Uwierzytelnianie wieloskładnikowe (MFA) pomaga zmniejszyć zakres ataku i chroni organizację, wymagając wyższego poziomu potwierdzenia tożsamości. Można je włączyć dla wszystkich użytkowników i wszystkich systemów w sieci — zarówno chmurowych, jak i lokalnych aplikacji oraz punktów końcowych. Wykorzystaj ManageEngine ADSelfService Plus, aby skutecznie i bez przeszkód wdrożyć uwierzytelnianie wieloskładnikowe w swojej organizacji w celu jej ochrony.
Zezwalaj użytkownikom na samoobsługowe resetowanie haseł (SSPR) i samoobsługowe odblokowywanie kont tylko wtedy, gdy potwierdzą oni swoją tożsamość za pomocą wymuszonych składników uwierzytelniających.
Kontroluj dostęp do aplikacji firmowych za pomocą logowania jednokrotnego (SSO) z zaawansowanymi składnikami uwierzytelniającymi, w tym biometrycznymi lub RSA SecurID.
Zabezpiecz dostęp lokalny i zdalny do komputerów z systemami Windows, macOS i Linux OS za pomocą uwierzytelniania wieloskładnikowego.
ADSelfService Plus umożliwia administratorom IT uruchomienie wstępnie skonfigurowanego procesu uwierzytelniania w momencie, gdy użytkownik inicjuje logowanie za pomocą samoobsługi haseł, logowania jednokrotnego lub logowania do punktu końcowego. Za pomocą tego przepływu pracy administratorzy IT mogą wymusić różne składniki uwierzytelniania dla różnych zestawów użytkowników w oparciu o ich jednostkę organizacyjną, domeny i członkostwa w grupach.
ADSelfService Plus zapewnia bezpieczeństwo zarówno lokalnych, jak i zdalnych prób logowania do serwerów i stacji roboczych.
Za pomocą uwierzytelniania wieloskładnikowego ADSelfService Plus przeciwdziała wszelkim atakom cybernetycznym opartym na poświadczeniach, w tym atakom siłowym, atakom rozproszonym na hasła i atakom słownikowym.
ADSelfService Plus spełnia wymagania regulacji NIST SP 800-63B, NYCRR, FFIEC, GDPR i HIPAA.
Użytkownicy rejestrują się w ADSelfService Plus, odpowiadając na kilka specyficznych dla użytkownika pytań; odpowiedzi są następnie bezpiecznie przechowywane w bazie danych ADSelfService Plus po zaszyfrowaniu. Aby zresetować hasło lub odblokować konto, użytkownik musi udowodnić swoją tożsamość, odpowiadając na wcześniej zadane pytania. Administratorzy IT mogą dodatkowo wzmocnić weryfikację tożsamości za pomocą opcji uniemożliwiających użytkownikom stosowanie tych samych odpowiedzi na wiele pytań lub dowolnych słów z pytań, a także innych parametrów.
kiedy użytkownicy próbują zresetować swoje hasło lub odblokować konto, na ich numer telefonu komórkowego lub adres e-mail jest wysyłany kod weryfikacyjny. Administratorzy IT mają również możliwość wysłania za pomocą e-maila bezpiecznego łącza pozwalającego użytkownikowi na zresetowanie hasła. Mogą również określić liczbę nieprawidłowych prób logowania, które użytkownik może wykonać, zanim możliwość logowania do konta zostanie tymczasowo zablokowana. Aby wysłać łącze do resetowania hasła, administratorzy IT mogą skonfigurować ADSelfService Plus tak, aby pobierać informacje o numerze telefonu komórkowego i adresie e-mail z odpowiednich atrybutów LDAP (Lightweight Directory Access Protocol) w Active Directory (AD).
ADSelfService Plus obsługuje Google Authenticator, szeroko stosowaną aplikację uwierzytelniającą innych firm dla telefonów komórkowych. Użytkownicy rejestrują się w ADSelfService Plus przez zeskanowanie kodu QR. Podczas wykonywania dowolnej operacji w ramach samoobsługi użytkownicy muszą otworzyć aplikację i wprowadzić kod wyświetlany w Google Authenticator w celu potwierdzenia swojej tożsamości.
ADSelfService Plus obsługuje Microsoft Authenticator, szeroko stosowaną aplikację uwierzytelniającą innych firm dla telefonów komórkowych. Po zarejestrowaniu się do ADSelfService Plus użytkownicy mogą potwierdzić swoją tożsamość podczas wykonywania samoobsługowych akcji związanych z hasłami i logowaniem do punktów końcowych, wpisując kod wyświetlany w programie Microsoft Authenticator.
ADSelfService Plus obsługuje YubiKey, urządzenie uwierzytelniające identyfikowane przez urządzenie jako klawiatura i generujące hasła jednorazowe. Po zarejestrowaniu użytkownicy mogą używać YubiKey do potwierdzania swojej tożsamości podczas wykonywania samoobsługowych akcji związanych z hasłami i logowaniem do punktów końcowych.
ADSelfService Plus obsługuje Duo Security w celach uwierzytelniania wieloskładnikowego. Użytkownicy muszą zarejestrować się w aplikacji Duo Security. Gdy ta technika uwierzytelniania jest włączona, a użytkownicy próbują zresetować hasła lub odblokować konta, muszą wybrać tryb komunikacji (powiadomienie push, SMS lub połączenie), za pośrednictwem którego aplikacja Duo Security wysyła kod weryfikacyjny. Po pomyślnej weryfikacji użytkownicy mogą korzystać z funkcji samoobsługi w celu zarządzania swoimi hasłami i kontami.
ADSelfService Plus można zintegrować z RSA SecurID w celu zabezpieczonego uwierzytelniania użytkowników próbujących uzyskać dostęp do zasobów sieciowych. Podczas resetowania hasła lub odblokowywania konta użytkownicy mogą korzystać z kodów bezpieczeństwa wygenerowanych przez aplikację mobilną RSA SecurID, tokenów sprzętowych, tokenów otrzymanych pocztą elektroniczną lub w wiadomości SMS w celu zalogowania się do ADSelfService Plus.
ADSelfService Plus umożliwia administratorom IT dodanie RADIUS jako dodatkowego zasobu do uwierzytelniania użytkowników. Użytkownicy muszą podać swoje hasło RADIUS w celu uwierzytelnienia. Po weryfikacji konta użytkownicy mogą wykonywać operacje samoobsługowe lub przejść do kolejnego składnika uwierzytelniania, zgodnie z wymogami protokołu.
Jest to jedna z najprostszych i najszybszych metod uwierzytelniania. Przy włączonych powiadomieniach push użytkownicy otrzymają żądanie logowania wysłane z ADSelfService Plus na ich zarejestrowane urządzenie przenośne. Mogą oni zatwierdzić żądanie uwierzytelnienia albo je odrzucić, jeśli nie byli jego inicjatorami. Po zarejestrowaniu się użytkownicy mogą również zresetować hasło lub odblokować konto z poziomu aplikacji przenośnej za pomocą powiadomień push.
Odciski palców danej osoby są niepowtarzalne, a uwierzytelnianie za pomocą odcisków palców jest jedną z najprostszych, a zarazem najbezpieczniejszych metod uwierzytelniania. Jeśli zarejestrowane urządzenie przenośne użytkownika ma czujnik linii papilarnych, może on użyć swojego odcisku palca do uwierzytelnienia resetowania hasła i odblokowania konta z poziomu aplikacji mobilnej ADSelfService Plus.
Aplikacja mobilna ADSelfService Plus to wszystko, czego użytkownicy potrzebują, aby korzystać z kodów QR w celu uwierzytelniania. Użytkownicy mogą po prostu zeskanować kod QR wyświetlony w portalu internetowym ADSelfService Plus z zarejestrowanego urządzenia przenośnego, aby zakończyć proces.
Jedną z najczęściej stosowanych metod uwierzytelniania jest TOTP. Aplikacja mobilna ADSelfService Plus generuje hasła TOTP, które zmieniają się co minutę. Użytkownicy muszą w ciągu minuty wprowadzić 6-cyfrowy kod podczas procesu uwierzytelniania, aby ukończyć weryfikację tożsamości.
ADSelfService Plus umożliwia administratorom IT ustanowienie pytań zabezpieczających opartych na Active Directory jako jednej z metod uwierzytelniania wieloskładnikowego do weryfikacji tożsamości użytkownika podczas samoobsługowego resetowania hasła. Po włączeniu tej metody pytania zabezpieczające są powiązane z atrybutem Active Directory, a uwierzytelnianie użytkowników następuje tylko wtedy, gdy ich odpowiedzi pasują do wartości tego konkretnego atrybutu. Na przykład, załóżmy, że administrator IT jako pytanie zabezpieczające oparte na AD wybrał: „Jaki jest twój numer ubezpieczenia społecznego?”. Za każdym razem, gdy użytkownik próbuje zresetować hasło, musi wprowadzić swój numer ubezpieczenia społecznego jako odpowiedź będącą określoną wartością atrybutu niestandardowego. W przypadku błędnego wprowadzenia hasła, operacja resetowania hasła zostaje anulowana. Ponieważ w tej technice wykorzystuje się atrybuty Active Directory użytkowników, nie muszą oni osobno rejestrować się do ADSelfService Plus.