Permettere agli utenti finali di reimpostare le proprie password o sbloccare i propri account espone a dei rischi di sicurezza. Non è raro che un malintenzionato mascheri la propria identità fingendosi un utente valido per appropriarsi delle sue credenziali. Per assicurarsi che solo gli utenti autorizzati accedano al portale self-service, ADSelfService Plus impiega i seguenti metodi di autenticazione stringente per stabilire l'identità degli utenti:
Gli amministratori hanno la flessibilità di scegliere tutte le procedure di autenticazione o una combinazione dei metodi disponibili in base alle loro esigenze.
Gli utenti si registrano in ADSelfService Plus rispondendo a una serie di domande personali; le risposte vengono memorizzate in modo sicuro nel database di ADSelfService Plus dopo essere state crittografate. Per reimpostare la propria password o per sbloccare il proprio account, un utente deve confermare la propria identità rispondendo alle domande specificate in precedenza.
Gli amministratori possono rafforzare ulteriormente la verifica dell'identità aggiungendo restrizioni aggiuntive alle domande e risposte.
Quando un utente tenta di reimpostare la password o di sbloccare l'account, al suo cellulare o al suo indirizzo di email viene inviato un codice di verifica. Gli amministratori possono anche inviare un link sicuro via email con il quale l'utente può reimpostare la propria password. Gli amministratori possono configurare il numero di tentativi validi al raggiungimento del quale l'accesso dell'utente viene temporaneamente bloccato..
Nota: gli amministratori possono configurare ADSelfService Plus affinché legga il numero di cellulare e l'indirizzo email dagli attributi LDAP corrispondenti in Active Directory.
ADSelfService Plus supporta Google Authenticator, un'applicazione di autenticazione di terze parti per cellulari molto diffusa. Gli utenti si registrano in ADSelfService Plus scansionando un codice QR. Quando esegue una qualsiasi operazione in autonomia, l'utente deve aprire l'app e immettere il codice che viene mostrato in Google Authenticator per dare conferma della propria identità.
Oltre a Google Authenticator, gli amministratori possono utilizzare altri sistemi di autenticazione di terze parti basati sul tempo, come ad esempio Microsoft Authenticator o Sophos Authenticator.
L'autenticazione multifattore in ADSelfService Plus supporta Duo Security, una piattaforma di accesso ampiamente diffusa che protegge le organizzazioni verificando le identità degli utenti. Gli utenti devono registrarsi con Duo Security. Quando questa procedura di autenticazione è abilitata e gli utenti tentano di reimpostare password o sbloccare account, viene mostrata la richiesta di selezione della modalità di comunicazione (notifica in push, SMS o telefonata) tramite la quale Duo Security invierà un codice di verifica. Una volta effettuata correttamente la verifica, gli utenti possono operare sulle proprie password e sui propri account in modalità self-service.
ADSelfService Plus può essere integrato con RSA SecurID per fornire autenticazione sicura agli utenti che provano ad accedere a una risorsa di rete. Quando reimpostano una password o sbloccano un account, gli utenti possono utilizzare i codici di sicurezza generati dall'app mobile RSA SecurID, da token hardware o token ricevuti via email o SMS per accedere in ADSelfService Plus.
ADSelfService Plus consente agli amministratori di aggiungere RADIUS come sistema aggiuntivo per l'autenticazione degli utenti. Dopo che gli amministratori hanno abilitato RADIUS, per autenticarsi gli utenti dovranno immettere le proprie password RADIUS. Una volta verificato l'account, l'utente può quindi procedere con l'operazione self-service o passare alla procedura di autenticazione successiva come richiesto dal protocollo.
Per impedire a utenti malintenzionati di fare svariati tentativi per indovinare le risposte, gli amministratori possono impostare un blocco temporaneo per gli account che dovessero sbagliare la risposta un certo numero di volte (impostato) nell'arco di un periodo di tempo stabilito.
Il processo di verifica dell'identità inizia quando l'utente accede all'applicazione ADSelfService Plus e fa clic su uno dei link "Reimposta password" o "Sblocca account". Quando l'utente ha inserito il nome utente e il dominio, il server di ADSelfService Plus effettua una serie di controlli di sicurezza.
Controllo affiliazione al dominio: controlla se l'utente è affiliato al dominio specificato.
Controllo delle impostazioni dei criteri : controlla se l'utente ha l'autorizzazione per reimpostare la password o sbloccare l'account tramite ADSelfService Plus. I criteri di ADSelfService Plus possono essere configurati in modo che l'utente finale possa accedere solo a determinate funzionalità self-service.
Controllo dello stato di registrazione: controlla se l'utente si è registrato in ADSelfService Plus rispondendo alle domande di sicurezza, aggiornando il numero di cellulare o l'indirizzo email e sincronizzando il proprio account di Google Authenticator. La reimpostazione delle password e lo sblocco account è consentito solo agli utenti registrati.
BControllo degli utenti bloccati: controlla se l'account utente è stato bloccato dal server ADSelfService Plus a seguito di multiple azioni self-service con esiti non validi. Gli utenti che immettono valori errati per il codice di verifica e/o per le risposte alle domande di sicurezza, vengono bloccati dall'applicazione dopo il numero di tentativi impostato dall'amministratore di ADSelfService Plus. Questo aiuta a evitare attacchi basati su bot, attacchi DoS (Denial-of-Service) e altri tipi di attacchi.
Una volta completati i controlli preliminari, ADSelfService Plus passa a verificare l'identità dell'utente eseguendo le procedure di autenticazione configurate dall'amministratore.
Livello di sicurezza ulteriore: : Il sistema della domanda e risposta di sicurezza è ampiamente utilizzato, è stato adottato dai social media e si è indebolito perché molti utenti forniscono domande e risposte semplici da individuare per i malintenzionati. Aggiungendo codici di verifica e Google Authenticator per il processo di verifica dell'identità, ADSelfService Plus ha reso gli account più sicuri.
Intuitivo e semplice da usare : La facilità di accesso a email e cellulare ha reso questi sistemi perfetti per gestire i propri account quando si è in giro.
Potere all'amministratore: Gli amministratori hanno il pieno controllo su quali modalità di autenticazione scegliere per aggiungere sicurezza, solo alcune di esse oppure tutte insieme.
Notifica via email in caso di attività self-service sulla passworde: Se un utente compie un'azione self-service, riceve una notifica via email da ADSelfService Plus. La notifica via email agisce da avviso nel caso in cui l'attività sia stata eseguita da un account non autorizzato e permette all'utente di reagire e prevenire ulteriori problemi.
