Permettere agli utenti finali di reimpostare le proprie password o sbloccare i propri account espone a dei rischi. Non è raro che un malintenzionato mascheri la propria identità fingendosi un utente valido per appropriarsi delle sue credenziali. Per garantire l'accesso al portale self-service ai soli utenti desiderati, è obbligatorio adottare procedure stringenti di autenticazione che consentano di stabilire l'identità degli utenti.
Per assicurarsi che solo gli utenti autorizzati accedano al portale self-service, ADSelfService Plus impiega i seguenti metodi di autenticazione per verificare l'identità degli utenti:
Gli amministratori hanno la flessibilità di scegliere tutte le procedure di autenticazione o una combinazione dei metodi disponibili in base alle loro esigenze.
Gli utenti si registrano in ADSelfService Plus rispondendo a una serie di domande personali; le risposte vengono memorizzate in modo sicuro nel database di ADSelfService Plus dopo essere state crittografate. Per reimpostare la propria password o per sbloccare il proprio account, un utente deve confermare la propria identità rispondendo alle domande specificate in precedenza.
Gli amministratori possono rafforzare ulteriormente la verifica dell'identità fornendo restrizioni aggiuntive alle domande e risposte.
Quando un utente tenta di reimpostare la password o di sbloccare l'account, al suo cellulare o al suo indirizzo di email viene inviato un codice di verifica. Gli amministratori possono anche implementare l'invio di un link sicuro via email con il quale l'utente può reimpostare la propria password. Gli amministratori possono configurare il numero di tentativi validi al raggiungimento del quale l'accesso dell'utente viene temporaneamente bloccato.
Nota: gli amministratori possono configurare ADSelfService Plus affinché legga il numero di cellulare e l'indirizzo email dagli attributi LDAP corrispondenti in Active Directory.
ADSelfService Plus supporta Google Authenticator, un'applicazione di autenticazione di terze parti per cellulari molto diffusa. Gli utenti si registrano in ADSelfService Plus scansionando un codice QR. Quando esegue una qualsiasi operazione in autonomia, l'utente deve immettere il codice che viene mostrato in Google Authenticator per dare conferma della propria identità.
Oltre a Google Authenticator, gli amministratori possono utilizzare altri sistemi di autenticazione di terze parti basati sul tempo, come ad esempio Microsoft Authenticator o Sophos Authenticator.
Per impedire a utenti malintenzionati di fare svariati tentativi per indovinare le risposte, gli amministratori possono impostare un blocco temporaneo per gli account che dovessero sbagliare la risposta un certo numero di volte (impostato) nell'arco di un periodo di tempo stabilito.
Il processo di verifica dell'identità inizia quando l'utente accede all'applicazione ADSelfService Plus e fa clic su uno dei link "Reimposta password" o "Sblocca account". Quando l'utente ha inserito il nome utente e il dominio, il server di ADSelfService Plus effettua una serie di controlli di sicurezza.
Controllo affiliazione al dominio: controlla se l'utente è affiliato al dominio specificato.
Controllo delle impostazioni dei criteri: controlla se l'utente ha l'autorizzazione a reimpostare la password o sbloccare l'account tramite ADSelfService Plus. I criteri di ADSelfService Plus possono essere configurati in modo da rendere disponibili all'utente finale solo determinate funzionalità necessarie.
Controllo dello stato di registrazione: controlla se l'utente si è registrato in ADSelfService Plus rispondendo alle domande di sicurezza, aggiornando il numero di cellulare o l'indirizzo email e sincronizzando il proprio account di Google Authenticator. La reimpostazione delle password e lo sblocco account è consentito solo agli utenti registrati.
Controllo degli utenti bloccati: controlla se l'account utente è stato bloccato dal server ADSelfService Plus a seguito di multiple azioni self-service con esiti non validi. Gli utenti che immettono valori errati per il codice di verifica e/o per le risposte alle domande di sicurezza, vengono bloccati dall'applicazione dopo il numero di tentativi impostato dall'amministratore di ADSelfService Plus. Questo garantisce protezione dagli attacchi effettuati da bot, attacchi DoS (Denial-of-Service) e altri tipi di attacchi.
Una volta completati i controlli preliminari, il prodotto passa a verificare l'identità dell'utente eseguendo le procedure di autenticazione configurate dall'amministratore.
Livello di sicurezza ulteriore: Il sistema della domanda e risposta di sicurezza è ampiamente utilizzato, è stato adottato dai social media e si è indebolito perché molti utenti forniscono domande e risposte semplici da individuare per i malintenzionati. Aggiungendo codici di verifica e Google Authenticator per il processo di verifica dell'identità, ADSelfService Plus ha reso gli account più sicuri.
Intuitivo e semplice da usare: La facilità di accesso a email e cellulare ha reso questi sistemi perfetti per gestire i propri account quando si è in giro.
Potere all'amministratore: Gli amministratori hanno il pieno controllo su quali modalità di autenticazione scegliere per aggiungere sicurezza, solo alcune di esse oppure tutte insieme.
Se un utente compie un'azione in autonomia, l'utente stesso riceve una notifica via email da ADSelfService Plus. La notifica via email agisce da avviso nel caso in cui l'attività sia stata eseguita da un account non autorizzato e permette all'utente di reagire e prevenire ulteriori problemi.