使用MFA实现Active Directory用户身份验证的现代化通过多种因素保护用户访问，以防止复杂的网络攻击

采用MFA来提高您的网络防御

多因素身份验证（MFA）要求更高级别的身份验证，有助于缩小攻击面并保护您的业务。您网络中的所有用户、所有系统（包括云应用、本地应用以及终端设备）均可启用该认证方式。您可以利用ManageEngine ADSelfService Plus在您的组织中有效和轻松地部署MFA，并保护您的业务。

SSPR的MFA

允许用户执行自助服务密码重置（SSPR），并且只有在通过强制身份验证器证明自己的身份后才能解锁自助服务帐户

应用程序访问的MFA

通过包括生物识别技术在内的高级身份验证器（包括RSA SecurID）通过单点登录（SSO）来规范企业应用程序访问。

端点访问的MFA

使用MFA安全访问机器（Windows、macOS和Linux操作系统）、VPN和OWA登录

在您需要的地方实施MFA

一旦用户启动密码自助服务、SSO或端点登录，ADSelfService Plus 允许 IT 管理员触发预配置的身份验证工作流程。使用此工作流程，IT 管理员可以根据用户组、域和组成员身份，为不同的用户组强制执行不同的身份验证器。

将MFA与ADSelfService Plus搭配使用的主要优势

安全远程登录尝试

ADSelfService Plus 保护服务器和工作站的本地和远程登录尝试。

抵御基于凭据的攻击

借助MFA，ADSelfService Plus可以应对所有基于凭据的网络攻击，包括暴力、密码喷雾和字典攻击。

确保合规性

ADSelfService Plus符合NIST SP 800-63B、NYCRR、FFIEC、GDPR和HIPAA合规性要求。

获取报价下载免费版

ADSelfService Plus 如何验证 Active Directory 用户身份和相关帐户？

ADSelfService Plus支持的身份验证器的完整列表

安全问题和答案

用户通过回答几个用户特定问题来注册ADSelfService Plus；然后，这些答案在加密后安全地存储在ADSelfService Plus数据库中。要重置密码或解锁帐户，用户需要通过回答之前提供的问题来证明自己的身份。IT管理员可以通过选项进一步加强身份验证，以防止用户对多个问题或问题中的任何单词和其他参数使用相同的答案。

短信和电子邮件验证码

当用户尝试重置密码或解锁帐户时，验证码会发送到他们的手机号码或电子邮件地址。IT管理员还可以选择通过电子邮件发送安全链接，使用户能够重置密码，或指定用户在被暂时阻止登录之前可以输入的无效尝试次数。要发送密码重置链接，IT管理员可以配置ADSelfService Plus，从活动目录（AD）中相应的轻量级目录访问协议（LDAP）属性中获取手机号码和电子邮件地址信息。

谷歌身份验证器

ADSelfService Plus支持Google Authenticator，这是一个广泛使用的第三方手机身份验证应用程序。用户通过扫描二维码来注册ADSelfService Plus。在执行任何自助服务操作时，用户需要打开应用程序并输入谷歌身份验证器中显示的代码来证明他们的身份。

微软身份验证器

ADSelfService Plus支持Microsoft Authenticator，这是一个广泛使用的手机第三方身份验证应用程序。一旦用户注册了ADSelfService Plus，他们可以通过输入Microsoft Authenticator中显示的代码来证明自己的身份，在密码自助服务操作和端点登录期间。

YubiKey身份验证器

ADSelfService Plus支持YubiKey，这是一个识别为键盘的身份验证设备，并提供一次性密码。注册后，用户可以使用YubiKey设备在密码自助服务操作和端点登录期间证明他们的身份。

使用YubiKey来证明身份

1.工作站：用户将YubiKey设备插入台式机或笔记本电脑，将光标放在相应的字段中，然后按住已插入的YubiKey设备上的按钮。代码会自动更新。
2.移动设备：当用户使用移动设备点击他们的YubiKey设备时，他们将被重定向到显示密码的页面。他们复制密码并将其粘贴到相应的字段中，以证明他们的身份。

载入更多

Duo Security

ADSelfService Plus支持MFA的Duo Security。用户首先需要注册Duo Security。当启用此身份验证技术并使用者尝试重置密码或解锁帐户时，他们需要选择一种通信模式（推送通知、短信或呼叫），Duo Security通过该模式发送验证码。验证成功后，用户可以使用密码自助服务来管理他们的密码和帐户。

RSA安全ID

ADSelfService Plus可以与RSA SecurID集成，为尝试访问网络资源的用户提供受保护的身份验证。在重置密码或解锁帐户时，用户可以使用RSA SecurID移动应用程序生成的安全码、硬件令牌或通过电子邮件或短信收到的令牌登录ADSelfService Plus。

RADIUS验证

ADSelfService Plus 允许 IT 管理员添加 RADIUS 作为用户身份验证的额外资源。用户需要提供他们的RADIUS密码来验证自己。一旦他们的帐户经过验证，用户就可以执行自助服务操作，或按照协议的要求进入下一个身份验证因素。

推送通知

这是最简单、最快的身份验证方法之一。启用推送通知后，用户将收到从ADSelfService Plus发送到其注册的移动设备的登录请求。他们可以批准认证请求，如果他们没有发起请求，也可以拒绝该请求。注册后，用户还可以重置密码，或使用推送通知从移动应用程序解锁帐户。

指纹认证

一个人的指纹是独一无二的，指纹认证是最简单但最安全的认证方法之一。如果用户的注册移动设备有指纹传感器，他们可以使用指纹来验证密码重置和从ADSelfService Plus移动应用程序中解锁帐户。

面容识别认证

生物识别认证是当今最可靠的认证技术之一。ADSelfService Plus 支持在 iOS 移动设备上通过面容 ID（面部识别）验证身份，适用于在 iPhone 上安装并设置了 ADSelfService Plus 移动应用的用户。

基于二维码的认证

ADSelfService Plus移动应用程序是用户使用二维码进行身份验证所需的全部。用户只需从注册的移动设备扫描ADSelfService Plus门户网站上显示的二维码即可完成该过程。

基于时间的一次性密码（TOTP）身份验证

最常用的身份验证方法之一是TOTP。ADSelfService Plus的移动应用程序生成每分钟更改一次的TOTP。用户需要在认证过程中在一分钟内输入6位密码，以完成身份验证。

基于 AD 的安全提示问题

ADSelfService Plus使IT管理员能够建立基于Active Directory的安全问题，作为在自助服务密码重置期间验证用户身份的MFA方法之一。启用此方法后，安全问题将链接到 Active Directory 属性，当用户的答案与该特定属性的值匹配时，用户将成功进行身份验证。例如，假设 IT 管理员选择了“您的社会保障号码是多少？”作为一个基于AD的安全问题。每当用户尝试重置密码时，他们都需要输入他们的社会保障号码作为答案，即自定义属性的指定值。如果输入错误，密码重置操作将被取消。由于此技术利用了用户的 Active Directory 属性，因此他们无需单独注册 ADSelfService Plus。