ADSelfService Plus中的多因素身份验证（MFA）

让我们来看看ADSelfService Plus为企业多重身份验证支持的各种身份验证方法。

为什么选择多因素身份验证（MFA）？

仅基于用户名和密码的身份验证不再被认为是安全的。仅基于密码的身份验证就使用户帐户容易受到暴力攻击和字典攻击等威胁。为了降低此类安全风险，ADSelfService Plus使用多因素身份验证和默认的Active Directory凭据来验证用户的身份。ADSelfService Plus 在以下期间使用多重身份验证进行身份验证：

• Windows、macOS 和 Linux 登录（安装 ADSelfService Plus 客户端软件时）。
• ADSelfService Plus 门户登录。
• 企业应用程序通过单点登录（SSO）登录。
• Active Directory 自助式密码重置或账户解锁操作，通过 ADSelfService 门户、ADSelfService Plus 移动应用程序以及原生 Windows、macOS 和 Linux 登入界面（安裝 ADSelfService Plus 客户端软件）。
• VPN登录（当安装网络策略服务器扩展时）。
• Outlook on web（OWA）登录（当安装互联网信息服务多因素身份验证扩展时）。

ADSelfService Plus中提供的各种身份验证技术

1. FIDO密码登录：由FIDO联盟开发的FIDO2身份验证，使用Web身份验证（WebAuthn）API和公钥加密进行身份验证。FIDO2身份验证是无密码的，可以抵抗网络钓鱼、重播和中间操纵者（MITM）攻击。使用ADSelfService Plus，您可以启用FIDO2身份验证，以保护企业应用程序、OWA和基于Web的自助服务活动。用户可以使用Windows Hello、Apple Touch ID、Android生物识别技术以及符合FIDO2和U2F的安全密钥等无密码方法进行身份验证。
2. 生物识别认证：拥有包含指纹或面部传感器的安卓或iOS移动设备的用户可以使用这种方法进行身份验证。注册使用 ADSelfService Plus 移动应用程序执行。管理员配置此方法后，注册步骤将显示在“注册”标签上。在 MFA 期间，用户必须扫描自己的手指或面部，然后单击“接受”才能成功进行身份验证。
3. YubiKey身份验证器：YubiKey是一种使用代码进行多重身份验证的硬件设备。注册是通过将YubiKey设备插入工作站并按下其按钮（在ADSelfService Plus最终用户门户的情况下）或将其轻点到移动设备上（在ADSelfService Plus移动应用程序的情况下）来完成。完成此操作后，ADSelfService Plus 中提供的字段中会自动更新代码。在多重身份验证期间，用户必须按照相同的步骤来验证他们的身份。
4. RSA SecurID：RSA SecurID是另一种使用密码进行多因素身份验证的方法。要进行注册，用户需要输入管理员提供的密码。然后，为了证明他们的身份，用户输入通过以下方式生成的一次性密码：
   • 硬件令牌。
   • RSA SecurID移动应用程序。
   • 通过电子邮件或短信收到的代币。
5. Duo Security：Duo Security是一种身份验证解决方案，使用以下方法：
   • 基于短信的验证码。
   • 基于电话的验证。
   • 基于应用程序的验证码。
   • 推送通知。

   配置后，用户必须输入他们收到的代码或接受通知来验证自己。对于注册，用户需要提及他们将使用哪种方法进行多重身份验证。

6. Azure AD MFA：已启用Azure AD MFA的组织可以使用现有配置，并允许用户通过Azure AD中的预注册身份验证方法进行身份验证。支持的方法包括：
   • 基于微软身份验证器应用程序的推送通知。
   • 基于微软身份验证器应用程序的验证码。
   • 基于电话的验证。
   • 基于短信的验证。
   • 使用Yubico、DeepNet Security等的OATH硬件令牌。
7. RADIUS：RADIUS 使用密码进行多重身份验证。当管理员配置 RADIUS 身份验证时，用户会自动注册。对于多重身份验证，他们只需输入管理员提供的RADIUS密码。
8. 谷歌身份验证器：谷歌身份验证器是一个使用定时代码进行身份验证的应用程序。为了验证用户身份，该应用程序会生成一个定时代码，用户必须输入该代码才能进行身份验证。用户必须使用应用程序来扫描 ADSelfService 最终用户门户中“注册”标签下显示的二维码进行注册。
9. 微软身份验证器：微软身份验证器应用程序生成一个定时代码，用户必须输入该代码才能进行身份验证。要注册，用户必须安装Microsoft Authenticator应用程序，并使用“注册”选项卡下自助服务门户中提供的条形码使用ADSelfService Plus对其进行配置。
10. 基于短信的验证码：对于这种方法，用户必须输入发送到其移动设备的一次性验证码来验证其身份。管理员可以从用户的 Active Directory 配置文件中选择手机号码，也可以在注册时让用户指定另一个号码。
11. 基于电子邮件的验证码：在这种方法中，一次性验证码会发送到用户的电子邮件地址。管理员可以从用户的 Active Directory 配置文件中选择电子邮件地址，也可以让用户在注册时指定另一个电子邮件地址。
12. 基于时间的一次性密码（TOTP）：基于TOTP的身份验证也使用ADSelfService Plus移动应用程序执行。注册后，身份验证的执行方式与上述方法相似：用户每次必须证明自己的身份时都会收到TOTP。他们必须在特定时间内进入TOTP来验证自己。
13. 自定义TOTP身份验证器：组织使用的自定义TOTP应用程序也可以扩展为ADSelfService Plus的多因素身份验证功能的身份验证方法。注册流程将取决于应用程序的功能。要进行身份验证，用户必须在指定时间内在产品门户提供的字段中输入应用程序上显示的TOTP。
14. Zoho OneAuth TOTP：Zoho OneAuth是一款为企业帐户提供多因素身份验证和单点登录的应用程序。ADSelfService Plus可以利用该应用程序的TOTP功能，并将其用作身份验证方法。要注册，用户需要使用Zoho OneAuth应用程序扫描产品门户中显示的二维码。一旦注册，他们可以在指定时间内在门户提供的字段中输入应用程序上显示的TOTP进行身份验证。
15. 推送通知：推送通知是通过用户移动设备上安装的 ADSelfService Plus 移动应用程序接收的。注册只能通过移动应用程序完成。管理员启用推送通知后，在“注册”选项卡下提及这些步骤。注册后，用户会收到通知，他们需要接受以证明自己的身份。
16. 基于二维码的身份验证：启用此方法后，用户必须使用ADSelfService Plus移动应用程序扫描ADSelfService Plus最终用户门户中显示的二维码，然后选择“接受”来证明其身份。用户可以按照“注册”标签下显示的步骤使用该应用进行注册。
17. SAML身份验证：已经使用基于SAML的身份提供商（IdP）应用程序的组织，如Okta或OneLogin，可以使用SAML身份验证作为验证用户身份的方法。启用SAML身份验证后，用户只有在ADSelfService Plus中执行自助服务密码重置或帐户解锁时，才会被重定向到他们的IdP登录URL进行身份验证。此方法不需要注册。
18. 智能卡认证：此方法仅适用于产品门户登录和企业应用程序登录期间的多因素认证。在ADSelfService Plus将用户计算机上的证书文件与AD中的证书文件进行比较后，用户将进行身份验证。当用户首次进行身份验证时，会自动进行注册。
19. 安全问题和答案：此方法由一组预定义的个人问题组成，例如“你最喜欢的颜色是什么？”这些问题可以由管理员或用户配置。用户可以通过定义自定义问题和答案或为管理员定义的问题提供答案来注册。在身份验证期间，他们必须为这些问题提供正确答案。
20. 基于 AD 的安全问题：在此方法中，管理员设置基于 AD 的问题，这些问题与现有或自定义 AD 属性（如社会保障号码）相关联。为了证明他们的身份，用户必须输入一个答案，然后将其与用户帐户的 AD 中的属性值进行比较。如果它们匹配，则用户经过身份验证。此方法不需要用户注册。

使用ADSelfService Plus进行多重身份验证的好处

• 全面的企业安全：可以保护企业网络的多个远程和本地访问点免受基于凭据的攻击。
• 精细功能配置：可以为属于特定OU、组和域的用户启用特定的身份验证方法。根据这些用户标准，某些企业端点也可以通过多重身份验证进行保护。
• 法规合规性：多因素身份验证有助于遵守GDPR、PCI DSS、HIPAA和NIST网络安全框架等法规。
• 无密码身份验证：企业可以放弃活动目录域密码，仅使用多重身份验证来验证用户身份。