최종 사용자가 패스워드를 재설정하거나 자신의 계정을 잠금 해제할 때 보안 위험이 발생할 수 있습니다. 침입자가 로그인 인증을 훔치기 위해, 올바른 사용자로 속이는 것은 흔한 일입니다. 원하는 사용자 만 셀프 서비스 포털에 액세스 할 수 있도록 ADSelfService Plus는 다음과 같은 엄격한 인증 방법을 사용하여 사용자의 ID를 설정합니다.
관리자는 필요에 따라 모든 인증 절차 또는 사용 가능한 방법의 조합을 선택할 수 있습니다.
사용자는 일련의 개인적인 질문에 대답하여 ADSelfService Plus에 등록합니다. 답변은 패스워드화 후에 ADSelfService Plus 데이터베이스에 안전하게 저장됩니다. 패스워드를 재설정하거나 계정의 잠금을 해제하려면, 사용자는 이전에 응답한 질문에 대답하여 신원을 확인해야 합니다.
사용자가 비밀번호 재설정 또는 계정 잠금 해제를 시도하면, 휴대 기기 또는 이메일 주소로 인증 코드가 전송됩니다. Admin 관리자는 이메일을 통해 사용자가 패스워드를 재설정하는 데 사용할 수 있는 보안 링크를 보낼 수도 있습니다. Admin 관리자는 사용자의 로그인을 일시적으로 차단하기 전에, 사용자가 유효하지 않은 로그인 인증을 입력할 수 있는 횟수를 구성할 수 있습니다.
참고: Admin 관리자는 Active Directory의 해당 LDAP 속성에서 모바일 장치 및 이메일 주소를 가져오도록 ADSelfService Plus를 구성할 수 있습니다.
ADSelfService Plus는 널리 사용되는 휴대 전화 용 인증 애플리케이션인 Google Authenticator를 지원합니다. 사용자는 QR 코드를 스캔하여 ADSelfService Plus에 등록합니다. 셀프 서비스 동작을 수행할 때, 사용자는 그 앱을 열고 Google Authenticator에 표시된 코드를 입력하여 신원을 확인해야 합니다.
Admin 관리자는 Google Authenticator 외에도 Microsoft Authenticator 또는 Sophos Authenticator와 같은 타사의 시간 기반 인증 프로그램을 사용할 수 있습니다.
ADSelfService Plus의 다단계 인증 기능은 광범위하게 신뢰받는 액세스 플랫폼 인 Duo Security를 지원하여 사용자의 신원을 확인하고 조직을 보호합니다. 사용자는 Duo Security에 등록해야 합니다. 이 인증 절차가 활성화되고 사용자가 패스워드 재설정 또는 계정 잠금 해제를 시도하면, Duo Security가 인증 코드를 전송할 통신 모드(푸시 알림, SMS 또는 통화)를 선택해야 합니다. 인증에 성공하면, 사용자는 자신의 패스워드와 계정을 셀프 서비스할 수 있습니다.
ADSelfService Plus는 RSA SecurID와 통합되어 네트워크 리소스에 액세스하려는 사용자에게 보안 인증을 제공할 수 있습니다. 패스워드를 재설정하거나 계정을 잠금 해제할 때, 사용자는 RSA SecurID 모바일 앱에서 생성된 보안 코드, 하드웨어 토큰 또는 이메일이나 SMS로받은 토큰을 사용하여 ADSelfService Plus에 로그인 할 수 있습니다.
ADSelfService Plus를 사용하면 Admin 관리자가 사용자 인증을 위한 추가 수단으로 RADIUS 를 추가할 수 있습니다. Admin 관리자가 RADIUS를 활성화한 후에, 사용자가 자신의 인증을 위해 RADIUS 패스워드를 제공해야 합니다. 계정이 확인되면, 사용자는 셀프 서비스 작업을 수행하거나 프로토콜에 따라 다음 인증 절차로 이동할 수 있습니다.
푸시 알림은 가장 쉽고 빠른 인증 방법 중 하나입니다. 푸시 알림이 활성화되면, 사용자는 등록된 모바일 장치의 ADSelfService Plus 모바일 앱으로 보내진 로그인 요청을 받습니다. 인증 요청을 승인하거나, 거부 버튼을 눌러 예기치 않은 요청을 거부할 수 있습니다. 등록이 되면, 사용자는 푸시 알림을 사용하여 모바일 앱에서 패스워드를 재설정하거나 계정을 잠금 해제할 수 있습니다.
사람의 지문처럼 독특한 것은 없습니다. 그렇기 때문에 지문 인증은 가장 쉽고 안전한 인증 방법 중 하나입니다. 사용자의 등록된 모바일 장치에 지문 센서가 있는 경우 지문을 사용하여 ADSelfService Plus 모바일 앱에서 패스워드 재설정 및 계정 잠금을 인증할 수 있습니다.
ADSelfService Plus 모바일 앱에서 모든 사용자는 인증을 위해 QR 코드를 사용해야 합니다. 사용자는 등록된 모바일 장치에서 ADSelfService Plus 웹 포털에 표시된 QR 코드를 간단히 스캔하여 프로세스를 완료할 수 있습니다.
가장 일반적으로 사용되는 인증 방법 중 하나는 시간 기반 일회용 패스 코드(TOTP: time-based one-time passcodes)입니다. ADSelfService Plus '모바일 앱은 매분마다 변경되는 TOTP를 생성합니다. 사용자는 신원 확인을 완료하기 위해 인증 프로세스 동안에 6자리 패스워드를 정해진 시간 내에 입력해야 합니다.
ID 확인 프로세스는 사용자가 ADSelfService Plus 앱 액세스하고 "패스워드 재설정"또는 "계정 잠금 해제"링크를 클릭할 때 시작됩니다. 사용자가 사용자 이름과 도메인을 입력하면 ADSelfService Plus 서버는 일련의 보안 검사를 수행합니다.
도메인 소속 확인: 사용자가 지정된 도메인에 소속되어 있는지 확인합니다.
정책 설정 확인: ADSelfService Plus를 통해 사용자가 자신의 패스워드를 재설정하거나 계정 잠금을 해제할 권한이 있는지 확인합니다. 최종 사용자가 특정 셀프 서비스 기능에만 액세스 할 수 있도록 ADSelfService Plus 정책을 구성할 수 있습니다.
등록 상태 확인: 사용자가 보안 질문에 응답하고, 휴대폰 번호 또는 이메일 주소를 업데이트하고, Google Authenticator 계정을 동기화하여 ADSelfService Plus에 등록했는지 확인합니다. 등록된 사용자 만 패스워드를 재설정하고 계정의 잠금을 해제할 수 있습니다.
차단된 사용자 확인: ADSelfService Plus 서버가 여러 가지 잘못된 작업으로 인해 셀프 서비스 작업을 수행할 수 없도록 사용자 계정이 차단되었는지 확인합니다. 올바른 인증 코드를 입력하지 않았거나 혹은 보안 질문에 대한 답변에 실패한 사용자는 ADSelfService Plus 관리자가 설정한 특정 횟수만큼 시도한 후에 해당 ADSSP 앱에 의해 차단됩니다. 이렇게 하면
(Bot) 기반 공격, DoS(서비스 거부) 공격 및 기타 유형의 공격을 막을 수 있습니다.
예비 점검이 완료되면, ADSelfService Plus는 Admin 관리자가 구성한 인증 절차를 실행하여 사용자의 신원을 확인합니다.
보안 계층 강화: 소셜 미디어에 널리 사용되는 질문 및 답변을 통한 보안 방법은 해커가 쉽게 찾을 수 있는 질문 및 답변을 제공하기 때문에 결함이 있습니다. ADSelfService Plus는 신원 확인 절차에 인증 코드와 Google Authenticator를 추가하여 계정을 보다 안전하게 만들었습니다.
사용자 친화적: 이메일 및 휴대 전화에 쉽게 액세스 할 수 있으므로 이러한 장치는 사용자가 이동 중에도 계정을 관리할 수 있는 보다 간단한 옵션입니다.
관리자 권한: Admin 관리자는 추가적 보안을 위해 하나 또는 모든 인증 모드를 선택할지 여부를 완전히 제어할 수 있습니다.
패스워드 셀프 서비스 시 이메일 알림: 사용자가 셀프 서비스 작업을 완료하면 ADSelfService Plus에서 그 사용자의 이메일로 이메일 알림을 받게 됩니다. 이메일 알림은 권한이 부여되지 않은 계정 활동이 있는 경우 경고로 작동하며, 사용자가 더 많은 피해를 방지하고 대응할 수 있게 합니다.