Meervoudige verificatie configureren met Duo Security

ADSelfService Plus weren potentiële beveiligingsbedreigingen af door het versterken van de toegang tot gebruikersaccounts met meervoudige verificatie (MFA) door een extra beveiligingslaag toe te voegen. Wanneer MFA is ingeschakeld, worden gebruikers verplicht om hun identiteit te bewijzen via afgedwongen authenticators, naast de wachtwoorden.

MFA kan worden afgedwongen voor selfservicebewerkingen voor wachtwoorden, samen met aanmeldingspogingen op de eindgebruikersportal van ADSelfService Plus, eindpunten en toepassingen. ADSelfService Plus ondersteunt vijftien geavanceerde verificatietechnieken, met inbegrip van Duo Security, biometrie, YubiKey authenticator, SAML-verificatie en RSA SecurID.

Meervoudige verificatie via Duo Security

Wanneer meervoudige verificatie met Duo Security is ingeschakeld, moeten gebruikers hun identiteit bij elke aanmelding moeten bewijzen via een van de volgende methoden:

• Goedkeuren van een pushmelding van de mobiele app Duo Security.
• Invoeren van een beveiligingswachtwoordcode die is ontvangen via een verificatieoproep.
• Invoeren van een beveiligingswachtwoordcode die is gegenereerd tijdens het aanmeldingsproces.

Configuratie

Op Duo Security gebaseerde meervoudige verificatie kan worden geconfigureerd in slechts drie eenvoudige stappen.

Stap 1: Integreer Duo Security met ADSelfService Plus

1. Meld aan bij uw Duo Security-account (d.w.z. https://admin-3d5d33c0.duosecurity.com), of als u een nieuwe gebruiker bent, schrijft u zich in en meldt u zich aan.
2. Ga naar Toepassingen.
3. Klik op Een toepassing beschermen.

   

4. Zoek Web SDK in de lijst met Toepassingen.

   

5. Klik op de koppeling Deze toepassing beschermen in het zoekresultaat.
6. 8. Kopieer de waarden van Integratiesleutel, Geheime sleutel en API-hostnaam vanaf de Web SDK-pagina die wordt geopend.

   

Auth API (optioneel) configureren

De Auth API-configuratie wordt gebruikt om de inschrijving van een gebruiker te verifiëren met Duo Security. Als Auth API niet is geconfigureerd, is het verplicht om de inschrijving van de gebruiker te verwijderen in ADSelfService Plus wanneer de gebruikersinschrijving in Duo Security wordt verwijderd. Als dit niet gebeurt, wordt de gebruiker opnieuw toegevoegd aan Duo Security wanneer dit wordt gebruikt voor verificatie in ADSelfService Plus.

• Als Auth API is geconfigureerd, gaat u terug naar Toepassingen→ Een toestemming beschrijven.
• Zoek Auth API.
• Kopieer de waarden van de Integratiesleutel en Beveiligingssleutel.

Stap 2: Configureer Duo Security in ADSelfService Plus

1. Meld aan bij de ADSelfService Plus-console met beheerderreferenties.
2. Ga naar Configuratie → Selfservice → Meervoudige verificatie → Instelling authenticators.
3. Selecteer Duo Security.

   

4. Plak de waarden die u eerder hebt gekopieerd van de pagina Web SDK in de velden Integratiesleutel, Geheime sleutel en API-hostnaam.
5. Als Auth API is geconfigureerd, gaat u naar Geavanceerde instellingen en plakt u de waarden die u hebt gekopieerd, in deze stap van de Auth API-pagina in de velden Integratiesleutel en Geheime sleutel.
6. Klik op Opslaan.

Stappen voor het inschakelen van meervoudige verificatie voor het aanmelden bij de eindgebruikersportal van ADSelfService Plus

Vereiste:

1. SSL moet ingeschakeld zijn: Meld aan bij de webconsole van ADSelfService Plus met beheerdersreferenties. Ga naar Beheerder → Productinstellingen → Verbinding. Selecteer de optie ADSelfService Plus-poort [https]. Raadpleeg deze handleiding voor meer informatie over het toepassen van een SSL-certificaat en het inschakelen van HTTPS.

Stappen voor configuratie:

1. Ga naar Configuratie → Selfservice → Meervoudige verificatie → MFA voor opnieuw instellen/ontgrendelen.

   

2. Kies het Beleid in de vervolgkeuzelijst.
   Opmerking: Met ADSelfService Plus kunt u op OU en op groepen gebaseerde beleidslijnen maken. Ga voor het maken van een beleid naar Configuratie → Selfservice → Beleidsconfiguratie → Nieuw beleid toevoegen. Klik op OU's/groepen selecteren en maak een keuze op basis van uw behoeften. U moet minstens één selfservicefunctie selecteren. Klik tot slot op Beleid opslaan.
3. Gebruik de optie Verificatiefactoren inschakelen naast MFA voor ADSelfService Plus-aanmelding,
4. Selecteer Duo Security en andere benodigde authenticators in de vervolgkeuzelijst Selecteer de vereiste authenticators.
5. Klik op Instellingen opslaan.

Stappen voor het inschakelen van meervoudige verificatie voor het opnieuw instellen van wachtwoorden/ontgrendelen van accounts

Vereiste:

1. SSL moet ingeschakeld zijn: Meld aan bij de webconsole van ADSelfService Plus met beheerdersreferenties. Ga naar Beheerder → Productinstellingen → Verbinding. Selecteer de optie ADSelfService Plus-poort [https]. Raadpleeg deze handleiding voor meer informatie over het toepassen van een SSL-certificaat en het inschakelen van HTTPS.

Stappen voor configuratie:

1. Ga naar Configuratie → Selfservice → Meervoudige verificatie → MFA voor opnieuw instellen/. ontgrendelen.

   

2. Kies het Beleid in de vervolgkeuzelijst.
   4. Opmerking: Met ADSelfService Plus kunt u op OU en op groepen gebaseerde beleidslijnen maken. Ga voor het maken van een beleid naar Configuratie → Selfservice → Beleidsconfiguratie → Nieuw beleid toevoegen. Klik op OU's/groepen selecteren en maak een keuze op basis van uw behoeften. U moet minstens één selfservicefunctie selecteren. Klik tot slot op Beleid opslaan.
3. Schakel het selectievakje Selecteer de vereiste authenticators in
4. Gebruik de optie Verificatiefactoren inschakelen naast MFA voor het opnieuw instellen van wachtwoorden/ontgrendelen van accounts om het aantal authenticators te selecteren
5. Selecteer Duo Security en andere benodigde geconfigureerde authenticators in de vervolgkeuzelijst.
6. Klik op Instellingen opslaan.

Stappen voor het inschakelen van de meervoudige verificatie voor eindpunten

Vereisten:

1. De add-on Endpoint MFA gebruiken: Uw ADSelfService Plus-licentie moet de add-on Endpoint MFA bevatten. Bezoek de winkel voor het aankopen ervan.
2. SSL moet ingeschakeld zijn: Meld aan bij de webconsole van ADSelfService Plus met beheerdersreferenties. Ga naar het tabblad Beheerder → Productinstellingen → Verbinding. Selecteer de optie ADSelfService Plus-poort [https]. Raadpleeg deze handleiding voor meer informatie over het toepassen van een SSL-certificaat en het inschakelen van HTTPS.
3. Toegangs-URL moet worden ingesteld op HTTPS: Ga naar Beheerder > Productinstellingen > Verbinding > Verbindingsinstellingen > Toegangs-URL configureren en stel de optie Protocol in op HTTPS.
4. Van toepassing op MFA voor machine-aanmeldingen: Installeer ADSelfService Plus-clientsoftware voor Windows, macOS en Linux op de machines waarop u MFA wilt inschakelen. Klik hier voor de stappen voor het installeren van de ADSelfService Plus-clientsoftware.

Configuratie:

1. Ga naar Configuratie → Selfservice → Meervoudige verificatie → MFA voor eindpunten.

   

2. Kies het Beleid in de vervolgkeuzelijst.
   4. Opmerking: Met ADSelfService Plus kunt u op OU en op groepen gebaseerde beleidslijnen maken. Ga voor het maken van een beleid naar Configuratie → Selfservice → Beleidsconfiguratie → Nieuw beleid toevoegen. Klik op OU's/groepen selecteren en maak een keuze op basis van uw behoeften. U moet minstens één selfservicefunctie selecteren. Klik tot slot op Beleid opslaan.
3. MFA kan worden geconfigureerd zodat extra verificatiefactoren nodig zijn op aanmeldingsschermen van Windows-, macOS- en Linux-machines of -systemen tijdens VPN- of Outlook Web Access (OWA)-aanmeldingen.
   • Voor machineaanmeldingen:
     • Ga naar Configuratie > Selfservice > Meervoudige verificatie > MFA voor eindpunten > MFA voor machine-aanmeldingen.
     • Schakel het selectievakje Selecteer de vereiste authenticators in
     • Gebruik de optie Verificatiefactoren inschakelen naast MFA voor machine-aanmelding om het aantal authenticators te selecteren
     • Selecteer Duo Security en andere benodigde geconfigureerde authenticators in de vervolgkeuzelijst.
     • Klik op Instellingen opslaan.
   • Voor OWA-aanmelding:
     • Ga naar Configuratie > Selfservice > Meervoudige verificatie > MFA voor eindpunten > MFA voor machine-aanmeldingen.
     • Schakel het selectievakje Selecteer de vereiste authenticators in.
     • Selecteer de optie Authenticator met tweede factor inschakelen naast MFA voor OWA-aanmelding: en kies RSA SecurID in het vervolgkeuzemenu.
     • Klik op Instellingen opslaan.
4. Klik op Instellingen opslaan.