Meervoudige verificatietechnieken in ADSelfService Plus
Laten we even kijken naar de verschillende verificatiemethoden die worden ondersteund door ADSelfService Plus voor meervoudige verificatie van ondernemingen.
Waarom meervoudige verificatie?
Verificatie die alleen is gebaseerd op gebruikersnamen en wachtwoorden, wordt niet langer als veilig beschouwd. Met op wachtwoord gebaseerde verificatie alleen, blijven gebruikersaccounts kwetsbaar voor bedreigingen zoals beveiligings- en woordenboekaanvallen. Om dergelijke beveiligingsrisico’s te beperken, verifieert ADSelfService Plus de gebruikersidentiteiten meervoudige verificatie, samen met de standaard Active Directory-referenties. ADSelfService Plus gebruikt meervoudige verificatie voor de identiteitsverificatie tijdens:
- Windows-, macOS-, en Linux-aanmeldingen (wanneer ADSelfService Plus-clientsoftware is geïnstalleerd).
- Aanmelding bij ADSelfService Plus-portaal.
- Aanmelding bij bedrijfstoepassingen via eenmalige aanmelding (SSO).
- Active Directory selfservice-acties voor wachtwoord opnieuw instellen of accountontgrendeling via de ADSelfService-portal,mobiele app ADSelfService Plus, en systeemeigen Windows-, macOS- en Linux-aanmeldingsschermen (wanneer de ADSelfService Plus-clientsoftware is geïnstalleerd).
- VPN-aanmeldingen (wanneer de uitbreiding Network Policy Server is geïnstalleerd).
- Outlook Web Access-aanmeldingen (wanneer de meervoudige verificatie-uitbreiding Internet Information Services is geïnstalleerd).
Er zijn verschillende verificatietechnieken beschikbaar in ADSelfService Plus
- Verificatie door vingerafdruk/Face ID: Gebruikers met mobiele apparaten die een vingerafdruk- of Face ID-sensor bevatten, kunnen deze methode gebruiken voor de identiteitsverificatie. De inschrijving gebeurt met de mobiele app ADSelfService Plus. De stappen voor het inschrijven worden weergegeven onder het tabblad Inschrijving zodra de beheerder deze methode configureert. Tijdens de meervoudige verificatie moeten gebruikers hun vingerafdrukken of gezicht scannen en op Accepteren klikken voor een geslaagde verificatie.
- YubiKey Authenticator: YubiKey is een hardwareapparaat dat codes gebruikt voor meervoudige verificatie. De inschrijving gebeurt door het aansluiten van het YubiKey-apparaat op het werkstation en op de knop te drukken (in het geval van de eindgebruikersportal ADSelfService Plus) of ermee te tikken tegen het mobiele apparaat (in het geval van de mobiele app ADSelfService Plus). Wanneer dit is gebeurd, wordt de code automatisch bijgewerkt in het veld dat is opgegeven in ADSelfService Plus. Gebruikers moeten dezelfde stappen volgen voor het verifiëren van hun identiteit tijdens de meervoudige verificatie.
- RSA SecurID: RSA SecurID is een andere methode die wachtwoordcodes gebruikt voor meervoudige verificatie. Voor de inschrijving moeten gebruikers de wachtwoordcode invoeren die is opgegeven door de beheerder. Om daarna hun identiteit te bewijzen, voeren gebruikers een eenmalige wachtwoordcode in die wordt gegenereerd via:
- Een hardwaretoken.
- De mobiele app RSA SecurID.
- Tokens die zijn ontvangen via e-mail of sms.
- Duo Security: Duo Security is een verificatieoplossing die methoden gebruikt, zoals:
- Op sms gebaseerde verificatiecodes.
- Op telefoongesprek gebaseerde verificatie.
- Op app gebaseerde verificatiecodes.
- Pushmeldingen.
Zodra ze zijn geconfigureerd moeten gebruikers een code invoeren die ze ontvangen of een melding accepteren om zich te verifiëren. Voor de registratie moeten gebruikers vermelden welke methode ze zullen gebruiken voor meervoudige verificatie.
- Meervoudige Azure AD-verificatie: Organisaties waarbij meervoudige Azure Active Directory-verificatie al is ingeschakeld, kunnen de bestaande configuratie gebruiken en gebruikers laten verifiëren via de vooraf geregistreerde verificatiemethoden in Azure Active Directory. Ondersteunde methoden omvatten:
- Op app gebaseerde Microsoft Authenticator-pushmeldingen.
- Op app gebaseerde Microsoft Authenticator-verificatiecodes.
- Op telefoongesprek gebaseerde verificatie.
- Op sms-gebaseerde verificatie.
- OATH-hardwaretokens met Yubico, DeepNet Security en meer.
- RADIUS: RADIUS gebruikt wachtwoordcodes voor meervoudige verificatie. Gebruikers worden automatisch geregistreerd wanneer de beheerder RADIUS-verificatie configureert. Voor meervoudige verificatie moeten ze gewoon het RADIUS-wachtwoord opgeven dat ze van de beheerder hebben gekregen.
- Google Authenticator: Google Authenticator is een app die getimede codes gebruikt voor verificatie. Om de gebruikersidentiteit te controleren, genereert de app een getimede code die de gebruikers zullen moeten invoeren om zichzelf te verifiëren. Gebruikers moeten zich registreren dor de app te gebruiken voor het scannen van de QR-code die wordt weergegeven onder het tabblad Inschrijving bij de eindgebruikersportal van ADSelfService.
- Microsoft Authenticator: De app Microsoft Authenticator genereert een getimede code die de gebruikers zullen moeten invoeren om zichzelf te verifiëren. Voor de registratie moeten gebruikers de app Microsoft Authenticator installeren en configureren met ADSelfService Plus via de barcode die in de selfservice-portal is opgegeven op het tabblad Registratie.
- Op sms gebaseerde verificatiecode: Voor deze methode moeten gebruikers een eenmalige code invoeren die naar hun mobiel apparaat is verzonden om hun identiteit te verifiëren. Beheerders kunnen het mobiele nummer uit de Active Directory-profielen van gebruikers of kunnen gebruikers toestaan een andere nummer op te geven tijdens het registreren.
- Op e-mail gebaseerde verificatiecode: Bij deze methode wordt een eenmalige code verzonden naar het e-mailadres van de gebruiker. Beheerders kunnen het mobiele nummer gebruiken dat in de Active Directory-profielen van gebruikers is opgegeven of kunnen gebruikers toestaan een andere nummer op te geven tijdens het registreren.
- Op tijd gebaseerd eenmalig wachtwoord (TOTP): Op TOTP gebaseerde verificatie wordt ook uitgevoerd met de mobiele app ADSelfService Plus. Na de inschrijving wordt de verificatie op dezelfde manier uitgevoerd als de hierboven vermelde methoden: Gebruikers ontvangen telkens een TOTP wanneer ze hun identiteit moeten bewijzen. Ze moeten het TOTP invoeren binnen een specifieke periode om zichzelf te verifiëren.
- Aangepaste TOTP Authenticator: Aangepaste TOTP-apps die worden gebruikt door organisaties kunnen ook worden uitgebreid als een verificatiemethode voor de meervoudige verificatiefunctie van ADSelfService Plus. Het registratieproces zal afhankelijk zijn van de capaciteiten van de app. Om te verifiëren moeten gebruikers binnen de opgegeven tijd het TOTP invoeren dat worden weergegeven in de app in het hiervoor voorziene veld in de productportal.
- Zoho OneAuth TOTP: Zoho OneAuth is een app die meervoudige verificatie en eenmalige aanmelding biedt voor bedrijfsaccounts. De TOTP-functie van de app kan worden gebruikt door ADSelfService Plus als een verificatiemethode. Om te registreren moeten gebruikers een QR-code scannen die wordt weergegeven in de productportal via de Zoho OneAuth-app. Zodra ze zijn geregistreerd, kunnen ze verifiëren door binnen de opgegeven tijd het TOTP dat wordt weergegeven in de app in het hiervoor voorziene veld van de portal, in te voeren.
- Pushmeldingen: Pushmeldingen worden ontvangen via de mobiele app ADSelfService Plus die op de mobiele apparaten van de gebruikers is geïnstalleerd. Registratie is alleen mogelijk via de mobiele app. De stappen voor het inschrijven zijn vermeld onder het tabblad Registratie zodra de beheerder de pushmeldingen inschakelt. Na de registratie ontvangen gebruikers een melding dat ze moeten accepteren om hun identiteit te bewijzen.
- Verificatie op basis van QR-code: Wanneer deze methode is ingeschakeld, moeten gebruikers de QR-code scannen die wordt weergegeven in de portal van ADSelfService Plus-eindgebruikers via de mobiele app ADSelfService Plus en Accepteren selecteren om hun identiteit te bewijzen. Gebruikers kunnen registreren met de app door de stappen onder het tabblad Registratie te volgen.
- SAML-verificatie: Organisaties die al op SAML gebaseerde IdP-toepassingen (identity provider) gebruiken, zoals Okta of OneLogin, kunnen SAML-verificatie gebruiken als een methode voor het controleren van gebruikersidentiteiten. Wanneer SAML-verificatie is ingeschakeld, worden gebruikers alleen omgeleid naar de aanmeldings-URL van hun IdP wanner ze de selfservice voor opnieuw instellen wachtwoord of accountontgrendeling in ADSelfService Plus uitvoeren. Er is geen registratie vereist voor deze methode.
- Smartcardverificatie: Deze methode is alleen van toepassing voor meervoudige verificatie tijdens de aanmeldingen bij de productportal en aanmelding op bedrijfstoepassingen. Een gebruiker is geverifieerd nadat ADSelfService Plus het certificaatbestand op de machine van de gebruiker heeft vergeleken met dat in AD. De registratie gebeurt automatisch wanneer de gebruiker zich voor het eerste verifieert.
- Beveiligingsvragen en -antwoorden: Deze methode bestaat uit een vooraf gedefinieerde set van persoonlijke vragen, zoals “Wat is uw favoriete kleur?” Deze vragen kunnen worden geconfigureerd door beheerders of gebruikers. Gebruikers kunnen registreren door het definiëren van aangepaste vragen en antwoorden of door het geven van antwoorden op door de beheerder gedefinieerde vragen. Ze moeten het juiste antwoord geven op deze vragen tijdens de identiteitsverificatie.
- Op AD gebaseerde beveiligingsvragen: In deze methode stelt de beheerder op AD gebaseerde vragen die gekoppeld zijn met bestaande of aangepaste AD-kenmerken, zoals sociale zekerheidsnummers. Om hun identiteit te bewijzen, moeten gebruikers een antwoord invoeren dat vervolgens wordt vergeleken met de waarde van het kenmerk in AD voor hun gebruikersaccount. Als ze overeenkomen, wordt de gebruiker geverifieerd. Deze methode vereist geen gebruikersregistratie.
Voordelen van het gebruik van ADSelfService Plus voor meervoudige verificatie
- Uitgebreide bedrijfsbeveiliging: Meerdere externe en lokale toegangspunten tot het bedrijfsnetwerk kunnen worden beveiligd teen op referenties gebaseerde aanvallen.
- Gedetailleerde functieconfiguratie: Specifieke verificatiemethoden kunnen worden ingeschakeld voor gebruikers die horen bij specifieke OU’s, groepen en domeinen. Bepaalde bedrijfseindpunten kunnen ook worden beschermd met meerdere verificatie, afhankelijk van deze gebruikerscriteria.
- Naleving van regelgeving: Meervoudige verificatie helpt bij de naleving van regelgevingen zoals GDPR, HIPAA, NYCRR en FFIEC.
- Verificatie zonder wachtwoord: Ondernemingen kunnen afzien van Active Directory-domeinwachtwoorden en alleen meervoudige verificatie gebruiken voor het controleren van de identiteit van gebruikers.