Wanneer eindgebruikers hun wachtwoord opnieuw instellen of hun account ontgrendelen, zijn er altijd risico’s. Het is niet ongewoon dat een aanvaller zich voordoet als een geldige gebruiker om gebruikersreferenties te stelen. Om te verzekeren dat alleen de beoogde gebruikers toegang krijgen tot de selfservice portal, moeten strikte verificatieprocedures voor de controle van de gebruikersidentiteit worden toegepast.
ADSelfService Plus zorgt ervoor dat alleen bevoegde gebruikers toegang krijgen tot de selfservice portal door de identiteit van gebruikers te verifiëren met de volgende verificatiemethoden:
Beheerders kunnen een van de verificatiemethoden kiezen of kunnen opteren voor een combinatie van de beschikbare methoden naargelang hun behoeften.
Gebruikers kunnen zich registreren bij ADSelfService Plus door een aantal persoonlijke vragen te beantwoorden. De antwoorden worden dan veilig en gecodeerd opgeslagen in de database van ADSelfService Plus. Als gebruikers hun wachtwoord opnieuw willen instellen of hun account willen ontgrendelen, moeten ze hun identiteit verifiëren door de eerder toegevoegde vragen te beantwoorden.
Beheerders kunnen identiteitsverificatie nog versterken door de vragen en de antwoorden te beperken.
Wanneer gebruikers proberen om hun wachtwoord opnieuw in te stellen of om hun account te ontgrendelen, wordt een verificatiecode naar het mobiele nummer of het e-mailadres van de gebruikers verstuurd. Beheerders kunnen ook een beveiligde koppeling e-mailen waarmee gebruikers hun wachtwoord opnieuw kunnen instellen. Beheerders kunnen instellen na hoeveel mislukte aanmeldingen de gebruikers tijdelijk niet meer kunnen aanmelden..
Opmerking: Beheerders kunnen ADSelfService Plus zodanig configureren dat het mobiele nummer en het e-mailadres worden opgehaald uit de overeenkomstige LDAP-kenmerken in Active Directory.
ADSelfService Plus ondersteunt Google Authenticator, een veelgebruikte verificatie-app voor mobiele telefoons. Gebruikers kunnen zich registreren bij ADSelfService Plus door een QR-code te scannen. Wanneer gebruikers een selfservice-bewerking uitvoeren, moeten ze de code invoeren die ze in Google Authenticator zien om hun identiteit te verifiëren.
Naast Google Authenticator kunnen beheerders ook andere op tijd gebaseerde verificatiemiddelen gebruiken, zoals Microsoft Authenticator of Sophos Authenticator.
Om te beletten dat kwaadwillende gebruikers meermaals de antwoorden proberen te raden, kunnen beheerders een tijdelijke blokkering voor accounts instellen als binnen een bepaalde tijd een opgegeven aantal verkeerde antwoorden wordt gegeven.
De identiteitsverificatie begint wanneer de gebruiker de ADSelfService Plus-toepassing opent en op de koppeling ‘Wachtwoord opnieuw instellen’ of ‘Account ontgrendelen’ klikt. Nadat de gebruiker diens gebruikersnaam en het domein heeft ingevoerd, voert de ADSelfService Plus-server een aantal veiligheidscontroles uit.
Controle van gerelateerd domein: controleert of de gebruiker tot het opgegeven domein behoort.
Controle van beleidsinstellingen: controleert of de gebruiker is gemachtigd om het wachtwoord opnieuw in te stellen of om het account te ontgrendelen via ADSelfService Plus. De ADSelfService Plus-beleidsregels kunnen zodanig worden geconfigureerd dat de eindgebruiker alleen toegang heeft tot bepaalde noodzakelijke functies.
Controle van registratiestatus: controleert of de gebruiker zich heeft geregistreerd bij ADSelfService Plus door de beveiligingsvragen te beantwoorden, diens mobiele nummer of e-mailadres bij te werken en diens Google Authenticator-account te synchroniseren. Alleen geregistreerde gebruikers mogen hun wachtwoord opnieuw instellen en hun account ontgrendelen.
Controle van geblokkeerde gebruikers: controleert of het gebruikersaccount door de ADSelfService Plus-server wordt belet om selfservice-acties uit te voeren wegens meerdere ongeldige acties. Gebruikers die niet de juiste verificatiecode en/of antwoorden op de beveiligingsvragen invoeren, worden na een bepaald aantal pogingen geblokkeerd door de toepassing. Het aantal pogingen is door de ADSelfService Plus-beheerder ingesteld. Op deze manier is de bescherming tegen aanvallen door bots, DOS-aanvallen en andere soorten aanvallen verzekerd.
Zodra de eerste controles zijn voltooid, gaat het product verder met de verificatie van de gebruikersidentiteit door de verificatieprocedures te volgen die de beheerder heeft geconfigureerd.
Extra beveiliging: De op sociale media veelgebruikte beveiligingsmethode met vraag en antwoord is niet langer veilig omdat gebruikers vragen en antwoorden kiezen die hackers gemakkelijk kunnen raden of opzoeken. Door verificatiecodes en Google Authenticator toe te voegen aan de identiteitsverificatie heeft ADSelfService Plus accounts veiliger gemaakt.
Gebruiksvriendelijk: Door de gemakkelijke toegang tot e-mail en mobiele telefoons zijn die apparaten een eenvoudigere optie voor gebruikers om hun account onderweg te beheren.
Beheerder aan de macht: Beheerders kunnen zelf vrij kiezen welke verificatiemethode ze willen gebruiken voor extra beveiliging of kunnen gewoon alle verificatiemethoden gebruiken.
Wanneer een selfservice-actie voor een gebruiker wordt voltooid, ontvangt de gebruiker een e-mailmelding van ADSelfService Plus. De e-mailmelding is een waarschuwing in het geval van onbevoegde accountactiviteit en geeft de gebruiker de mogelijkheid om te reageren en verdere schade te voorkomen.
