Son kullanıcıların parolalarını sıfırlamalarına veya kendi hesaplarının kilidini açmasına izin verilmesi güvenlik riskleri oluşturur. Saldırganların kimlik bilgilerini çalmak için kendisini geçerli bir kullanıcı olarak tanıtması alışılmadık bir durum değildir. Yalnızca tasarlanan kullanıcıların self servis portalına erişebilmesine sağlamak için, ADSelfService Plus kullanıcıların kimliklerini tespit etmek için aşağıda belirtilen sıkı kimlik doğrulama yöntemlerini kullanır:
Yöneticiler ihtiyaca bağlı olarak bütün kimlik doğrulama prosedürlerini veya mevcut yöntemlerin bir kombinasyonunu seçme esnekliğine sahiptir.
Kullanıcılar ADSelfService Plus’a bir dizi kişisel soruyu yanıtlayarak kaydolurlar; yanıtlar ardından şifrelenerek güvenli şekilde ADSelfService Plus veritabanına kaydedilir. Parolalarını sıfırlamak veya hesaplarının kilidini açmak için kullanıcıların daha önce yanıtlamış oldukları soruları cevaplandırarak kimliklerini doğrulamaları gerekir.
Yöneticiler sorulara ve yanıtlara ilave kısıtlamalar ekleyerek kimlik doğrulama işlemini daha da güçlendirebilir.
Kullanıcı parolasını sıfırlama veya hesabının kilidini açma girişiminde bulunduğunda, mobil cihazlarına veya e-posta adreslerine bir doğrulama kodu gönderilir. Yöneticiler aynı zamanda e-posta aracılığıyla kullanıcıların parolalarını sıfırlamak için kullanabilecekleri güvenli bir linki (bağlantıyı) de gönderebilirler. Yöneticiler kullanıcının oturum açması geçici olarak bloke edilmeden önce giriş yapabildiği geçersiz kullanıcı bilgilerinin sayısını yapılandırabilir.
Not: Yöneticiler ADSelfService Plus’ı mobil cihazı ve e-posta adresini Active Directory'de karşılık gelen LDAP özniteliklerinden çekecek şekilde yapılandırabilir.
ADSelfService Plus, mobil telefonlar için yaygın olarak kullanılan üçüncü şahıs kimlik doğrulama uygulaması olan Google Authenticator’u desteklemektedir. Kullanıcılar ADSelfService Plus’a QR kodunu tarayarak kaydolurlar. Herhangi bir self servis işlem yapılırken, kullanıcının kimliğini doğrulamak için uygulamayı açması ve Google Authenticator’da görüntülenen kodu girmesi gerekir.
Google Authenticator’a ilave olarak, yöneticiler Microsoft Authenticator veya Sophos Authenticator gibi diğer üçüncü şahısların zamana dayalı kimlik doğrulayıcıları da kullanabilirler.
ADSelfService Plus’daki çok faktörlü kimlik doğrulama uygulaması, kullanıcıların kimliklerini doğrulayarak kuruluşların güvenliğini sağlayan geniş çapta güvenilen erişim platformu Duo Security’yi desteklemektedir. Kullanıcıların Duo Security’ye kaydolmaları gerekir. Bu kimlik doğrulama prosedürü etkinleştirildiğinde ve kullanıcılar parolaları sıfırlama veya hesaplarının kilidini açma girişiminde bulunduklarında Duo Security’nin doğrulama kodunu göndereceği iletişim şeklini (anlık bildirim (push notification), SMS veya çağrı) seçmeleri gerekir. Doğrulamanın başarıyla tamamlanması üzerine, kullanıcılar parolaları ve hesaplarıyla ilgili self servis işlemleri yapabilirler.
ADSelfService Plus bir ağ kaynağına erişmeye çalışan kullanıcılar için güvenli kimlik doğrulama olanağı sağlamak amacıyla RSA SecurID ile entegre edilebilir. Parolayı sıfırlarken veya hesabın kilidini açarken kullanıcılar ADSelfService Plus’a bağlanmak için RSA SecurID mobil uygulama tarafından yaratılan güvenlik kodlarını, şifre üretecini (token) veya e-posta ya da SMS ile alınan işareti/belirteci kullanabilirler.
ADSelfService Plus yöneticilerin kullanıcıların kimliklerinin doğrulanmasında ilave bir yol olarak RADIUS’u eklemelerine olanak sağlar. RADIUS yöneticiler tarafından etkinleştirildikten sonra, kullanıcıların kimliklerini doğrulamak için RADIUS parolalarını girmeleri gerekir. Hesap bir kez doğrulandığında, kullanıcı self servis işleme devam edebilir veya protokolün gerektirdiği bir sonraki kimlik doğrulama prosedürüne geçebilir.
Kötü niyetli kullanıcıların yanıtlarla ilgili birden fazla tahminde bulunmasını engellemek için, yöneticiler belirli bir sürede tespit edilmiş olan yanlış cevap sayısına ulaştığı takdirde ilgili hesaba geçici olarak bloke koyabilir.
Kimlik doğrulama süreci kullanıcı ADSelfService Plus uygulamasına eriştiğinde ve “Parola Sıfırlama” veya “Hesabın Kilidini Açma” linkine tıkladığında başlar. Kullanıcı tarafından kullanıcı ismi ve etki alanı girildikten sonra ADSelfService Plus sunucu bir dizi güvenlik kontrolü yapar.
Etki alanı ilişkilendirme kontrolü: Kullanıcının belirtilen etki alanıyla ilişkili olup olmadığını kontrol eder.
Politika ayarlarının kontrolü: Kullanıcının ADSelfService Plus vasıtasıyla parola sıfırlama veya hesap kilidi açma iznine sahip olup olmadığını kontrol eder. ADSelfService Plus politikaları kullanıcıların yalnızca belirli özelliklere erişebileceği şekilde yapılandırılabilir.
Kayıt durumu kontrolü: Kullanıcının güvenlik sorularını yanıtlamak suretiyle ADSelfService Plus’a kaydolmuş, mobil numarasını veya e-posta adresini güncellemiş ve Google Authenticator hesabını senkronize etmiş olup olmadığını kontrol eder. Yalnızca kayıtlı kullanıcıların parolalarını sıfırlamalarına ve hesaplarının kilidini açmalarına izin verilir.
Bloke edilmiş kullanıcıların kontrolü: Kullanıcı hesabının çok sayıda geçersiz işleme bağlı olarak ADSelfService Plus sunucu tarafından kendi kendine işlem yapmaktan alıkonulup konulmadığı kontrol eder. Doğru doğrulama kodunu giremeyen ve/veya güvenlik sorusuna (sorularına) doğru yanıt veremeyen kullanıcılar ADSelfService Plus yöneticisi tarafından tespit edilen belirli sayıda girişimden sonra uygulama tarafından bloke edilir. Bu blokaj Bot tabanlı saldırılara, hizmet engelleme (denial of service) saldırılarına ve diğer tipte saldırılara karşı güvenlik sağlar.
Ön kontroller tamamlandığında, ADSelfService Plus yönetici tarafından yapılandırılan kimlik doğrulama prosedürlerini çalıştırarak kullanıcının kimliğini doğrular.
İlave güvenlik katmanı: Sosyal medyada yaygın olarak kullanılan soru ve cevap güvenlik yöntemi, kullanıcılar tarafından bilgisayar korsanlarının kolayca bulabileceği sorular ve cevaplar verildiği için kusurlu/defolu hale gelmiştir. ADSelfService Plus kimlik doğrulama sürecine doğrulama kodlarını ve Google Authenticator’ı ilave ederek hesapları daha güvenli hale getirmiştir.
Kullanımı kolay: E-posta ve mobil telefonlara kolay erişim bu cihazları kullanıcıların işlem yaparken hesaplarını yönetmek için daha kolay bir seçenek haline getirmiştir.
Yöneticiye yetki: İlave güvenlik için kimlik doğrulama usullerinden herhangi birisinin veya tümünün seçilmesi konusunda yöneticiler tam kontrol yetkisine sahiptir.
Self servis parola işleminin yapılması üzerine e-postayla bildirim: Kullanıcı self servis işlemi tamamladığında, ADSelfService Plus’dan bir e-posta bildirimi alır. E-posta bildirimi yetkisiz hesap işlemi yapılması durumunda uyarı vazifesi görür ve kullanıcının tepki vermesine ve daha fazla zararı engelleyebilmesine olanak sağlar.