Verificatie van gebruikersidentiteit in ADSelfService Plus

Wanneer eindgebruikers hun wachtwoord opnieuw instellen of hun account ontgrendelen, zijn er altijd veiligheidsrisico’s. Het is niet ongewoon dat een aanvaller zich voordoet als een geldige gebruiker om gebruikersreferenties te stelen. ADSelfService Plus zorgt ervoor dat alleen de beoogde gebruikers toegang tot de selfservice portal krijgen door de identiteit van gebruikers te controleren met de volgende strikte verificatiemethoden:

Beheerders kunnen een van de verificatiemethoden kiezen of kunnen opteren voor een combinatie van de beschikbare methoden naargelang hun behoeften.

Beveiligingsvragen en -antwoorden

Beveiligingsvragen en -antwoorden

Gebruikers kunnen zich registreren bij ADSelfService Plus door een aantal persoonlijke vragen te beantwoorden. De antwoorden worden dan veilig en gecodeerd opgeslagen in de database van ADSelfService Plus. Als gebruikers hun wachtwoord opnieuw willen instellen of hun account willen ontgrendelen, moeten ze hun identiteit verifiëren door de eerder gekozen vragen te beantwoorden.

Beheerders kunnen de identiteitsverificatie nog versterken door de vragen en de antwoorden te beperken.

Beheerders kunnen de identiteitsverificatie nog versterken door de vragen en de antwoorden te beperken.

Verificatiecodes per sms en e-mail

Verificatiecodes per sms en e-mail

Wanneer gebruikers proberen om hun wachtwoord opnieuw in te stellen of om hun account te ontgrendelen, wordt een verificatiecode naar hun mobiele apparaat of e-mailadres verstuurd. Beheerders kunnen ook een beveiligde koppeling per e-mail versturen waarmee de gebruiker diens wachtwoord opnieuw kan instellen. Beheerders kunnen configureren hoeveel keer een gebruiker verkeerde aanmeldingsgegevens mag invoeren voordat het gebruikersaccount tijdelijk wordt geblokkeerd.

Advanced settings

Opmerking: Beheerders kunnen ADSelfService Plus zodanig configureren dat het nummer van het mobiele apparaat en het e-mailadres worden opgehaald uit de overeenkomstige LDAP-kenmerken in Active Directory.

Google Authenticator

Google Authenticator

ADSelfService Plus ondersteunt Google Authenticator, een veelgebruikte verificatie-app voor mobiele telefoons. Gebruikers kunnen zich registreren bij ADSelfService Plus door een QR-code te scannen. Wanneer gebruikers een selfservice-bewerking uitvoeren, moeten ze de Google Authenticator openen en de gegenereerde code invoeren om hun identiteit te verifiëren.

Naast Google Authenticator kunnen beheerders ook andere op tijd gebaseerde verificatiemiddelen gebruiken, zoals Microsoft Authenticator of Sophos Authenticator.

Duo Security

Duo Security

De meervoudige verificatie in ADSelfService Plus ondersteunt Duo Security, een alom vertrouwd toegangsplatform dat bedrijven beschermt door de identiteit van gebruikers te verifiëren. Gebruikers moeten zich registreren bij Duo Security. Wanneer deze verificatieprocedure is ingeschakeld en gebruikers proberen om hun wachtwoord opnieuw in te stellen of om hun account te ontgrendelen, moeten ze een communicatiemodus selecteren (pushmelding, sms of oproep) die Duo Security gebruikt om een verificatiecode te versturen. Als de verificatie met succes wordt voltooid, kunnen gebruikers zelf hun wachtwoord of account beheren.

RSA SecurID

RSA SecurID

U kunt ADSelfService Plus ook integreren met RSA SecurID voor beveiligde verificatie van gebruikers die toegang tot een netwerkbron willen. Wanneer gebruikers hun wachtwoord opnieuw instellen of hun account ontgrendelen, kunnen ze gebruikmaken van de veiligheidscodes die door de mobiele RSA SecurID-app zijn gegenereerd, hardwaretokens of tokens die zijn ontvangen per e-mail of sms om zich bij ADSelfService Plus aan te melden.

Block users

RADIUS

Met ADSelfService Plus kunnen beheerders RADIUS toevoegen als extra verificatiemiddel van gebruikers. Nadat beheerders RADIUS hebben ingeschakeld, moeten gebruikers hun RADIUS-wachtwoord invoeren om hun identiteit te verifiëren. Zodra het account is geverifieerd, kan de gebruiker doorgaan met de selfservice-bewerking of naar de volgende verificatieprocedure gaan, naargelang vereist door het protocol.

Block users

Om te beletten dat kwaadwillende gebruikers meermaals de antwoorden proberen te raden, kunnen beheerders een tijdelijke blokkering voor accounts instellen als binnen een bepaalde tijd een opgegeven aantal verkeerde antwoorden wordt gegeven.

Pushmeldingen

Pushmeldingen zijn een van de eenvoudigste en snelste methoden van verificatie. Wanneer pushmeldingen zijn ingeschakeld, krijgen gebruikers een aanmeldverzoek gestuurd naar de mobiele app ADSelfService Plus op hun geregistreerde mobiele apparaat. Ze kunnen het verificatieverzoek goedkeuren of drukken op weigeren voor het verwerpen van onverwachte verzoeken. Wanneer gebruikers zijn geregistreerd, kunnen ze tevens hun wachtwoord opnieuw instellen of hun account ontgrendelen via hun mobiele app met gebruik van pushmeldingen.

Verificatie door vingerafdruk

Er is niets zo uniek als iemands vingerafdruk. Daarom is verificatie door vingerafdruk een van de eenvoudigste maar toch meest veilige verificatiemethoden. Als het geregistreerde mobiele apparaat van gebruikers een vingerafdruksensor bevat, kunnen ze hun vingerafdruk gebruiken voor het verifiëren van opnieuw ingestelde wachtwoorden en accountontgrendelingen van de mobiele app ADSelfService Plus.

Verificatie op basis van QR-code

De mobiele app ADSelfService Plus is het enige dat gebruikers nodig hebben voor het gebruiken van QR-codes voor verificatie. Gebruikers kunnen gewoon de QR-code scannen die wordt weergegeven in hun ADSelfService Plus-webportaal vanaf hun geregistreerde mobiele apparaat om het proces af te ronden.

Time-based one-time passcodes (TOTP’s, op tijd gebaseerde eenmalige wachtwoorden)

Een van de meest gebruikte methoden van verificatie zijn op tijd gebaseerde eenmalige wachtwoorden (TOTP's). De mobiele app van ADSelfService Plus genereert TOTP’s die om de minuut veranderen. Gebruikers moeten tijdens het verificatieproces het wachtwoord van 6 cijfers invoeren binnen een specifieke tijdsperiode om de verificatie van hun identiteit af te ronden.

Op AD gebaseerde beveiligingsvragen

Met ADSelfService Plus kunnen beheerders beveiligingsvragen op basis van Active Directory (AD) instellen als een van de meervoudige verificatiemethoden om de identiteit van de gebruiker te verifiëren tijdens het opnieuw instellen van het wachtwoord via self-service. Als deze methode is ingeschakeld, worden de beveiligingsvragen gekoppeld aan een AD-kenmerk en worden gebruikers geverifieerd wanneer hun antwoorden overeenkomen met die specifieke kenmerkwaarde.

Stel bijvoorbeeld dat de beheerder “Wat is uw BSN?" heeft geselecteerd als een op AD gebaseerde beveiligingsvraag en een aangepast kenmerk van de gebruiker als waarde heeft gekoppeld aan het sofinummer. Telkens wanneer een gebruiker probeert een wachtwoord opnieuw in te stellen, moet deze diens sofinummer invoeren, zoals opgegeven in de waarde van het aangepaste kenmerk als antwoord. Indien onjuist ingevoerd, wordt de bewerking voor het opnieuw instellen van het wachtwoord afgebroken.

Aangezien deze techniek gebruikmaakt van de AD-kenmerken van gebruikers, hoeven ze zich niet afzonderlijk bij ADSelfService Plus in te schrijven.

Microsoft Authenticator

ADSelfService Plus ondersteunt Microsoft Authenticator, een veelgebruikte verificatie-app voor mobiele telefoons. Zodra gebruikers zijn ingeschreven bij ADSelfService Plus, kunnen ze hun identiteit bewijzen tijdens acties via self-service voor wachtwoorden en aanmeldingen bij het eindpunt door de weergegeven code in te voeren in Microsoft Authenticator.

YubiKey Authenticator

ADSelfService Plus ondersteunt Yubikey, een verificatieapparaat dat zichzelf identificeert als toetsenbord en het eenmalige wachtwoord afgeeft via het USB HID-protocol. Zodra ze zijn ingeschreven, kunnen gebruikers Yubikey gebruiken om hun identiteit te bewijzen tijdens acties via self-service voor wachtwoorden en aanmeldingen bij eindpunten.

Hoe bewijzen gebruikers hun identiteit?

Bij gebruik van een werkstation: Gebruikers sluiten het Yubikey-apparaat aan op hun werkstation, plaatsen de cursor in het overeenkomstige veld en houden de knop op het aangesloten Yubikey-apparaat ingedrukt. De code wordt automatisch bijgewerkt.

Bij gebruik van een mobiel apparaat: Wanneer gebruikers hun Yubikey-apparaat tegen hun mobiele apparaten tikken, worden ze omgeleid naar een pagina met een toegangscode. Ze kopiëren de toegangscode en plakken deze in het respectievelijke veld om hun identiteit te verifiëren./

Hoe het werkt

De identiteitsverificatie begint wanneer de gebruiker de ADSelfService Plus-toepassing opent en op de koppeling ‘Wachtwoord opnieuw instellen’ of ‘Account ontgrendelen’ klikt. Nadat de gebruiker diens gebruikersnaam en het domein heeft ingevoerd, voert de ADSelfService Plus-server een aantal veiligheidscontroles uit.

Identity verification process in ADSelfService Plus

Controle van gerelateerd domein: controleert of de gebruiker tot het opgegeven domein behoort.

Controle van beleidsinstellingen: controleert of de gebruiker is gemachtigd om diens wachtwoord opnieuw in te stellen of om diens account te ontgrendelen via ADSelfService Plus. De ADSelfService Plus-beleidslijnen kunnen zodanig worden geconfigureerd dat eindgebruikers alleen toegang hebben tot bepaalde selfservice-functies.

Controle van registratiestatus: controleert of de gebruiker zich heeft geregistreerd bij ADSelfService Plus door de beveiligingsvragen te beantwoorden, diens mobiele nummer of e-mailadres bij te werken en diens Google Authenticator-account te synchroniseren. Alleen geregistreerde gebruikers mogen hun wachtwoord opnieuw instellen en hun account ontgrendelen.

Controle van geblokkeerde gebruikers: controleert of het gebruikersaccount door de ADSelfService Plus-server wordt belet om selfservice-acties uit te voeren wegens meerdere ongeldige acties. Gebruikers die niet de juiste verificatiecode en/of antwoorden op de beveiligingsvragen invoeren, worden na een bepaald aantal pogingen geblokkeerd door de toepassing. Het aantal pogingen is door de ADSelfService Plus-beheerder ingesteld. Dit helpt aanvallen door bots, DOS-aanvallen en andere soorten aanvallen te voorkomen.

Zodra de eerste controles zijn voltooid, verifieert ADSelfService Plus de identiteit van gebruikers door de verificatieprocedures te volgen die de administrator heeft geconfigureerd.

Voordelen

Extra beveiliging: de op sociale media veelgebruikte beveiligingsmethode met vraag en antwoord is niet langer veilig omdat gebruikers vragen en antwoorden kiezen die hackers gemakkelijk kunnen raden of opzoeken. Door verificatiecodes en Google Authenticator toe te voegen aan de identiteitsverificatie heeft ADSelfService Plus accounts veiliger gemaakt.

Gebruiksvriendelijk: Door de gemakkelijke toegang tot e-mail en mobiele telefoons zijn die apparaten een eenvoudigere optie voor gebruikers om hun account onderweg te beheren.

Beheerder aan de macht: Beheerders kunnen zelf vrij kiezen welke verificatiemethode ze willen gebruiken voor extra beveiliging of kunnen gewoon alle verificatiemethoden gebruiken.

E-mailmelding bij selfservice voor wachtwoorden: wanneer een gebruiker een selfservice-actie voltooit, ontvangt deze een e-mailmelding van ADSelfService Plus. De e-mailmelding is een waarschuwing in het geval van onbevoegde accountactiviteit en geeft de gebruiker de mogelijkheid om te reageren en verdere schade te voorkomen.

ADSelfService Plus vertrouwd door