Wdrożenie samodzielnej obsługi hasła

Aby wdrożyć funkcje samodzielnej obsługi ADSelfService Plus dla użytkowników końcowych, musisz wykonać następujące kroki:

• Konfigurowanie akcji samodzielnej obsługi
• Weryfikacja tożsamości
• Rejestracja użytkownika
• Zabezpieczanie działań związanych z samodzielną obsługą

Konfigurowanie działań związanych z samodzielną obsługą

ADSelfService Plus oferuje cztery funkcje samodzielnej obsługi dla użytkowników domeny (Resetowanie hasła, Odblokowanie konta, Samoaktualizacja katalogu oraz Zmiana hasła). W zależności od działów i hierarchii organizacyjnej, możesz wybrać włączenie konkretnych funkcji w oparciu o jednostki organizacyjne użytkowników oraz członkostwo w grupach. Dzięki temu mogą zdecydować, którzy użytkownicy mogą skorzystać z jakiejkolwiek lub wszystkich tych funkcji. Można to zrobić w sekcji Konfiguracja polityki, konfigurując politykę samodzielnej obsługi dla użytkowników i definiując zakres, w jakim mogą korzystać z ADSelfService Plus. Kliknij na Kroki do utworzenia polityki po więcej szczegółów.

Weryfikacja tożsamości

Gdy użytkownicy domeny zostaną włączeni do polityki samodzielnej obsługi, ich tożsamość musi zostać zweryfikowana, aby mogli skorzystać z funkcji resetowania hasła lub odblokowania konta za pośrednictwem portalu użytkownika ADSelfService Plus, aplikacji mobilnej ADSelfService Plus oraz ekranów logowania Windows/macOS/Linux. Możesz uwierzytelnić tożsamości użytkowników, korzystając z jednej z piętnastu metod uwierzytelniania wieloskładnikowego (MFA) obsługiwanych przez ADSelfService Plus podczas:

• Logowania do systemu Windows, macOS i Linux (gdy oprogramowanie klienckie ADSelfService Plus jest zainstalowane).
• Logowania do portalu ADSelfService Plus.
• Logowania do aplikacji korporacyjnych za pomocą jednolitych połączeń (SSO).
• Akcji resetowania hasła samodzielnej obsługi Active Directory lub odblokowywania kont za pośrednictwem portalu ADSelfService, aplikacji mobilnej ADSelfService Plus oraz natywnych ekranów logowania Windows/macOS/Linux (gdy oprogramowanie klienckie ADSelfService Plus jest zainstalowane).

Weryfikacja tożsamości za pomocą uwierzytelniania wieloskładnikowego (MFA) jest realizowana na podstawie informacji podanych przez użytkowników podczas rejestracji w ADSelfService Plus.

Klikając w powyższe linki, możesz zobaczyć kroki konfiguracyjne dla każdej z tych metod.

Możesz włączyć konkretne metody MFA dla określonej grupy użytkowników i określić liczbę autoryzacji, które użytkownicy muszą ukończyć, aby potwierdzić swoją tożsamość. Mają także możliwość wymuszenia na użytkownikach potwierdzenia swojej tożsamości za pomocą określonych metod MFA. Można to zrobić, korzystając z ustawień MFA/TFA (Konfiguracja > Self-Service > Uwierzytelnianie wieloskładnikowe > Ustawienia MFA/TFA). Aby dowiedzieć się więcej o konfigurowaniu MFA, Kliknij tutaj.

Rejestracja użytkowników

Aby przeprowadzić weryfikację tożsamości, użytkownicy muszą zarejestrować się w ADSelfService Plus, podając określone informacje. Podawane informacje różnią się w zależności od skonfigurowanej metody MFA. ADSelfService Plus upraszcza proces rejestracji, oferując wiele opcji rejestracji:

• Rejestracja bez interwencji użytkownika - Administratorzy wprowadzają informacje o rejestracji użytkownika.
• Rejestracja przez użytkowników - Użytkownicy dostarczają informacje o rejestracji

Rejestracja bez interwencji użytkownika

• Import danych rejestracyjnych z pliku CSV:

  Możesz zaimportować istniejące pytania zabezpieczające i odpowiedzi wraz z numerami telefonów komórkowych oraz adresami e-mail użytkowników, które są przechowywane w formacie pliku CSV. Te zaimportowane informacje są następnie wykorzystywane do rejestracji użytkowników. Kliknij tutaj, aby uzyskać więcej szczegółów.

• Import danych rejestracyjnych z zewnętrznej bazy danych:

  Połącz źródła danych organizacji, takie jak MS SQL, PostgreSQL, Oracle i MySQL, z ADSelfService Plus. Gdy ADSelfService Plus otrzyma wystarczające uprawnienia do dostępu do serwera bazy danych, dane mogą być pobierane, a użytkownicy mogą być automatycznie rejestrowani. Wszelkie zmiany wprowadzone na serwerze bazy danych można łatwo zaktualizować w ADSelfService Plus za pomocą opcji Pobierz ponownie.

  Można również ustawić harmonogram, aby regularnie wyszukiwał nowo dodanych użytkowników w podłączonych zewnętrznych źródłach danych i rejestrował ich w ADSelfService Plus. Aby uzyskać więcej informacji na temat importowania danych rejestracyjnych z zewnętrznej bazy danych, Kliknij tutaj.

Rejestracja przez użytkowników:

Użytkownicy mogą rejestrować się w ADSelfService Plus, korzystając z portalu klienckiego ADSelfService Plus, aplikacji mobilnej ADSelfService Plus oraz aplikacji mobilnej Web App. Aby wymusić rejestrację użytkowników, możesz wdrożyć następujące środki:

• Powiadomienie o rejestracji:

  Kiedy ADSelfService Plus jest wdrażany w organizacji, administrator może użyć powiadomienia o rejestracji, aby poinformować pracowników o produkcie i zachęcić ich do samodzielnej rejestracji. Opcja ta, po włączeniu, wysyła e-mail lub powiadomienie push do wszystkich użytkowników, którzy jeszcze się nie zarejestrowali w ADSelfService Plus. Możesz także skonfigurować harmonogram, aby regularnie wysyłać powiadomienia do użytkowników, którzy się nie zarejestrowali. Kliknij tutaj, aby uzyskać więcej szczegółów.

• Wymuszenie rejestracji:

  To polega na wyszukiwaniu wszystkich użytkowników, którzy nie są zarejestrowani, w wybranym domenie lub zasadach i powiązaniu ich kont z skryptem logowania. Skrypt logowania zmusza ich do rejestracji podczas logowania się do ich kont użytkowników w domenie. Powiązanie kont użytkowników, którzy nie są zarejestrowani, ze skryptem logowania można zrealizować za pomocą harmonogramu. Harmonogram może być skonfigurowany do okresowego uruchamiania, aby sprawdzać użytkowników, którzy się nie zarejestrowali oraz nowo dodanych użytkowników i ustawiać skrypt logowania na ich kontach. Aby uzyskać kroki dotyczące włączenia wymuszenia rejestracji dla użytkowników, którzy się nie zarejestrowali, Kliknij tutaj.

Zabezpieczanie działań w trybie samoobsługi

Centrum bezpieczeństwa ADSelfService Plus zawiera linki do ustawień bezpieczeństwa w innych sekcjach produktu. Należy do nich:

• Blokowanie kont użytkowników, które nie przeszły weryfikacji tożsamości.
• Timeout sesji.
• CAPTCHA (weryfikacja słów).
• Wymuszenie poziomu siły hasła.
• Zmuszenie użytkowników do zmiany hasła przy następnym logowaniu.
• Zapobieganie użytkownikom w podawaniu tej samej odpowiedzi na wiele pytań.
• Zapobieganie użytkownikom w używaniu któregokolwiek słowa z pytania w swoich odpowiedziach.
• Wyświetlanie pytań zabezpieczających jedno po drugim.
• Wyświetlanie tylko losowego podzbioru pytań zabezpieczających użytkownika.
• Sprawienie, aby odpowiedzi zabezpieczające były wrażliwe na wielkość liter.
• Ukrywanie odpowiedzi podczas operacji resetowania / odblokowywania.
• Powiadomienie e-mail o samoobsłudze hasła.
• Bezpieczne połączenia (SSL/LDAPS/TLS).
• Ograniczenie dostępu dla nieaktywnych użytkowników.

Włączenie tych ustawień zabezpieczeń chroni konta użytkowników w domenie i zabezpiecza połączenia między serwerem ADSelfService Plus a innymi komponentami w sieci.