Аутентификация

Настройка Google Authenticator для сброса паролей и входа в Active Directory

Google Authenticator - это метод аутентификации, разработанный Google, который использует одноразовые пароли на основе времени (TOTP) для проверки личности пользователя. Его часто используют как один из методов многофакторной аутентификации (MFA) наряду с другими для защиты процесса входа в службу. Для аутентификации этим методом требуется приложение Google Authenticator. После того как пользователи предоставили действительные учетные данные, служба запрашивает у них 6-значный TOTP из приложения. Затем пользователи должны запустить приложение, чтобы получить TOTP, ввести его в службе и подтвердить свою личность.

Предоставление пользователям домена Active Directory возможности самостоятельного сбрасывать пароли может принести организации пользу по нескольким причинам.

• Пользователям не нужно ждать вмешательства администратора, и они могут получить беспрепятственный доступ к своим компьютерам.
• Администратору службы поддержки не придется обрабатывать сотни запросов на сброс паролей, и он сможет вместо этого заняться другими важными задачами.

Однако предоставление пользователям возможности сбрасывать свои пароли может быть рискованным, если не приняты надлежащие меры безопасности. Поскольку пользователям не придется предоставлять какие-либо старые учетные данные, важно подтвердить их личность, прежде чем они смогут сбросить свои пароли. Использование метода многофакторной аутентификации (MFA), такого как Google Authenticator, является надежным способом аутентификации для сброса пароля домена Active Directory.

ADSelfService Plus - решение для защиты персональных данных, которое предлагает функцию самостоятельного сброса пароля и разблокировки учетной записи, защищенную многофакторной аутентификацией (MFA). Решение поддерживает до 19 методов MFA, включая Google Authenticator, биометрию и YubiKey Authenticator для проверки личности пользователей во время выполнения следующих операций:

1. Вход в Windows, macOS, а также вход через VPN.
2. Вход в Outlook Web Access.
3. Действия по самостоятельному сбросу пароля или разблокировки учетной записи Active Directory через портал ADSelfService, мобильное приложение ADSelfService Plus и собственный экран входа в Windows/macOS/Linux.
4. Вход в корпоративные приложения через единый вход (SSO).
5. Самостоятельное обновление информации профиля Active Directory, подписка на почтовые группы и поиск сотрудников с помощью ADSelfService Plus.

Порядок включения аутентификации Google для MFA в ADSelfService Plus:

1. Загрузите и установите ADSelfService Plus.
2. Настройте домены Active Directory.
3. Перейдите в раздел Конфигурация → Самообслуживание → Многофакторная аутентификация → Настройка аутентификаторов.
4. В раскрывающемся списке Выбрать политику выберите политику.

   Примечание: ADSelfService Plus позволяет создавать политики на уровне подразделений и групп. Чтобы создать политику, перейдите в раздел "Конфигурация" → "Самообслуживание" → "Конфигурация политики" → "Добавить новую политику". Нажмите "Выбрать подразделения/группы" и сделайте выбор в соответствии с вашими требованиями. Выберите хотя бы одну функцию самообслуживания. Наконец, нажмите кнопку "Сохранить политику". Выполнять выбранные функции самообслуживания могут только пользователи, входящие в подразделения и группы, которые включены в политику.

5. Нажмите раздел Google Authenticator.

6. Нажмите кнопку Включить Google Authenticator.

   

Включение Google Authenticator для сброса паролей Active Directory

1. Перейдите в раздел "Конфигурация" → "Самообслуживание" → "Многофакторная аутентификация" → "MFA для сброса пароля/разблокировки".
2. Введите количество факторов аутентификации, которые необходимо применить, и выберите Google Authenticator вместе с любыми другими методами аутентификации, которые необходимо использовать.
3. Нажмите Сохранить настройки.

   

Включение Google Authenticator для входа в домен Active Directory

1. Перейдите в раздел Конфигурация → Самообслуживание → Многофакторная аутентификация → MFA для конечных точек.
2. В раскрывающемся списке Выбрать политику выберите политику. Это определит, какие методы аутентификации включены для тех или иных групп пользователей.

   Примечание: ADSelfService Plus позволяет создавать политики на уровне подразделений и групп. Чтобы создать политику, перейдите в раздел "Конфигурация" → "Самообслуживание" → "Конфигурация политики" → "Добавить новую политику". Нажмите "Выбрать подразделения/группы" и сделайте выбор в соответствии с вашими требованиями. Выберите хотя бы одну функцию самообслуживания. Наконец, нажмите кнопку "Сохранить политику".

3. В разделе MFA для входа на компьютере установите флажок Включить факторы аутентификации и выберите Google Authenticator из раскрывающегося списка.
4. Нажмите Сохранить настройки.

   

Примечание:

Чтобы включить многофакторную аутентификацию для входа в домен Active Directory:

• На клиентских компьютерах должен быть установлен агент входа ADSelfService Plus. Ознакомьтесь с порядком установки агента входа в систему.
• SSL должен быть включен: Войдите в веб-консоль ADSelfService Plus, используя учетные данные администратора. Перейдите на вкладку Администрирование → Настройки продукта → Подключение. Выберите параметр Порт ADSelfService Plus [https].

Узнайте больше о приложенииADSelfService Plus и его функции многофакторной аутентификации.

Почему стоит выбрать самостоятельный сброса пароля ADSelfService Plus, защищенный Google Authenticator?

• Настраиваемые конфигурации: Выберите конкретные подразделения, группы и домены Active Directory, которым будет разрешен самостоятельный сброс паролей с использованием Google Authenticator или других методов MFA.
• Условный доступ: Автоматически разрешайте или запрещайте доступ к самостоятельному сбросу пароля на основе таких факторов риска, как время доступа, геолокация, IP-адрес и используемое устройство.
• Аудит и отслеживание действий пользователей: Сбросы паролей и другие действия, выполняемые пользователем, регулярно проверяются и включаются в подробные отчеты.