Base di conoscenza
Gestione password self-service » Base di conoscenza

Come configurare l'autenticazione a più fattori con Duo Security

ADSelfService Plus protegge dalle potenziali minacce di sicurezza rinforzando l'accesso degli utenti con l'autenticazione a più fattori (MFA) aggiungendo un livello di sicurezza. Quando l'autenticazione a più fattori è abilitata, gli utenti devono dimostrare la loro identità mediante gli strumenti di autenticazione applicati oltre alle password.

L'autenticazione a più fattori può essere applicata alle operazioni self-service relative alle password oltre ai tentativi di accesso al portale di ADSelfService per utenti finali, endpoint e applicazioni. ADSelfService Plus supporta quindici tecniche avanzate di autenticazione, tra cui Duo Security, elementi biometrici, autenticazione YubiKey, autenticazione tramite SAML e SecurID di RSA.

Autenticazione a più fattori mediante Duo Security

Quando è abilitata l'autenticazione a più fattori utilizzando Duo Security, a ogni accesso, gli utenti devono dimostrare la loro identità mediante uno dei seguenti metodi:

  • Approvazione di una notifica push mediante l'app Duo Security per dispositivi mobili.
  • Inserimento di un passcode di sicurezza ricevuto tramite una chiamata di verifica.
  • Inserimento di un passcode di sicurezza generato durante il processo di accesso.

Configurazione

L'autenticazione a più fattori basata su Duo Security può essere configurata in tre semplici passi.

Passo 1: Integra Duo Security con ADSelfService Plus

  1. Effettua l'accesso al tuo account Duo Security (https://admin-3d5d33c0.duosecurity.com) o, se sei un nuovo utente, registrati e accedi.
  2. Vai a Applicazioni.
  3. Fai clic su Proteggi un'applicazione.

    duo-security-configuration-application-tab-adselfservice-plus

  4. Cerca SDK web nell'elenco delle applicazioni.

    duo-security-configuration-web-sdk-search-adselfservice-plus

  5. Fai clic sul link Proteggi questa applicazione dal risultato della ricerca.
  6. Copia i valori di Chiave di integrazione, Chiave segreta e Nome dell’host API dalla pagina SDK web che si apre.

    duo-security-configuration-web-sdk-adselfservice-plus

Configura Auth API (opzionale)

La configurazione di Auth API è utilizzata per verificare la registrazione degli utenti con Duo Security. Se Auth API non è configurato, è necessario rimuovere la registrazione dell'utente in ADSelfService Plus eliminando la registrazione dell'utente in Duo Security. In caso contrario, l’utente viene aggiunto di nuovo in Duo Security quando viene utilizzato per l’autenticazione in ADSelfService Plus.

  • Se Auth API è configurato, torna a Applicazioni → Proteggi un'applicazione.
  • Cerca Auth API.
  • Copia i valori di Chiave di integrazione e Chiave di sicurezza.

configuring-duo-security-adselfservice-plus

Passo 2: Configura Duo Security in ADSelfService Plus

  1. Effettua l'accesso alla console ADSelfService Plus utilizzando le credenziali di amministratore.
  2. Vai a Configurazione → Self-service → Autenticazione a più fattori → Configurazione degli strumenti di autenticazione.
  3. Seleziona Duo Security.

    duo-enabled-two-factor-authentication

  4. Incolla i valori che hai copiato precedentemente dalla pagina SDK web nei campi Chiave di integrazione, Chiave segreta e Nome dell’host API.
  5. Se Auth API è configurato, vai alle Impostazioni avanzate e incolla i valori che hai copiato in questo passo dalla pagina Auth API nei campi di Chiave di integrazione e Chiave segreta.
  6. Fai clic su Salva.

configuring-duo-security-adselfservice-plus

Procedura di abilitazione dell'autenticazione a più fattori per l'accesso al portale ADSelfService Plus per gli utenti finali

Prerequisito:

  1. SSL deve essere abilitato: Effettua l'accesso alla console web di ADSelfService Plus con le credenziali di amministratore. Vai a Amministrazione → Impostazioni del prodotto → Connessione. Seleziona l'opzione Porta ADSelfService Plus [https]. Consulta questa guida per scoprire come applicare un certificato SSL e abilitare HTTPS.

Procedura di configurazione:

  1. Vai a Configurazione → Self-service → Autenticazione a più fattori → Autenticazione a più fattori per reimpostazione/sblocco.

    Steps to enable multi-factor authentication for ADSelfService Plus

  2. Scegli il Criterio dall'elenco di selezione.
    Nota: ADSelfService Plus ti consente di creare criteri in base a gruppi e unità organizzative. Per creare un criterio, vai a Configurazione → Self-service → Configurazione dei criteri → Aggiungi un nuovo criterio. Fai clic su Seleziona i gruppi o le unità organizzative e scegli in base ai tuoi requisiti. Devi selezionare almeno una funzionalità self-service. Fai clic su Salva il criterio.
  3. Utilizza l'opzione Abilita i fattori di autenticazione vicina a Autenticazione a più fattori per l'accesso a ADSelfService Plus.,
  4. Seleziona Duo Security e gli altri strumenti di autenticazione necessari dall'elenco di selezione Seleziona gli strumenti di autenticazione necessari.
  5. Fai clic su Salva le impostazioni.

Procedura per abilitare l'autenticazione a più fattori per reimpostazione delle password e sblocco degli account

Prerequisito:

  1. SSL deve essere abilitato: Effettua l'accesso alla console web di ADSelfService Plus con le credenziali di amministratore. Vai a Amministrazione → Impostazioni del prodotto → Connessione. Seleziona l'opzione Porta ADSelfService Plus [https]. Consulta questa guida per scoprire come applicare un certificato SSL e abilitare HTTPS.

Procedura di configurazione:

  1. Vai a Configurazione → Self-service → Autenticazione a più fattori → Autenticazione a più fattori per reimpostazione/sblocco.

    Steps to enable multi-factor authentication for ADSelfService Plus

  2. Scegli il Criterio dall'elenco di selezione.
    Nota: ADSelfService Plus ti consente di creare criteri in base a gruppi e unità organizzative. Per creare un criterio, vai a Configurazione → Self-service → Configurazione dei criteri → Aggiungi un nuovo criterio. Fai clic su Seleziona i gruppi o le unità organizzative e scegli in base ai tuoi requisiti. Devi selezionare almeno una funzionalità self-service. Fai clic su Salva il criterio.
  3. Abilita la casella di controllo Seleziona gli strumenti di autenticazione necessari
  4. Utilizza l'opzione Abilita i fattori di autenticazione vicina a Autenticazione a più fattori per la reimpostazione delle password e lo sblocco degli account per selezionare il numero di strumenti di autenticazione
  5. Seleziona Duo Security e gli altri strumenti di autenticazione necessari configurati dall'elenco di selezione.
  6. Fai clic su Salva le impostazioni.

Procedura per abilitare l'autenticazione a più fattori per gli endpoint

Prerequisiti:

  1. Utilizza il componente aggiuntivo di autenticazione a più fattori degli endpoint: La tua licenza ADSelfService Plus deve includere il componente aggiuntivo di autenticazione a più fattori degli endpoint. Vai al negozio per acquistarlo.
  2. SSL deve essere abilitato: Effettua l'accesso alla console web di ADSelfService Plus con le credenziali di amministratore. Vai alla scheda Amministrazione → Impostazioni del prodotto → Connessione. Seleziona l'opzione Porta ADSelfService Plus [https]. Consulta questa guida per scoprire come applicare un certificato SSL e abilitare HTTPS.
  3. L'URL di accesso deve essere impostato su HTTPS: vai su Amministratore > Impostazioni prodotto > Connessione > Impostazioni di connessione > Configura URL di accesso e imposta l'opzione Protocollo su HTTPS.
  4. Applicabile all'autenticazione a più fattori per l'accesso alle macchine: Installa il software ADSelfService client per le macchine Windows, macOS e Linux su cui vuoi abilitare l'autenticazione a più fattori. Fai clic qui per la procedura di installazione del software ADSelfService Plus client.

Configurazione:

  1. Vai a Configurazione → Self-service → Autenticazione a più fattori → Autenticazione a più fattori per gli endpoint.

    Steps to enable MFA for ADSelfService Plus

  2. Scegli il Criterio dall'elenco di selezione.
    Nota: ADSelfService Plus ti consente di creare criteri in base a gruppi e unità organizzative. Per creare un criterio, vai a Configurazione → Self-service → Configurazione dei criteri → Aggiungi un nuovo criterio. Fai clic su Seleziona i gruppi o le unità organizzative e scegli in base ai tuoi requisiti. Devi selezionare almeno una funzionalità self-service. Fai clic su Salva il criterio.
  3. L'autenticazione a più fattori può essere configurata in modo che fattori addizionali di autenticazione vengano richiesti alle schermate di accesso delle macchine o dei sistemi Windows, macOS e Linux durante l'accesso VPN or Outlook Web Access (OWA).
    • Per accesso alle macchine:
      • Vai a Configurazione > Self-service > Autenticazione a più fattori > Autenticazione a più fattori per gli endpoint > Autenticazione a più fattori per l'accesso alle macchine.
      • Abilita la casella di controllo Seleziona gli strumenti di autenticazione necessari
      • Utilizza l'opzione Abilita i fattori di autenticazione vicina a Autenticazione a più fattori per l'accesso alle macchine per selezionare il numero di strumenti di autenticazione
      • Seleziona Duo Security e gli altri strumenti di autenticazione necessari configurati dall'elenco di selezione.
      • Fai clic su Salva le impostazioni.
    • Per l'accesso OWA:
      • Vai a Configurazione > Self-service > Autenticazione a più fattori > Autenticazione a più fattori per gli endpoint > Autenticazione a più fattori per l'accesso alle macchine.
      • Abilita la casella di controllo Seleziona gli strumenti di autenticazione necessari.
      • Seleziona l'opzione Abilita il secondo fattore di autenticazione vicina a Autenticazione a più fattori per l'accesso OWA e scegli SecurID di RSA dall'elenco di selezione.
      • Fai clic su Salva le impostazioni.
  4. Fai clic su Salva le impostazioni.