Weryfikacja tożsamości użytkownika w ADSelfService Plus

Umożliwienie użytkownikom końcowym resetowania haseł lub odblokowania kont, wiąże się z ryzykiem dla bezpieczeństwa. Zdarza się czasami, że atakujący podszywa się pod prawidłowego użytkownika w celu kradzieży poświadczeń. Aby upewnić się, że tylko zamierzeni użytkownicy mogą uzyskać dostęp do samoobsługowego portalu logowania, ADSelfService Plus wykorzystuje następujące ścisłe metody uwierzytelniania pozwalające na ustalenie tożsamości użytkowników:

Administratorzy mogą wybrać wszystkie procedury uwierzytelniania, lub dowolne połączenie dostępnych metod, w zależności od potrzeb.

Settings configuration

Pytania i odpowiedzi bezpieczeństwa

Użytkownicy rejestrują się w ADSelfService Plus odpowiadając na serię pytań natury osobistej; odpowiedzi są bezpiecznie zapisywane w formie zaszyfrowanej w bazie danych ADSelfService Plus. Aby zresetować swoje hasła lub odblokować swoje konta, użytkownicy muszą zweryfikować swoją tożsamość odpowiadając na pytania, na które odpowiedzieli wcześniej.

End-user portal

Administratorzy mogą dodatkowo wzmocnić weryfikację tożsamości przez dodanie kolejnych ograniczeń do pytań i odpowiedzi.

Configuration

Kody weryfikacji wysyłane przez SMS i e-mail

Kiedy użytkownik próbuje zresetować hasło lub odblokować konto, to na jego lub jej urządzenie mobilne lub adres e-mail wysyłany jest kod weryfikacji. Administratorzy mogą również wysłać w wiadomości e-mail bezpieczne łącze, z którego użytkownicy mogą skorzystać w celu zresetowania hasła. Administratorzy mogą skonfigurować liczbę nieprawidłowo wprowadzonych poświadczeń, po których użytkownikowi zostanie tymczasowo zablokowana możliwość zalogowania się.

Advanced settings

Uwaga:Administratorzy mogą skonfigurować ADSelfService Plus do pobierania informacji o urządzeniu mobilnym i adresie e-mail z odpowiednich atrybutów LDAP w Active Directory.

Configuration

Aplikacja Google Authenticator

ADSelfService Plus obsługuje Google Authenticator, szeroko stosowaną zewnętrzną aplikację do uwierzytelniania na smartfony. Użytkownicy rejestrują się w ADSelfService Plus przez przeskanowanie kodu QR. Przy przeprowadzaniu dowolnego działania samoobsługi, użytkownik musi otworzyć aplikację Google Authenticator i wprowadzić wyświetlany w niej kod w celu zweryfikowania swojej tożsamości.

Poza Google Authenticator, administratorzy mogą wykorzystywać inne zewnętrzne aplikacje uwierzytelniające oparte o czas, takie jak Microsoft Authenticator czy Sophos Authenticator.

Duo Security

Duo Security

Uwierzytelnianie wieloskładnikowe w ADSelfService Plus obsługuje Duo Security, zaufaną platformę dostępu zabezpieczającą firmy przez weryfikowanie tożsamości użytkowników. Użytkownicy muszą zarejestrować się w Duo Security. Kiedy ta procedura uwierzytelniania jest włączona, a użytkownicy usiłują zresetować hasła lub odblokować konta, muszą wybrać metodę komunikacji (powiadomienia wypychane, SMS lub połączenie telefoniczne), przez którą Duo Security wyśle kod weryfikacji. Po udanej weryfikacji, użytkownicy mogą dokonać samoobsługi swoich haseł i kont.

RSA SecurID

RSA SecurID

ADSelfService Plus można zintegrować z RSA SecurID, zapewniając bezpieczne uwierzytelnianie dla użytkowników usiłujących uzyskać dostęp do zasobu sieciowego. Przy resetowaniu hasła lub odblokowywaniu konta, użytkownicy mogą wykorzystać do zalogowania się do ADSelfService Plus kody bezpieczeństwa wygenerowane przez aplikację mobilna lub tokeny sprzętowe RSA SecurID albo tokeny otrzymane e-mailem lub SMSem.

Block users

RADIUS

ADSelfService Plus pozwala administratorom na dodanie RADIUS jako dodatkowej metody uwierzytelniania użytkowników. Po włączeniu RADIUS przez administratorów, użytkownicy muszą podać swoje hasła RADIUS w celu uwierzytelnienia się. Po zweryfikowaniu konta, użytkownicy mogą następnie przejść do przeprowadzania działań samoobsługowych lub do następnej procedury uwierzytelniania wymaganej przez protokół.

Block users

Aby uniemożliwić złośliwym użytkownikom wielokrotne próby zgadnięcia odpowiedzi, administratorzy mogą ustawić tymczasowe blokowanie dla dowolnego konta, które wprowadzi określoną liczbę nieprawidłowych odpowiedzi w określonym czasie.

Jak to działa

Proces weryfikacji tożsamości zaczyna się, kiedy użytkownik uzyskuje dostęp do aplikacji ADSelfService Plus i klika na łącze „Resetuj hasło” lub „Odblokuj konto”. Po wprowadzeniu nazwy i domeny użytkownika, serwer ADSelfService Plus przeprowadza całą serię kontroli bezpieczeństwa.

Identity verification process in ADSelfService Plus

Kontrola przynależności domeny: Sprawdza, czy użytkownik należy do określonej domeny. Kontrola ustawień zasad: Sprawdza, czy użytkownik ma pozwolenie na resetowanie hasła lub odblokowanie konta przez ADSelfService Plus. Zasady ADSelfService Plus można skonfigurować tak, aby użytkownikowi końcowemu dostępne były tylko niektóre funkcje samoobsługi.

Kontrola stanu rejestracji: Sprawdza czy użytkownik zarejestrował się w ADSelfService Plus przez udzielenie odpowiedzi na pytania bezpieczeństwa, zaktualizowanie numeru telefonu komórkowego lub adresu e-mail oraz zsynchronizowanie konta w Google Authenticator. Tylko zarejestrowani użytkownicy mogą resetować hasła i odblokowywać konta.

Kontrola zablokowanych użytkowników:  Sprawdza czy serwer ADSelfService Plus nie zablokował możliwości wykonywania działań samoobsługi przez dane konto użytkownika z uwagi na wielokrotne nieudane próby. Użytkownicy, którzy nie wprowadzą prawidłowego kodu weryfikacji i/lub odpowiedzi na pytania bezpieczeństwa, zostaną zablokowani przez aplikację po określonej liczbie prób, zgodnie z ustawieniami administratora ADSelfService Plus. Pomaga to zapobiegać atakom opartym o boty, atakom typu „odmowa usługi” czy innym rodzajom ataków. Po zakończeniu wstępnych kontroli, ADSelfService Plus przechodzi do zweryfikowania tożsamości użytkownika przez przeprowadzenie procedur uwierzytelniania skonfigurowanych przez administratora.

Zalety

Dodatkowa warstwa zabezpieczeń: : Często stosowana metoda zabezpieczeń oparta o pytania i odpowiedzi, stosowana w mediach społecznościowych stała się problematyczna, ponieważ użytkownicy podają pytania i odpowiedzi, które hackerzy mogą łatwo znaleźć. Przez dodanie kodów weryfikacji oraz Google Authenticator do procesu weryfikacji tożsamości, ADSelfService Plus znacząco zwiększa poziom bezpieczeństwa kont.

Przyjazna dla użytkownika: Łatwy dostęp do e-maila oraz telefonów komórkowych spowodował, że urządzenia te stanowią dla użytkowników łatwiejszy sposób mobilnego zarządzania swoimi kontami.

Władza administratora:  dministratorzy mają pełną kontroli nad tym, czy zechcą wybrać jedno czy wszystkie tryby uwierzytelniania, w celu zwiększenia poziomu bezpieczeństwa.

Powiadomienia na e-mail po samoobsłudze hasła:Powiadomienia na e-mail po samoobsłudze hasła:

Download