ADSelfService Plus中的用户身份验证

允许最终用户重置其密码或解锁其自己的帐户也可能存在安全风险。攻击者伪装成有效的用户来偷取凭证的情况并不鲜见。要确保只有预期用户访问自助服务页面,ADSelfService Plus采用以下严格的身份验证方法来确定用户的身份:

管理员可基于其需要,灵活地选择所有身份验证过程或可用方法的组合。

Settings configuration

安全问题和答案

用户通过回答一系列个人问题向ADSelfService Plus注册;答案在加密后安全地存储在ADSelfService Plus数据库中。要重置其密码或解锁其帐户,要求用户通过回答他们先前回答的问题来验证其身份。

End-user portal

管理员可通过对问题和答案添加附加限制来进一步加强身份验证。

Configuration

基于短信和电子邮件的验证码

当用户尝试重置其密码或解锁其帐户时,将有验证码发送到其移动设备或电子邮件地址。管理员还可以通过电子邮件发送安全链接,用户可用其重置密码。管理员还可以配置在用户临时被阻止登录之前,用户可输入无效凭证的次数。

Advanced settings

注意:Administrators可配置ADSelfService Plus从Active Directory的相应LDAP属性获取移动设备和电子邮件地址。

Configuration

Google Authenticator

ADSelfService Plus支持Google Authenticator,它是一款广泛使用、用于移动电话的第三方身份验证应用程序。用户通过扫描二维码向ADSelfService Plus注册。当执行任何自助操作时,要求用户打开应用程序并输入Google Authenticator中的代码以验证其身份。

除了Google Authenticator,管理员还可以使用其他第三方、基于时间的验证器,例如,Microsoft Authenticator和Sophos Authenticator。

Duo Security

Duo Security

ADSelfService Plus中的多重身份验证支持Duo Security,它是一款备受信赖的访问平台,通过验证用户身份来保护企业的安全。要求用户向Duo Security注册。当此身份验证过程启用,且用户尝试重置密码或解锁帐户时,要求他们选择通讯模式(推送通知、短信或电话),然后Duo Security发送验证码。在成功验证后,用户可以对其密码和帐户执行自助服务。 了解更多

RSA SecurID

RSA SecurID

ADSelfService Plus可与RSA SecurID集成,向尝试访问网络资源的用户提供安全的身份验证。当重置密码或解锁帐户时,用户可使用RSA SecurID移动应用、硬件令牌、或通过电子邮件或短信收到的令牌来登录至ADSelfService Plus。了解更多

Block users

RADIUS

ADSelfService Plus允许管理员添加RADIUS,作为用户身份验证的额外途径。在管理员启用RADIUS后,要求用户提供其RADIUS密码以对他们自己进行身份验证。一旦帐户得到验证,用户就可以继续执行自助操作,或转至协议要求的下一身份验证过程。了解更多

Block users

为了阻止恶意用户多次猜测答案,对某一时间段内回答错误累积到指定次数的任何帐户,管理员可以对其设置临时拦截。

Push notifications

推送通知

推送通知是一种最简单、最快速的身份验证方式。在启用推送通知的情况下,用户将在他们注册的移动设备上获取发送到ADSelfService Plus移动应用的登录请求。他们可以批准身份验证请求或按“拒绝”来拒绝非预期请求。一旦注册,用户还可以从其移动应用中使用推送通知来重置其密码或解锁其帐户。

Fingerprint authentication

指纹身份验证

世人没有比个人指纹更独一无二的了。这就是指纹身份验证是最简单而又最安全的身份验证方法之一的原因了。如果用户注册的移动设备有指纹传感器,他们可从ADSelfService Plus移动应用用指纹对密码重置进行身份验证和帐户解锁。

QR code-based authentication

二维码身份验证

ADSelfService Plus移动应用是所有用户需要使用二维码进行身份验证的应用程序。用户只需要从他们注册的移动设备扫描其ADSelfService Plus web页面中显示的二维码来完成该过程。

Time-based one-time passcodes (TOTPs)

基于时间的一次性密码 (TOTP)

最常用的身份验证方法之一是基于时间的一次性密码(TOTPs)。ADSelfService Plus移动应用生成TOTP,每分钟变换一次。用户必须在身份验证过程期间的特定时间段内输入6位数密码,以完成其身份验证。

工作原理

当用户访问ADSelfService Plus应用程序并单击“重置密码”或“解锁帐户”链接时,身份验证过程就开始了。在用户输入其用户名和域后,ADSelfService Plus服务器执行一系列安全检查。

Identity verification process in ADSelfService Plus

域归属检查:检查用户是否归属于指定的域。

策略设置检查:检查用户是否有权通过ADSelfService Plus重置其密码或解锁其帐户。ADSelfService Plus策略可进行配置,因此最终用户仅对某些自助服务功能有访问权。

注册状态检查:通过回答安全问题、更新其手机号码或电子邮件以及同步其Google Authenticator帐户,检查用户是否已向ADSelfService Plus注册。只有注册的用户才被允许重置密码和解锁帐户。

已阻止用户检查:检查用户用户是否因多个无效的操作而被ADSelfService Plus服务器阻止执行自助服务操作。对安全问题输入正确验证码和/或答案失败的用户在一定数量的尝试(由ADSelfService Plus管理员设定)后,将被应用程序阻止。这将帮助防范基于机器人的攻击、DOS攻击和其他类型的攻击。

一旦这些预检查完成,ADSelfService Plus将通过运行管理员配置的身份验证过程来验证用户的身份。

优点

额外一层安全:在社交媒体中广泛采用的问题与答案安全方法已带有缺陷,因为用户提供的问题和答案易于被黑客找到。通过对身份验证过程添加验证码和Google Authenticator,ADSelfService Plus让帐户变得更安全。

用户友好:易于访问电子邮件和移动电话,让这些设备变成用户旅行中管理其帐户的更简单选项。

管理员权力:管理员权力

对密码自助服务进行电子邮件通知:无论何时用户完成自助服务操作,他们均将从ADSelfService Plus收到电子邮件通知。电子邮件验证在出现未授权帐户活动的情况下充当告警,并允许作出反应并阻止进一步的损害。

Download

ADSelfService Plus的其它优点 - 自助服务重置密码管理

优点

自助重置密码

将Active Directory用户从长时间帮助台电话请求重置密码的方式中解放处理。使用ADSelfService Plus仅需几步即可重置密码!

单点登录

轻松的一键访问100多个云应用。使用企业单点登录,用户可以使用其Active Directory凭证来访问他们的云应用。

密码/账户过期通知

通过邮件通知用户其密码/帐户到期。

密码同步

自动跨多个系统同步Windows Active Directory用户密码/账户变更,包括Office 365、G Suite、IBM iSeries以及更多。

强制密码策略

强制Active Directory用户通过显示密码复杂性要求设置兼容的密码,确保强大的用户密码能够抵御各种黑客威胁。

目录自主更新公司搜索

Active Directory用户更新其最新信息的门户和快速搜索工具,通过使用搜索关键(如联系电话)寻找相应联系者的信息。

我们的客户