User-Identität mit ADSelfService Plus überprüfen

Wenn Sie Ihren Anwendern erlauben, ihre Passwörter selbst zurückzusetzen oder ihre eigenen Konten freizuschalten, birgt das Sicherheitsrisiken. ADSelfService Plus nutzt verschiedene Authentifizierungsmethoden, um sicherzustellen, dass nur berechtigte User auf das Self-Service-Portal zugreifen.

Die Self-Service Passwort-Management-Lösung überprüft die Identität der User mit folgenden strengen Authentifizierungsmethoden:

• Sicherheitsfragen und -antworten
• Verifizierungs-Codes per SMS und E-Mail
• Google Authenticator
• Microsoft Authenticator
• Duo Security
• RSA SecurID
• RADIUS
• Push-Benachrichtigungen
• Fingerabdruck- / FaceID-Authentifizierung
• QR-Code-basierte Authentifizierung
• Zeitbasierte Einmalpasswörter (Time-based one-time passwords, TOTP), benutzerdefinierte TOTP & Zoho OneAuth TOTP
• SAML-Authentifizierung
• AD-Sicherheitsfragen
• YubiKey-Authentifizierung

Sie können flexibel aus diesen Authentifizierungsverfahren wählen oder sich eine individuelle Kombination aus den verfügbaren Methoden zusammenzustellen.

Die Anwender müssen bei der Anmeldung für ADSelfService Plus eine Reihe von persönlichen Fragen beantworten. Die Antworten werden verschlüsselt und sicher in der Datenbank von ADSelfService Plus gespeichert. Wenn ein Anwender sein Passwort zurücksetzen oder sein Konto freischalten möchte, verifiziert er seine Identität, indem er die Fragen im gleichen Wortlaut wie in der Datenbank abgespeichert beantwortet.

Um die Identitätsprüfung noch sicherer zu machen, können Sie zusätzliche Einschränkungen zu den Fragen und Antworten hinzufügen.

Wenn ein User versucht, sein Passwort zurückzusetzen oder sein Konto zu entsperren, wird ein Bestätigungs-Code an sein mobiles Endgerät oder seine E-Mail-Adresse gesendet. Alternativ können Administratoren dem Anwender auch einen sicheren Link per E-Mail zusenden, mit dem der Benutzer sein Passwort zurücksetzen kann. Sie können individuell festlegen, wie oft ein User ungültige Anmeldeinformationen eingeben darf, bevor er vorübergehend gesperrt wird.

ADSelfService Plus unterstützt Google Authenticator, eine weit verbreitete Authentifizierungsanwendung für Mobiltelefone. Dazu melden sich die Anwender bei ADSelfService Plus an, indem sie einen QR-Code scannen. Wenn der Anwender dann z. B. sein Passwort ändern möchte, öffnet er die App und gibt den im Google Authenticator angezeigten Code ein , um seine Identität zu bestätigen.

Zusätzlich zu Google Authenticator können Administratoren auch andere zeitbasierte Authentifikatoren von Drittanbietern wie Microsoft Authenticator oder Sophos Authenticator verwenden.

ADSelfService Plus unterstützt auch Duo Security, eine weit verbreitete Zugangsplattform, die Unternehmen bei einer sicheren Überprüfung der User-Identitäten unterstützt. Die Anwender müssen sich dazu bei Duo Security anmelden. Wenn dieses Authentifizierungsverfahren aktiviert ist und User versuchen, Passwörter zurückzusetzen oder Konten freizuschalten, wählen sie eine Kommunikationsart (Push-Benachrichtigung, SMS oder Anruf) aus, über die Duo Security ihnen einen Bestätigungs-Code sendet. Nach erfolgreicher Eingabe dieses Codes können die User ihre Passwörter und Konten selbstständig verwalten.

ADSelfService Plus kann in RSA SecurID integriert werden, um eine sichere Authentifizierung für User zu ermöglichen, die auf eine Netzwerkressource zugreifen möchten. Beim Zurücksetzen eines Passworts oder beim Entsperren eines Kontos können sich User mit den Sicherheits-Codes der mobilen RSA-SecurID-App, einem Hardware-Token oder einem Token, der per E-Mail oder SMS empfangen wurde, bei ADSelfService Plus anmelden.

Administratoren können RADIUS als zusätzliche Möglichkeit der User-Authentifizierung in ADSelfService Plus verwenden. Nach der Aktivierung von RADIUS durch den Administrator geben die Anwender ihre RADIUS-Passwörter ein, um sich zu authentifizieren. Sobald das Konto verifiziert wurde, kann der User mit dem Self-Service fortfahren oder zum nächsten Authentifizierungsverfahren übergehen – je nachdem, was das Protokoll vorgibt.

Um zu verhindern, dass Angreifer durch mehrmaliges Versuchen die richtigen Antworten herausfinden, können Administratoren eine temporäre Sperre für Konten einrichten, bei denen innerhalb einer bestimmten Zeitspanne eine bestimmte Anzahl von falschen Antworten eingegeben wurde.

Push-Benachrichtigungen sind eine der einfachsten und schnellsten Methoden der Authentifizierung. Wenn Push-Benachrichtigungen aktiviert sind, erhält der Anwender eine Login-Anfrage an die mobile ADSelfService-Plus-App auf seinem registrierten mobilen Gerät. Anschließend kann er die Authentifizierungsanfrage entweder genehmigen oder auf „Ablehnen“ drücken, um unerwartete Anfragen abzulehnen. Nach der Registrierung können User unter Verwendung von Push-Benachrichtigungen auch über ihre mobile App Passwörter zurücksetzen oder Konten entsperren.

Nichts ist so unverwechselbar wie der Fingerabdruck einer Person. Aus diesem Grund ist die Fingerabdruck-Authentifizierung eine der einfachsten und gleichzeitig sichersten Authentifizierungsmethoden. Wenn das registrierte mobile Gerät eines Users über einen Fingerabdrucksensor verfügt, kann er mit seinem Fingerabdruck Passwort-Rücksetzungen authentifizieren oder sein Konto über die mobile ADSelfService-Plus-App freigeben.

Um sich mit QR-Codes zu authentifizieren, benötigen Anwender lediglich die mobile ADSelfService-Plus-App. Anschließend scannen die User den auf ihrem ADSelfService-Plus-Webportal angezeigten QR-Code einfach mit ihrem registrierten mobilen Gerät, um den Vorgang abzuschließen.

Eine der am häufigsten verwendeten Methoden für die Authentifizierung sind zeitbasierte Einmalpasswörter (TOTPs). Die mobile ADSelfService-Plus-App generiert TOTPs, die sich minütlich ändern. User müssen das 6-stellige Passwort während des Authentifizierungsprozesses innerhalb einer bestimmten Zeitspanne eingeben, um ihre Identitätsprüfung abzuschließen.

Der Identitäts-Verifizierungsprozess beginnt, wenn der User auf die ADSelfService-Plus-Anwendung zugreift und auf den Link „Passwort zurücksetzen” oder „Konto entsperren” klickt. Nach der Eingabe von User-Name und Domain führt der ADSelfService-Plus-Server eine Reihe von Sicherheitsprüfungen durch.

• Überprüfung der Domänenmitgliedschaft:
   Prüft, ob der User zu der angegebenen Domäne gehört.
  
  
• Sicherheitsrichtlinien-Check:
  Überprüft, ob der Anwender die Berechtigung hat, sein Passwort zurückzusetzen oder sein Konto über ADSelfService Plus freizuschalten. Die Richtlinien für ADSelfService Plus können so konfiguriert werden, dass Anwender nur auf bestimmte Self-Service-Funktionen Zugriff erhalten.
  
  
• Überprüfung des Registrierungsstatus:
  Überprüft, ob sich der User bei ADSelfService Plus angemeldet, die geforderten Sicherheitsfragen beantwortet, seine Handynummer oder E-Mail-Adresse aktualisiert und sein Google-Authenticator-Konto synchronisiert hat. Nur registrierte User dürfen Passwörter zurücksetzen und Konten entsperren.
  
  
• Gesperrte-User-Check:
  Prüft, ob das User-Konto vom ADSelfService-Plus-Server aufgrund mehrerer ungültiger Aktionen für die Durchführung von Self-Service-Aktionen gesperrt ist. Anwender, die einen falschen Verifizierungs-Code und/oder falsche Antworten auf die Sicherheitsfrage(n) eingeben, werden von ADSelfService Plus nach einer bestimmten, vom Administrator festgelegten Anzahl von Fehlversuchen gesperrt. Damit können Bot-basierte Angriffe, Denial-of-Service-Angriffe und andere Arten von Angriffen verhindert werden.

Nach Abschluss der Vorabprüfungen überprüft ADSelfService Plus die Identität des Anwenders, indem die vom Administrator konfigurierten Authentifizierungsverfahren ausgeführt werden.