Active-Directory-Tipp: So konfigurieren Sie die Fingerabdruck-Authentifizierung für das Zurücksetzen von Passwörtern / Domain-Anmeldungen bei ADSelfService Plus
Die Authentifizierung eines Anwenders per Fingerabdruck ist eine der sichersten Authentifizierungsmethoden, da jeder Mensch einen einzigartigen Fingerabdruck hat. Darüber hinaus lässt sich die Fingerabdruck-Authentifizierung einfach und schnell durchführen: Fingerabdruck scannen und fertig.
Viele Unternehmen haben diese Vorteile bereits erkannt und setzen den Fingerabdruck als Teil ihrer Multi-Faktor-Authentifizierungsmethode (MFA) ein, um die Identität des Anwenders beispielsweise vor dem Logon in einer Active-Directory-Domäne, dem Zurücksetzen eines AD-Passworts oder dem Entsperren eines Accounts zu überprüfen.
In diesem Tipp zeigen wir Ihnen, wie Sie die Fingerabdruck-Authentifizierung in ADSelfService Plus konfigurieren und anschließend für das Zurücksetzen von Passwörtern oder für Anmeldungen an Active-Directory-Domänen nutzen können:
Hinweis:
Bitte beachten Sie, dass die Authentifizierung per Fingerabdruck aktuell nur über die mobile ADSelfService-Plus-App möglich ist. Die verwendeten mobilen Endgeräte müssen zudem über einen Fingerabdruck-Sensor oder Face ID (aktuell nur iOS) verfügen.
Multi-Faktor-Authentifizierung (MFA) in ADSelfService Plus
Die Self-Service-Passwort-Management-Lösung ADSelfService Plus bietet neben der Authentifizierung per Fingerabdruck viele weitere Methoden für die Multi-Faktor-Authentifizierung, darunter unter anderem Google Authenticator, YubiKey Authenticator, RSA SecurID oder QR-Code. ADSelfService Plus verwendet MFA zur Absicherung von:
- Windows-, macOS- und Linux-Anmeldungen
- Self-Service-Funktionen wie das Zurücksetzen von Passwörtern oder das Entsperren von Konten über das ADSelfService-Plus-Portal, über iOS- und Android-Mobilgeräte und den Anmeldebildschirm von Windows-/macOS-/Linux-Rechnern.
- Anmeldungen bei Cloud- und Unternehmensanwendungen über Single-Sign-On (SSO).
- AD-Self-Service-Funktionen wie die Aktualisierung der eigenen AD-Profilinformationen, Abonnementverwaltung von E-Mail-Gruppen und der Suche im Mitarbeiterverzeichnis über ADSelfService Plus.
Konfiguration der Fingerabdruck-Authentifizierung in ADSelfService Plus
Die Fingerabdruck-Authentifizierung für MFA kann mit wenigen Schritten in ADSelfService Plus aktiviert werden.
So gehen Sie vor:
- Melden Sie sich in ADSelfService Plus an und klicken Sie auf den Reiter Konfiguration.
- Gehen Sie zu Self-Service > Multifaktor-Authentisierung > Authenticators Setup.
- Wählen Sie in der Liste die Richtlinie aus, die Sie konfigurieren möchten. In unserem Fall, klicken Sie auf Fingerabdruck-Authentifizierung.
- Wählen Sie Fingerabdruck-Authentifizierung aktivieren.
Hinweis:
Mit ADSelfService Plus können Sie OU- und gruppenbasierte Richtlinien erstellen. Um eine Richtlinie zu erstellen, gehen Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration > Neue Richtlinie hinzufügen. Klicken Sie auf Organisationseinheiten / Gruppen auswählen, und treffen Sie Ihre Wahl. Sie müssen mindestens eine Self-Service-Funktion auswählen. Klicken Sie abschließend auf Richtlinie speichern. Nur Benutzer, die zu den in der Richtlinie enthaltenen OUs / Gruppen gehören, können die ausgewählte(n) Self-Service-Funktion(en) ausführen.
Aktivieren der Fingerabdruck-Authentifizierung für das Zurücksetzen von Active-Directory-Passwörtern
Nachdem Sie die Fingerabdruck-Authentifizierung wie oben stehend konfiguriert haben, können Sie diese mit folgenden Schritten für das Zurücksetzen von Passwörtern aktivieren:
- Gehen Sie zu Konfiguration > Self-Service > Multifaktor-Authentisierung. Geben Sie im Abschnitt MFA für Reset/Unlock die Anzahl der Authentifizierungsfaktoren ein, die erfüllt werden müssen, und wählen Sie Fingerabdruck-Authentifizierung sowie weitere Authentifizierungsmethoden aus, die Sie verwenden möchten.
Zuvor wählen Sie im Dropdown-Feld oben die Richtlinie aus, auf die sich die Einstellung beziehen soll. - Klicken Sie auf Einstellungen speichern.
Aktivieren der Fingerabdruck-Authentifizierung für Active-Directory-Domänenanmeldungen
- Gehen Sie zu Konfiguration > Self-Service > Multifaktor-Authentisierung. Wählen Sie die Richtlinie aus, auf die sich die Einstellung beziehen soll. Anschließend wählen Sie im Reiter MFA for Endpoints die Option Push-Fingerabdruck-Authentifizierung aus der Dropdown-Liste.
- Klicken Sie auf das Zahnrad Erweiterte und aktivieren Sie die Option TFA umgehen, wenn ADSelfService Plus nicht verfügbar ist.
- Klicken Sie auf Einstellungen speichern.
Anmerkung:
Voraussetzungen für das Aktivieren einer MFA für Active-Directory-Domänenanmeldungen:
- Der ADSelfService Plus-Login-Agent muss auf den Client-Rechnern installiert sein. Auf der englischen Website des Herstellers finden Sie hier eine Anleitung zur Installation des Login-Agenten.
- SSL muss aktiviert sein: Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an. Gehen Sie zum Reiter Admin > Produkteinstellungen > Verbindung. Aktivieren Sie die Option ADSelfService Plus Port [https]. Klicken Sie auf Speichern.