Tecniche di autenticazione a più fattori in ADSelfService Plus
Diamo un'occhiata più da vicino ai numerosi metodi di autenticazione supportati da ADSelfService Plus per l'autenticazione a più fattori per le aziende.
Perché l'autenticazione a più fattori?
L'autenticazione basata solo su nome utente e password non è più considerata sicura. La sola autenticazione basata su password per gli account degli utenti è una vulnerabilità di fronte alle minacce come gli attacchi basati su tentativi ripetuti e di dizionario. Per ridurre questi rischi di sicurezza, ADSelfService Plus verifica le identità degli utenti utilizzando l'autenticazione a più fattori insieme alle usuali credenziali di Active Directory. ADSelfService Plus utilizza l'autenticazione a più fattori per la verifica dell'identità durante:
- Accesso a Windows, macOS, e Linux (in caso di installazione del client ADSelfService Plus).
- Accesso al portale ADSelfService Plus.
- Accessi alle applicazioni aziendali tramite single sign-on (SSO).
- Azioni di reimpostazione self-service delle password di Active Directory o sblocco degli account di Active Directory mediante il portale ADSelfService, l'app ADSelfService Plus per dispositivi mobili e le schermate di accesso native di Windows, macOS e Linux (in caso di installazione del client ADSelfService Plus).
- Accesso VPN (in caso di installazione dell'estensione Network Policy Server).
- Accesso Outlook Web Access (in caso di installazione dell'estensione per autenticazione a più fattori Internet Information Services).
Varie tecniche di autenticazione disponibili in ADSelfService Plus
- Autenticazione tramite impronta digitale/Face ID: Gli utenti su dispositivi mobili dotati di un sensore per impronta digitale o Face ID possono utilizzare questo metodo per la verifica dell'identità. La registrazione viene effettuata mediante l’app ADSelfService Plus per dispositivi mobili. Se l'amministratore ha configurato questo metodo, la procedura di registrazione è visualizzata nella scheda Registrazione. Durante l'autenticazione a più fattori, gli utenti devono effettuare la scansione delle loro impronte digitali o del loro volto e fare clic su Accetta per effettuare l'autenticazione.
- YubiKey Authenticator: YubiKey è un dispositivo hardware che utilizza codici per l'autenticazione a più fattori. La registrazione viene effettuata inserendo il dispositivo YubiKey nella workstation e premendone il pulsante (nel caso nel portale ADSelfService Plus per utenti finali) o appoggiandolo al dispositivo mobile (nel caso dell'app ADSelfService Plus per dispositivi mobili). Questa operazione permette l'aggiornamento automatico nel campo inserito in ADSelfService Plus. Gli utenti devono seguire la stessa procedura per verificare la loro identità durante l'autenticazione a più fattori.
- SecurID di RSA: SecurID di RSA è un altro metodo che utilizza i passcode per l'autenticazione a più fattori. Per la registrazione, gli utenti inseriscono il passcode fornito dall'amministratore. Per dimostrare la loro identità, gli utenti inseriscono un passcode monouso generato mediante:
- Un token hardware.
- L'app SecurID di RSA per dispositivi mobili.
- Dei token ricevuti tramite e-mail o SMS.
- Duo Security: Duo Security è una soluzione di autenticazione che utilizza metodi come:
- Codici di verifica basati su SMS.
- Verifica basata su chiamata telefonica.
- Codici di verifica basati su app.
- Notifiche push.
Una volta configurato, gli utenti devono inserire un codice che ricevono o accettare una notifica per l'autenticazione. Per la registrazione, gli utenti devono indicare il metodo che utilizzeranno per l'autenticazione a più fattori.
- Autenticazione a più fattori di Azure AD: Le organizzazioni con l'autenticazione a più fattori di Active Directory già abilitata possono utilizzare la configurazione esistente e permettere agli utenti di effettuare l'autenticazione mediante i metodi di autenticazione pre-registrati Azure Active Directory. I metodi supportati includono:
- Notifiche push basate su app di Microsoft Authenticator.
- Codici di verifica basati su app di Microsoft Authenticator.
- Verifica basata su chiamata telefonica.
- Verifica basata su SMS.
- Token hardware OATH mediante Yubico, DeepNet Security e altri.
- RADIUS: RADIUS utilizza passcode per l'autenticazione a più fattori. Gli utenti vengono registrati automaticamente quando l'amministratore configura l'autenticazione RADIUS. Per l'autenticazione a più fattori, devono semplicemente inserire la password RADIUS fornita dall'amministratore.
- Google Authenticator: Google Authenticator è un'app che utilizza codici a tempo per l'autenticazione. Per verificare l'identità degli utenti, l'app genera un codice a tempo che gli utenti devono inserire per effettuare l'autenticazione. Gli utenti devono effettuare la registrazione utilizzando l'app per effettuare la scansione del codice QR visualizzato nella scheda Registrazione del portale di ADSelfService per utenti finali.
- Microsoft Authenticator: L'app Microsoft Authenticator genera un codice temporaneo che gli utenti devono inserire per effettuare l'autenticazione. Per la registrazione, gli utenti devono installare l'app Microsoft Authenticator e configurarla con ADSelfService Plus utilizzando il codice a barre disponibile nella scheda Registrazione del portale self-service.
- Codici di verifica basati su SMS: Per questo metodo, gli utenti devono inserire un codice monouso inviato al loro dispositivo mobile per verificare la loro identità. Gli amministratori possono scegliere il numero di cellulare dal profilo Active Directory degli utenti o permettere agli utenti di specificare un altro numero al momento della registrazione.
- Codici di verifica basati su e-mail: In questo metodo, un codice monouso viene inviato all'indirizzo e-mail dell'utente. Gli amministratori possono scegliere l'indirizzo e-mail dal profilo Active Directory degli utenti o permettere agli utenti di specificare un altro indirizzo e-mail al momento della registrazione.
- Password monouso temporanea (TOTP): L'autenticazione basata su password monouso temporanea viene effettuata mediante l’app ADSelfService Plus per dispositivi mobili. Dopo la registrazione, l'autenticazione viene effettuata in modo simile ai metodi descritti in alto: Gli utenti ricevono una password monouso temporanea ogni volta che devono dimostrare la loro identità. Devono inserire la password monouso temporanea entro un determinato periodo di tempo per effettuare l'autenticazione.
- Strumento di autenticazione personalizzato con password monouso temporanea: Le app TOTP personalizzate utilizzate dalle organizzazioni possono essere utilizzate anche come strumento di autenticazione per la funzionalità di autenticazione a più fattori di ADSelfService Plus. Il processo di registrazione dipende dalle potenzialità dell'app. Per effettuare l'autenticazione, gli utenti devono inserire la TOTP visualizzata sull'app nel campo del portale del prodotto entro un tempo indicato.
- TOTP di Zoho OneAuth: Zoho OneAuth è un'app che offre l'autenticazione a più fattori e il Single Sign-On agli account aziendali. La funzionalità TOTP dell'app può essere utilizzata da ADSelfService Plus come metodo di autenticazione. Per effettuare la registrazione, gli utenti devono effettuare la scansione di un codice QR visualizzato nel portale del prodotto utilizzando l'app Zoho OneAuth. Una volta effettuata la registrazione, possono effettuare l'autenticazione inserendo la TOTP visualizzata sull'app nel campo del portale entro un tempo indicato.
- Notifiche push: Le notifiche push vengono ricevute mediante l'app ADSelfService Plus per dispositivi mobili installata nei dispositivi mobili degli utenti. La registrazione può essere effettuata solo mediante l'app per dispositivi mobili. Dopo che l'amministratore ha abilito le notifiche push, la procedura è menzionata nella scheda Registrazione. Una volta effettuata la registrazione, gli utenti ricevono una notifica che devono accettare per dimostrare la loro identità.
- Autenticazione basata su codice QR: Quando questo metodo è abilitato, gli utenti devono effettuare la scansione del codice QR visualizzato nel portale ADSelfService Plus per utenti finali mediante l'app ADSelfService Plus per dispositivi mobili e selezionare Accetta per dimostrare la loro identità. Gli utenti possono effettuare la registrazione utilizzando l'app, seguendo la procedura descritta nella scheda Registrazione.
- Autenticazione tramite SAML: Le organizzazioni che utilizzano applicazioni di fornitori di identità (IdP) basate su SAML come Okta e OneLogin possono utilizzare l'autenticazione tramite SAML come metodo per verificare l'identità degli utenti. Quando l'autenticazione tramite SAML è abilitata, gli utenti vengono reindirizzati all'URL di accesso del loro IdP per l'autenticazione solo quando effettuano la reimpostazione della password o lo sblocco dell'account self-service in ADSelfService Plus. La registrazione non è necessaria per questo metodo.
- Autenticazione tramite smart card: Questo metodo è applicabile solo per l'autenticazione a più fattori durante l'accesso al portale del prodotto e l'accesso all'applicazione aziendale. Gli utenti vengono autenticati dopo che ADSelfService Plus ha confrontato il file del certificato sulla macchina dell'utente con quello in AD. La registrazione automatica avviene quando l'utente effettua l'autenticazione per la prima volta.
- Domande e risposte di sicurezza: Questo metodo si basa su un insieme predefinito di domande personali come "Qual è il tuo colore preferito?". Queste domande possono essere configurate dagli amministratori o dagli utenti. Gli utenti possono effettuare la registrazione definendo domande e risposte personalizzate o fornendo risposte alle domande definite dall'amministratore. Devono inserire la risposta corretta a queste domande durante la verifica dell'identità.
- Domande di sicurezza basate su AD: In questo metodo, l'amministratore configura domande basate su AD che sono collegate ad attributi AD esistenti o personalizzati come il codice fiscale. Per dimostrare la loro identità, gli utenti devono inserire una risposta che viene poi confrontata con il valore dell'attributo in AD per il loro account utente. In caso di corrispondenza, l'utente viene autenticato. Questo metodo non richiede la registrazione degli utenti.
Vantaggi dell'utilizzo di ADSelfService Plus per l'autenticazione a più fattori
- Sicurezza completa dell'azienda: Più punti di accesso locali e remoti della rete aziendale possono essere protetti dagli attacchi basati sulle credenziali.
- Configurazione delle singole funzionalità: Determinati metodi di autenticazione possono essere abilitati per gli utenti che appartengono a determinati gruppi, domini e unità organizzative. Determinati endpoint aziendali possono anche essere protetti mediante autenticazione a più fattori a seconda del criterio relativo agli utenti.
- Conformità alle normative: L'autenticazione a più fattori aiuta a soddisfare i criteri di conformità di normative tra cui GDPR, HIPAA, NYCRR e FFIEC.
- Autenticazione senza password: Le aziende possono decidere di non utilizzare le password di dominio Active Directory e utilizzare solo l'autenticazione a più fattori per effettuare la verifica delle identità degli utenti.