Wanneer eindgebruikers hun wachtwoord opnieuw instellen of hun account ontgrendelen, zijn er altijd veiligheidsrisico’s. Het is niet ongewoon dat een aanvaller zich voordoet als een geldige gebruiker om gebruikersreferenties te stelen. ADSelfService Plus zorgt ervoor dat alleen de beoogde gebruikers toegang tot de selfservice portal krijgen door de identiteit van gebruikers te controleren met de volgende strikte verificatiemethoden:
Beheerders kunnen een van de verificatiemethoden kiezen of kunnen opteren voor een combinatie van de beschikbare methoden naargelang hun behoeften.
Gebruikers kunnen zich registreren bij ADSelfService Plus door een aantal persoonlijke vragen te beantwoorden. De antwoorden worden dan veilig en gecodeerd opgeslagen in de database van ADSelfService Plus. Als gebruikers hun wachtwoord opnieuw willen instellen of hun account willen ontgrendelen, moeten ze hun identiteit verifiëren door de eerder gekozen vragen te beantwoorden.
Beheerders kunnen de identiteitsverificatie nog versterken door de vragen en de antwoorden te beperken.
Wanneer gebruikers proberen om hun wachtwoord opnieuw in te stellen of om hun account te ontgrendelen, wordt een verificatiecode naar hun mobiele apparaat of e-mailadres verstuurd. Beheerders kunnen ook een beveiligde koppeling per e-mail versturen waarmee de gebruiker diens wachtwoord opnieuw kan instellen. Beheerders kunnen configureren hoeveel keer een gebruiker verkeerde aanmeldingsgegevens mag invoeren voordat het gebruikersaccount tijdelijk wordt geblokkeerd.
Opmerking: Beheerders kunnen ADSelfService Plus zodanig configureren dat het nummer van het mobiele apparaat en het e-mailadres worden opgehaald uit de overeenkomstige LDAP-kenmerken in Active Directory.
ADSelfService Plus ondersteunt Google Authenticator, een veelgebruikte verificatie-app voor mobiele telefoons. Gebruikers kunnen zich registreren bij ADSelfService Plus door een QR-code te scannen. Wanneer gebruikers een selfservice-bewerking uitvoeren, moeten ze de Google Authenticator openen en de gegenereerde code invoeren om hun identiteit te verifiëren.
Naast Google Authenticator kunnen beheerders ook andere op tijd gebaseerde verificatiemiddelen gebruiken, zoals Microsoft Authenticator of Sophos Authenticator.
De meervoudige verificatie in ADSelfService Plus ondersteunt Duo Security, een alom vertrouwd toegangsplatform dat bedrijven beschermt door de identiteit van gebruikers te verifiëren. Gebruikers moeten zich registreren bij Duo Security. Wanneer deze verificatieprocedure is ingeschakeld en gebruikers proberen om hun wachtwoord opnieuw in te stellen of om hun account te ontgrendelen, moeten ze een communicatiemodus selecteren (pushmelding, sms of oproep) die Duo Security gebruikt om een verificatiecode te versturen. Als de verificatie met succes wordt voltooid, kunnen gebruikers zelf hun wachtwoord of account beheren.
U kunt ADSelfService Plus ook integreren met RSA SecurID voor beveiligde verificatie van gebruikers die toegang tot een netwerkbron willen. Wanneer gebruikers hun wachtwoord opnieuw instellen of hun account ontgrendelen, kunnen ze gebruikmaken van de veiligheidscodes die door de mobiele RSA SecurID-app zijn gegenereerd, hardwaretokens of tokens die zijn ontvangen per e-mail of sms om zich bij ADSelfService Plus aan te melden.
Met ADSelfService Plus kunnen beheerders RADIUS toevoegen als extra verificatiemiddel van gebruikers. Nadat beheerders RADIUS hebben ingeschakeld, moeten gebruikers hun RADIUS-wachtwoord invoeren om hun identiteit te verifiëren. Zodra het account is geverifieerd, kan de gebruiker doorgaan met de selfservice-bewerking of naar de volgende verificatieprocedure gaan, naargelang vereist door het protocol.
Om te beletten dat kwaadwillende gebruikers meermaals de antwoorden proberen te raden, kunnen beheerders een tijdelijke blokkering voor accounts instellen als binnen een bepaalde tijd een opgegeven aantal verkeerde antwoorden wordt gegeven.
Pushmeldingen zijn een van de eenvoudigste en snelste methoden van verificatie. Wanneer pushmeldingen zijn ingeschakeld, krijgen gebruikers een aanmeldverzoek gestuurd naar de mobiele app ADSelfService Plus op hun geregistreerde mobiele apparaat. Ze kunnen het verificatieverzoek goedkeuren of drukken op weigeren voor het verwerpen van onverwachte verzoeken. Wanneer gebruikers zijn geregistreerd, kunnen ze tevens hun wachtwoord opnieuw instellen of hun account ontgrendelen via hun mobiele app met gebruik van pushmeldingen.
Er is niets zo uniek als iemands vingerafdruk. Daarom is verificatie door vingerafdruk een van de eenvoudigste maar toch meest veilige verificatiemethoden. Als het geregistreerde mobiele apparaat van gebruikers een vingerafdruksensor bevat, kunnen ze hun vingerafdruk gebruiken voor het verifiëren van opnieuw ingestelde wachtwoorden en accountontgrendelingen van de mobiele app ADSelfService Plus.
De mobiele app ADSelfService Plus is het enige dat gebruikers nodig hebben voor het gebruiken van QR-codes voor verificatie. Gebruikers kunnen gewoon de QR-code scannen die wordt weergegeven in hun ADSelfService Plus-webportaal vanaf hun geregistreerde mobiele apparaat om het proces af te ronden.
Een van de meest gebruikte methoden van verificatie zijn op tijd gebaseerde eenmalige wachtwoorden (TOTP's). De mobiele app van ADSelfService Plus genereert TOTP’s die om de minuut veranderen. Gebruikers moeten tijdens het verificatieproces het wachtwoord van 6 cijfers invoeren binnen een specifieke tijdsperiode om de verificatie van hun identiteit af te ronden.
Met ADSelfService Plus kunnen beheerders beveiligingsvragen op basis van Active Directory (AD) instellen als een van de meervoudige verificatiemethoden om de identiteit van de gebruiker te verifiëren tijdens het opnieuw instellen van het wachtwoord via self-service. Als deze methode is ingeschakeld, worden de beveiligingsvragen gekoppeld aan een AD-kenmerk en worden gebruikers geverifieerd wanneer hun antwoorden overeenkomen met die specifieke kenmerkwaarde.
Stel bijvoorbeeld dat de beheerder “Wat is uw BSN?" heeft geselecteerd als een op AD gebaseerde beveiligingsvraag en een aangepast kenmerk van de gebruiker als waarde heeft gekoppeld aan het sofinummer. Telkens wanneer een gebruiker probeert een wachtwoord opnieuw in te stellen, moet deze diens sofinummer invoeren, zoals opgegeven in de waarde van het aangepaste kenmerk als antwoord. Indien onjuist ingevoerd, wordt de bewerking voor het opnieuw instellen van het wachtwoord afgebroken.
Aangezien deze techniek gebruikmaakt van de AD-kenmerken van gebruikers, hoeven ze zich niet afzonderlijk bij ADSelfService Plus in te schrijven.
ADSelfService Plus ondersteunt Microsoft Authenticator, een veelgebruikte verificatie-app voor mobiele telefoons. Zodra gebruikers zijn ingeschreven bij ADSelfService Plus, kunnen ze hun identiteit bewijzen tijdens acties via self-service voor wachtwoorden en aanmeldingen bij het eindpunt door de weergegeven code in te voeren in Microsoft Authenticator.
ADSelfService Plus ondersteunt Yubikey, een verificatieapparaat dat zichzelf identificeert als toetsenbord en het eenmalige wachtwoord afgeeft via het USB HID-protocol. Zodra ze zijn ingeschreven, kunnen gebruikers Yubikey gebruiken om hun identiteit te bewijzen tijdens acties via self-service voor wachtwoorden en aanmeldingen bij eindpunten.
Bij gebruik van een werkstation: Gebruikers sluiten het Yubikey-apparaat aan op hun werkstation, plaatsen de cursor in het overeenkomstige veld en houden de knop op het aangesloten Yubikey-apparaat ingedrukt. De code wordt automatisch bijgewerkt.
Bij gebruik van een mobiel apparaat: Wanneer gebruikers hun Yubikey-apparaat tegen hun mobiele apparaten tikken, worden ze omgeleid naar een pagina met een toegangscode. Ze kopiëren de toegangscode en plakken deze in het respectievelijke veld om hun identiteit te verifiëren./
De identiteitsverificatie begint wanneer de gebruiker de ADSelfService Plus-toepassing opent en op de koppeling ‘Wachtwoord opnieuw instellen’ of ‘Account ontgrendelen’ klikt. Nadat de gebruiker diens gebruikersnaam en het domein heeft ingevoerd, voert de ADSelfService Plus-server een aantal veiligheidscontroles uit.
Controle van gerelateerd domein: controleert of de gebruiker tot het opgegeven domein behoort.
Controle van beleidsinstellingen: controleert of de gebruiker is gemachtigd om diens wachtwoord opnieuw in te stellen of om diens account te ontgrendelen via ADSelfService Plus. De ADSelfService Plus-beleidslijnen kunnen zodanig worden geconfigureerd dat eindgebruikers alleen toegang hebben tot bepaalde selfservice-functies.
Controle van registratiestatus: controleert of de gebruiker zich heeft geregistreerd bij ADSelfService Plus door de beveiligingsvragen te beantwoorden, diens mobiele nummer of e-mailadres bij te werken en diens Google Authenticator-account te synchroniseren. Alleen geregistreerde gebruikers mogen hun wachtwoord opnieuw instellen en hun account ontgrendelen.
Controle van geblokkeerde gebruikers: controleert of het gebruikersaccount door de ADSelfService Plus-server wordt belet om selfservice-acties uit te voeren wegens meerdere ongeldige acties. Gebruikers die niet de juiste verificatiecode en/of antwoorden op de beveiligingsvragen invoeren, worden na een bepaald aantal pogingen geblokkeerd door de toepassing. Het aantal pogingen is door de ADSelfService Plus-beheerder ingesteld. Dit helpt aanvallen door bots, DOS-aanvallen en andere soorten aanvallen te voorkomen.
Zodra de eerste controles zijn voltooid, verifieert ADSelfService Plus de identiteit van gebruikers door de verificatieprocedures te volgen die de administrator heeft geconfigureerd.
Extra beveiliging: de op sociale media veelgebruikte beveiligingsmethode met vraag en antwoord is niet langer veilig omdat gebruikers vragen en antwoorden kiezen die hackers gemakkelijk kunnen raden of opzoeken. Door verificatiecodes en Google Authenticator toe te voegen aan de identiteitsverificatie heeft ADSelfService Plus accounts veiliger gemaakt.
Gebruiksvriendelijk: Door de gemakkelijke toegang tot e-mail en mobiele telefoons zijn die apparaten een eenvoudigere optie voor gebruikers om hun account onderweg te beheren.
Beheerder aan de macht: Beheerders kunnen zelf vrij kiezen welke verificatiemethode ze willen gebruiken voor extra beveiliging of kunnen gewoon alle verificatiemethoden gebruiken.
E-mailmelding bij selfservice voor wachtwoorden: wanneer een gebruiker een selfservice-actie voltooit, ontvangt deze een e-mailmelding van ADSelfService Plus. De e-mailmelding is een waarschuwing in het geval van onbevoegde accountactiviteit en geeft de gebruiker de mogelijkheid om te reageren en verdere schade te voorkomen.
Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here
