APermitir a los usuarios finales restablecer sus contraseñas o desbloquear sus propias cuentas plantea riesgos de seguridad. No es raro que un atacante se enmascare como un usuario válido para robar credenciales. Para garantizar que solo los usuarios previstos accedan al portal de autoservicio, ADSelfService Plus emplea los siguientes métodos de autenticación rigurosos para establecer las identidades de los usuarios:
Los administradores tienen la flexibilidad de elegir todos los procedimientos de autenticación o una combinación de los métodos disponibles en función de sus necesidades.
Los usuarios se registran a ADSelfService Plus respondiendo una serie de preguntas personales; las respuestas se almacenan de forma segura en la base de datos ADSelfService Plus después del cifrado. Para restablecer sus contraseñas o desbloquear sus cuentas, los usuarios deben verificar su identidad respondiendo las preguntas a las que respondieron anteriormente.
Los administradores pueden fortalecer aún más la verificación de identidad al agregar restricciones adicionales a las preguntas y respuestas.
Cuando un usuario intenta restablecer su contraseña o desbloquear su cuenta, se envía un código de verificación a su dispositivo móvil o dirección de correo electrónico. Los administradores también pueden enviar un enlace seguro por correo electrónico que el usuario puede utilizar para restablecer su contraseña. Los administradores pueden configurar la cantidad de veces que un usuario puede ingresar credenciales no válidas antes de que se bloquee temporalmente el inicio de sesión.
Nota: Los administradores pueden configurar ADSelfService Plus para obtener el número del dispositivo móvil y la dirección de correo electrónico de los atributos LDAP correspondientes en Active Directory. .
ADSelfService Plus es compatible con Google Authenticator, una aplicación de autenticación de terceros ampliamente utilizada para teléfonos móviles. Los usuarios se inscriben a ADSelfService Plus escaneando un código QR. Al realizar cualquier operación de autoservicio, el usuario debe abrir la aplicación e ingresar el código que se muestra en Google Authenticator para verificar su identidad.
Además de Google Authenticator, los administradores pueden usar otros autenticadores de terceros basados en el tiempo tales como Microsoft Authenticator o Sophos Authenticator.
La autenticación de múltiples factores en ADSelfService Plus es compatible con Duo Security, una plataforma de acceso ampliamente confiable que asegura a las organizaciones al verificar las identidades de los usuarios. Los usuarios deben inscribirse en Duo Security. Cuando este procedimiento de autenticación está habilitado y los usuarios intentan restablecer contraseñas o desbloquear cuentas, deben seleccionar un modo de comunicación (notificación push, SMS o llamada) a través del cual Duo Security envía un código de verificación. Luego de una verificación exitosa, los usuarios pueden gestionar sus contraseñas y cuentas mediante autoservicio. Más información
ADSelfService Plus se puede integrar con RSA SecurID para proporcionar autenticación segura a los usuarios que intentan acceder a un recurso de red. Al restablecer una contraseña o desbloquear una cuenta, los usuarios pueden usar los códigos de seguridad generados por la aplicación móvil SecurID de RSA, los tokens de hardware o los tokens recibidos por correo electrónico o SMS para iniciar sesión en ADSelfService Plus. Más información
ADSelfService Plus permite a los administradores agregar RADIUS como una vía adicional para la autenticación del usuario. Después de que los administradores habiliten RADIUS, los usuarios deben proporcionar sus contraseñas RADIUS para autenticarse. Una vez que se verifica la cuenta, el usuario puede continuar con la operación de autoservicio o pasar al siguiente procedimiento de autenticación según lo requiera el protocolo. Más información
Con el fin de evitar que los usuarios maliciosos realicen múltiples conjeturas con las respuestas, los administradores pueden configurar un bloqueo temporal para cualquier cuenta que acumule una cantidad específica de respuestas incorrectas dentro de un período de tiempo determinado.
Las notificaciones push son uno de los métodos de autenticación más fáciles y rápidos. Con las notificaciones push habilitadas, los usuarios recibirán una solicitud de inicio de sesión enviada a la aplicación móvil de ADSelfService Plus en su dispositivo móvil registrado. Pueden aprobar la solicitud de autenticación o presionar denegar para rechazar solicitudes inesperadas. Una vez inscritos, los usuarios también pueden restablecer su contraseña o desbloquear su cuenta desde su aplicación móvil mediante notificaciones push.
No hay nada tan único como la huella dactilar de una persona. Es por eso que la autenticación mediante huellas digitales es uno de los métodos de autenticación más fáciles y a la vez más seguros. Si el dispositivo móvil registrado de un usuario tiene un sensor de huellas digitales, puede usar su huella digital para autenticar restablecimientos de contraseña y desbloquear la cuenta desde la aplicación móvil de ADSelfService Plus.
La aplicación móvil de ADSelfService Plus es todo lo que los usuarios necesitan para poder utilizar códigos QR para la autenticación. Los usuarios pueden simplemente escanear el código QR que se muestra en su portal web de ADSelfService Plus desde su dispositivo móvil registrado para completar el proceso.
Uno de los métodos de autenticación más comúnmente utilizados son los códigos de acceso de un solo uso (TOTP) basados en el tiempo. La aplicación móvil de ADSelfService Plus genera TOTPs que cambian cada minuto. Los usuarios deben ingresar el código de acceso de 6 dígitos durante el proceso de autenticación dentro de un período de tiempo específico para completar su verificación de identidad.
The identity verification process starts when the user accesses the ADSelfService Plus application and clicks on the "Reset Password" or "Unlock Account" link. After the user enters their username and the domain, the ADSelfService Plus server performs a series of security checks. El proceso de verificación de identidad comienza cuando el usuario accede a la aplicación de ADSelfService Plus y hace clic en el enlace "Restablecer contraseña" o "Desbloquear cuenta". Después de que el usuario ingresa su nombre de usuario y el dominio, el servidor de ADSelfService Plus realiza una serie de comprobaciones de seguridad.
Verificación de afiliación de dominio: : verifica si el usuario está afiliado al dominio especificado.
Verificación de configuraciones de políticas: verifica si el usuario tiene permiso para restablecer su contraseña o desbloquear su cuenta a través de ADSelfService Plus. Las políticas de ADSelfService Plus se pueden configurar para que los usuarios finales solo tengan acceso a ciertas funciones de autoservicio.
Verificación de estado de inscripción: verifica si el usuario se ha inscrito en ADSelfService Plus respondiendo las preguntas de seguridad, actualizando su número de móvil o dirección de correo electrónico y sincronizando su cuenta de Google Authenticator. Solo los usuarios inscritos pueden restablecer contraseñas y desbloquear cuentas.
Verificación de usuarios bloqueados: verifica si la cuenta de usuario está bloqueada por el servidor de ADSelfService Plus de realizar acciones de autoservicio debido a múltiples acciones no válidas. La aplicación bloqueará a los usuarios que no ingresen el código de verificación correcto y / o la (s) respuesta (s) a la (s) pregunta (s) de seguridad luego de un determinado número de intentos según lo establecido por el administrador de ADSelfService Plus. Esto ayuda a prevenir ataques basados en Bot, ataques de denegación de servicio y otros tipos de ataques.
Una vez que se completan las verificaciones preliminares, ADSelfService Plus verifica la identidad del usuario ejecutando los procedimientos de autenticación configurados por el administrador.
Nivel de seguridad agregado:: el método de seguridad de preguntas y respuestas ampliamente utilizado, empleado en las redes sociales, se ha vuelto defectuoso porque los usuarios brindan preguntas y respuestas que los hackers pueden encontrar fácilmente. Al agregar códigos de verificación y Google Authenticator al proceso de verificación de identidad, ADSelfService Plus ha hecho que las cuentas sean más seguras.
Fácil de usar: el acceso fácil a correo electrónico y teléfonos móviles ha hecho que esos dispositivos sean una opción más simple para que los usuarios administren sus cuentas desde cualquier lugar, en todo momento.
Poder para el administrador: los administradores tienen control total sobre si elegir uno o todos los modos de autenticación para mayor seguridad.
Notificación por correo electrónico sobre el autoservicio de contraseña: cada vez que un usuario completa una acción de autoservicio, recibirá una notificación por correo electrónico de ADSelfService Plus. La notificación por correo electrónico actúa como una alerta en caso de actividad no autorizada de la cuenta y permite al usuario reaccionar y evitar daños adicionales