'application mobile RSA SecurID.
   • Des jetons reçus par e-mail ou SMS.
4. Duo Security : Duo Security est une solution d'authentification qui utilise des méthodes telles que :
   • Codes de vérification par SMS.
   • Vérification par appel téléphonique.
   • Codes de vérification basés sur les applications.
   • Notifications push.

   Une fois configurés, les utilisateurs doivent soit saisir un code qu'ils reçoivent, soit accepter une notification pour s'authentifier. Pour l'inscription, les utilisateurs doivent mentionner la méthode qu'ils utiliseront pour l'authentification multifacteur.

5. Authentification multifacteur Azure AD : Les organisations dont l'authentification multifacteur Azure Active Directory est déjà activée peuvent utiliser la configuration existante et laisser les utilisateurs s'authentifier via les méthodes d'authentification préenregistrées dans Azure Active Directory. Les méthodes prises en charge sont les suivantes :
   • Notifications push basées sur l'application Microsoft Authenticator.
   • Codes de vérification basés sur l'application Microsoft Authenticator.
   • Vérification par appel téléphonique.
   • Vérification par SMS.
   • Jetons matériels OATH utilisant Yubico, DeepNet Security, et plus encore.
6. RADIUS: RADIUS utilise des codes de passe pour l'authentification multifacteur. Les utilisateurs sont automatiquement inscrits lorsque l'administrateur configure l'authentification RADIUS. Pour l'authentification multifacteur, il leur suffit de saisir le mot de passe RADIUS fourni par l'administrateur.
7. Google Authenticator : Google Authenticator est une application qui utilise des codes temporisés pour l'authentification. Pour vérifier l'identité de l'utilisateur, l'application génère un code minuté que les utilisateurs devront saisir pour s'authentifier. Les utilisateurs doivent s'inscrire en utilisant l'application pour scanner le code QR affiché sous l'onglet Inscription dans le portail de l'utilisateur final ADSelfService.
8. Microsoft Authenticator : L'application Microsoft Authenticator génère un code minuté que les utilisateurs devront saisir pour s'authentifier. Pour s'inscrire, les utilisateurs doivent installer l'application Microsoft Authenticator et la configurer avec ADSelfService Plus en utilisant le code-barres donné dans le portail libre-service sous l'onglet Inscription.
9. Code de vérification par SMS : Pour cette méthode, les utilisateurs doivent saisir un code à usage unique envoyé à leur appareil mobile pour vérifier leur identité. Les administrateurs peuvent soit choisir le numéro de téléphone mobile dans les profils Active Directory des utilisateurs, soit laisser les utilisateurs spécifier un autre numéro lors de l'inscription.
10. Code de vérification par e-mail : Dans cette méthode, un code à usage unique est envoyé à l'adresse e-mail de l'utilisateur. Les administrateurs peuvent soit choisir l'adresse e-mail à partir des profils Active Directory des utilisateurs, soit laisser les utilisateurs spécifier une autre adresse électronique lors de l'inscription.
11. Mot de passe unique basé sur le temps (TOTP) : L'authentification basée sur TOTP est également réalisée à l'aide de l'application mobile ADSelfService Plus. Après l'inscription, l'authentification est effectuée de manière similaire aux méthodes mentionnées ci-dessus : Les utilisateurs reçoivent un TOTP chaque fois qu'ils doivent prouver leur identité. Ils doivent entrer le TOTP dans un laps de temps donné pour s'authentifier.
12. Authentificateur TOTP personnalisé : Les applications TOTP personnalisées utilisées par les organisations peuvent également être étendues comme méthode d'authentification pour la fonction d'authentification multifacteur d'ADSelfService Plus. Le processus d'inscription dépendra des capacités de l'application. Pour s'authentifier, les utilisateurs devront saisir le TOTP affiché sur l'application dans le champ prévu à cet effet sur le portail du produit, dans le délai imparti.
13. Zoho OneAuth TOTP : Zoho OneAuth est une application qui propose une authentification multifacteur et une authentification unique pour les comptes d'entreprise. La fonction TOTP de l'application peut être exploitée par ADSelfService Plus et utilisée comme méthode d'authentification. Pour s'inscrire, les utilisateurs doivent scanner un code QR affiché dans le portail du produit en utilisant l'application Zoho OneAuth. Une fois inscrits, ils peuvent s'authentifier en saisissant le TOTP affiché sur l'application dans le champ prévu à cet effet sur le portail, dans le délai imparti.
14. Notifications push : Les notifications push sont reçues par l'application mobile ADSelfService Plus installée sur les appareils mobiles des utilisateurs. L'inscription ne peut se faire que via l'application mobile. Les étapes sont mentionnées sous l'onglet Inscription quand l'administrateur a activé les notifications push. Une fois inscrits, les utilisateurs reçoivent une notification qu'ils doivent accepter afin de prouver leur identité.
15. Authentification par code QR : Si cette méthode est activée, les utilisateurs doivent scanner le code QR affiché dans le portail de l'utilisateur final d'ADSelfService Plus en utilisant l'application mobile ADSelfService Plus et sélectionner Accepter pour prouver leur identité. Les utilisateurs peuvent s'inscrire en utilisant l'application en suivant les étapes affichées sous l'onglet Inscription.
16. Authentification SAML : Les organisations qui utilisent déjà des applications de fournisseur d'identité (IdP) basées sur SAML, comme Okta ou OneLogin, peuvent utiliser l'authentification SAML comme méthode de vérification de l'identité des utilisateurs. Si l'authentification SAML est activée, les utilisateurs sont redirigés vers leur URL de connexion IdP pour l'authentification uniquement s'ils effectuent une réinitialisation du mot de passe en libre-service ou un déverrouillage du compte dans ADSelfService Plus. L'inscription n'est pas nécessaire pour cette méthode.
17. Authentification par carte à puce : Cette méthode concerne uniquement l'authentification multifacteur lors des connexions au portail des produits et aux applications d'entreprise. Un utilisateur est authentifié une fois qu’ADSelfService Plus a comparé le fichier de certificat sur la machine de l'utilisateur avec celui dans AD. L'inscription se fait automatiquement lorsque l'utilisateur s'authentifie pour la première fois.
18. Questions et réponses sur la sécurité : Cette méthode consiste en un ensemble prédéfini de questions personnelles telles que « Quelle est votre couleur préférée ? » Ces questions peuvent être configurées par les administrateurs ou les utilisateurs. Les utilisateurs peuvent s'inscrire soit en définissant des questions et des réponses personnalisées, soit en fournissant des réponses à des questions définies par l'administrateur. Ils doivent fournir la réponse correcte à ces questions lors de la vérification d'identité.
19. Questions sur la sécurité basée sur AD : Dans cette méthode, l'administrateur configure des questions basées sur AD qui sont liées à des attributs AD existants ou personnalisés tels que les numéros de sécurité sociale. Pour prouver leur identité, les utilisateurs doivent saisir une réponse qui est ensuite comparée à la valeur de l'attribut dans AD pour leur compte d'utilisateur. Si elles correspondent, l'utilisateur est authentifié. Cette méthode ne nécessite pas l'inscription de l'utilisateur.

Avantages de l'utilisation d'ADSelfService Plus pour l'authentification multifacteur

• Sécurité globale de l'entreprise : Les multiples points d'accès locaux et distants au réseau de l'entreprise peuvent être protégés contre les attaques basées sur les informations d'identification.
• Configuration granulaire des fonctionnalités : Des méthodes d'authentification spécifiques peuvent être activées pour les utilisateurs appartenant à des UO, groupes et domaines particuliers. Certains points de terminaison d'entreprise peuvent également être protégés par une authentification multifacteur en fonction de ces critères d'utilisateur.
• Conformité réglementaire : L'authentification multifacteur permet de se conformer aux réglementations telles que le RGPD, HIPAA, NYCRR et FFIEC.
• Authentification sans mot de passe : Les entreprises peuvent renoncer aux mots de passe du domaine Active Directory et utiliser uniquement l'authentification multifacteur pour vérifier l'identité des utilisateurs.