User-Identität mit ADSelfService Plus überprüfen

Wenn Sie Ihren Anwendern erlauben, ihre Passwörter selbst zurückzusetzen oder ihre eigenen Konten freizuschalten, birgt das Sicherheitsrisiken. ADSelfService Plus nutzt verschiedene Authentifizierungsmethoden, um sicherzustellen, dass nur berechtigte User auf das Self-Service-Portal zugreifen.

Die Self-Service Passwort-Management-Lösung überprüft die Identität der User mit folgenden strengen Authentifizierungsmethoden:

Sie können flexibel aus diesen Authentifizierungsverfahren wählen oder sich eine individuelle Kombination aus den verfügbaren Methoden zusammenzustellen.


Sicherheitsfragen und -antworten

Die Anwender müssen bei der Anmeldung für ADSelfService Plus eine Reihe von persönlichen Fragen beantworten. Die Antworten werden verschlüsselt und sicher in der Datenbank von ADSelfService Plus gespeichert. Wenn ein Anwender sein Passwort zurücksetzen oder sein Konto freischalten möchte, verifiziert er seine Identität, indem er die Fragen im gleichen Wortlaut wie in der Datenbank abgespeichert beantwortet.

Um die Identitätsprüfung noch sicherer zu machen, können Sie zusätzliche Einschränkungen zu den Fragen und Antworten hinzufügen.


SMS- oder E-Mail-basierte Verifizierungs-Codes

Wenn ein User versucht, sein Passwort zurückzusetzen oder sein Konto zu entsperren, wird ein Bestätigungs-Code an sein mobiles Endgerät oder seine E-Mail-Adresse gesendet. Alternativ können Administratoren dem Anwender auch einen sicheren Link per E-Mail zusenden, mit dem der Benutzer sein Passwort zurücksetzen kann. Sie können individuell festlegen, wie oft ein User ungültige Anmeldeinformationen eingeben darf, bevor er vorübergehend gesperrt wird.

Hinweis:

Administratoren können ADSelfService Plus so konfigurieren, dass die Telefonnummer des mobilen Geräts und die E-Mail-Adresse aus den entsprechenden LDAP-Attributen im Active Directory verwendet werden.


Google Authenticator

ADSelfService Plus unterstützt Google Authenticator, eine weit verbreitete Authentifizierungsanwendung für Mobiltelefone. Dazu melden sich die Anwender bei ADSelfService Plus an, indem sie einen QR-Code scannen. Wenn der Anwender dann z. B. sein Passwort ändern möchte, öffnet er die App und gibt den im Google Authenticator angezeigten Code ein , um seine Identität zu bestätigen.

Zusätzlich zu Google Authenticator können Administratoren auch andere zeitbasierte Authentifikatoren von Drittanbietern wie Microsoft Authenticator oder Sophos Authenticator verwenden.


Duo Security

ADSelfService Plus unterstützt auch Duo Security, eine weit verbreitete Zugangsplattform, die Unternehmen bei einer sicheren Überprüfung der User-Identitäten unterstützt. Die Anwender müssen sich dazu bei Duo Security anmelden. Wenn dieses Authentifizierungsverfahren aktiviert ist und User versuchen, Passwörter zurückzusetzen oder Konten freizuschalten, wählen sie eine Kommunikationsart (Push-Benachrichtigung, SMS oder Anruf) aus, über die Duo Security ihnen einen Bestätigungs-Code sendet. Nach erfolgreicher Eingabe dieses Codes können die User ihre Passwörter und Konten selbstständig verwalten.


RSA SecurID

ADSelfService Plus kann in RSA SecurID integriert werden, um eine sichere Authentifizierung für User zu ermöglichen, die auf eine Netzwerkressource zugreifen möchten. Beim Zurücksetzen eines Passworts oder beim Entsperren eines Kontos können sich User mit den Sicherheits-Codes der mobilen RSA-SecurID-App, einem Hardware-Token oder einem Token, der per E-Mail oder SMS empfangen wurde, bei ADSelfService Plus anmelden.


RADIUS

Administratoren können RADIUS als zusätzliche Möglichkeit der User-Authentifizierung in ADSelfService Plus verwenden. Nach der Aktivierung von RADIUS durch den Administrator geben die Anwender ihre RADIUS-Passwörter ein, um sich zu authentifizieren. Sobald das Konto verifiziert wurde, kann der User mit dem Self-Service fortfahren oder zum nächsten Authentifizierungsverfahren übergehen – je nachdem, was das Protokoll vorgibt.

Um zu verhindern, dass Angreifer durch mehrmaliges Versuchen die richtigen Antworten herausfinden, können Administratoren eine temporäre Sperre für Konten einrichten, bei denen innerhalb einer bestimmten Zeitspanne eine bestimmte Anzahl von falschen Antworten eingegeben wurde.


Push-Benachrichtigungen

Push-Benachrichtigungen sind eine der einfachsten und schnellsten Methoden der Authentifizierung. Wenn Push-Benachrichtigungen aktiviert sind, erhält der Anwender eine Login-Anfrage an die mobile ADSelfService-Plus-App auf seinem registrierten mobilen Gerät. Anschließend kann er die Authentifizierungsanfrage entweder genehmigen oder auf „Ablehnen“ drücken, um unerwartete Anfragen abzulehnen. Nach der Registrierung können User unter Verwendung von Push-Benachrichtigungen auch über ihre mobile App Passwörter zurücksetzen oder Konten entsperren.


Fingerabdruck-Authentifizierung

Nichts ist so unverwechselbar wie der Fingerabdruck einer Person. Aus diesem Grund ist die Fingerabdruck-Authentifizierung eine der einfachsten und gleichzeitig sichersten Authentifizierungsmethoden. Wenn das registrierte mobile Gerät eines Users über einen Fingerabdrucksensor verfügt, kann er mit seinem Fingerabdruck Passwort-Rücksetzungen authentifizieren oder sein Konto über die mobile ADSelfService-Plus-App freigeben.


QR-Code-basierte Authentifizierung

Um sich mit QR-Codes zu authentifizieren, benötigen Anwender lediglich die mobile ADSelfService-Plus-App. Anschließend scannen die User den auf ihrem ADSelfService-Plus-Webportal angezeigten QR-Code einfach mit ihrem registrierten mobilen Gerät, um den Vorgang abzuschließen.


Zeitbasierte Einmalpasswörter (Time-based one-time passwords, TOTP)

Eine der am häufigsten verwendeten Methoden für die Authentifizierung sind zeitbasierte Einmalpasswörter (TOTPs). Die mobile ADSelfService-Plus-App generiert TOTPs, die sich minütlich ändern. User müssen das 6-stellige Passwort während des Authentifizierungsprozesses innerhalb einer bestimmten Zeitspanne eingeben, um ihre Identitätsprüfung abzuschließen.


So funktioniert der Verifizierungsprozess

Der Identitäts-Verifizierungsprozess beginnt, wenn der User auf die ADSelfService-Plus-Anwendung zugreift und auf den Link „Passwort zurücksetzen” oder „Konto entsperren” klickt. Nach der Eingabe von User-Name und Domain führt der ADSelfService-Plus-Server eine Reihe von Sicherheitsprüfungen durch.

Grafik ADSelfService Plus: Verifizierungsprozess
Grafik: Der Verifizierungsprozess in ADSelfService Plus

  • Überprüfung der Domänenmitgliedschaft:
     Prüft, ob der User zu der angegebenen Domäne gehört.

  • Sicherheitsrichtlinien-Check:
    Überprüft, ob der Anwender die Berechtigung hat, sein Passwort zurückzusetzen oder sein Konto über ADSelfService Plus freizuschalten. Die Richtlinien für ADSelfService Plus können so konfiguriert werden, dass Anwender nur auf bestimmte Self-Service-Funktionen Zugriff erhalten.

  • Überprüfung des Registrierungsstatus:
    Überprüft, ob sich der User bei ADSelfService Plus angemeldet, die geforderten Sicherheitsfragen beantwortet, seine Handynummer oder E-Mail-Adresse aktualisiert und sein Google-Authenticator-Konto synchronisiert hat. Nur registrierte User dürfen Passwörter zurücksetzen und Konten entsperren.

  • Gesperrte-User-Check:
    Prüft, ob das User-Konto vom ADSelfService-Plus-Server aufgrund mehrerer ungültiger Aktionen für die Durchführung von Self-Service-Aktionen gesperrt ist. Anwender, die einen falschen Verifizierungs-Code und/oder falsche Antworten auf die Sicherheitsfrage(n) eingeben, werden von ADSelfService Plus nach einer bestimmten, vom Administrator festgelegten Anzahl von Fehlversuchen gesperrt. Damit können Bot-basierte Angriffe, Denial-of-Service-Angriffe und andere Arten von Angriffen verhindert werden.

Nach Abschluss der Vorabprüfungen überprüft ADSelfService Plus die Identität des Anwenders, indem die vom Administrator konfigurierten Authentifizierungsverfahren ausgeführt werden.

Vorteile der Identitäts-Verifizierung

  • Zusätzliche Sicherheitsebene:
    Die weit verbreitete Frage-und-Antwort-Sicherheitsmethode ist zunehmend unsicher geworden, weil die Fragen und Antworten der Anwender für Hacker leicht zu entschlüsseln sind. Durch den Identitätsprüfungsprozess mit Verifizierungs-Codes und Google Authenticator erhöht ADSelfService Plus die Sicherheit der Konten.

  • Anwender-freundlich:
    Durch den einfachen Zugang zu E-Mails und Mobiltelefonen können Anwender ihre Konten auch problemlos von unterwegs verwalten.

  • Bessere Kontrolle durch den Administrator:
    Administratoren haben die volle Kontrolle darüber, ob sie ein oder alle Authentifizierungsverfahren für zusätzliche Sicherheit wählen möchten.

  • E-Mail-Benachrichtigung beim Passwort-Self-Service:
    Sobald ein Anwender eine Self-Service-Aktion durchführt, erhält er eine E-Mail-Benachrichtigung von ADSelfService Plus. Die E-Mail-Benachrichtigung dient als Warnung bei unbefugten Kontoaktivitäten, so dass der User reagieren und weitere Schäden vermeiden kann.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   +49 8139 9300-13
   Support kontaktieren