Son kullanıcıların parolalarını sıfırlamalarına veya risk arz eden hesaplarının kilidini açmalarına olanak sağlar. Saldırganın kimlik bilgilerini çalabilmek için kendisini geçerli bir kullanıcı gibi göstermesi alışılmadık, olağandışı bir durum değildir. Self servis portalına yalnızca hedeflenen kullanıcıların erişimlerini sağlamak için, kullanıcıların kimliklerini belirlemek üzere katı kurallı kimlik doğrulama prosedürlerinin uygulanması zorunludur.
Selfservis oturum açma portalına yalnızca yetkili kullanıcıların erişebilmesini sağlamak için, ADSelfService Plus kullanıcıların kimliklerini doğrulamak üzere aşağıdaki kimlik doğrulama yöntemlerini kullanmaktadır:
Yöneticiler bütün kimlik doğrulama prosedürlerini seçebilecekleri gibi ihtiyaçlarına bağlı olarak mevcut yöntemlerin bir kombinasyonunu da seçebilirler.
Kullanıcılar ADSelfService Plus’a bir dizi kişisel soruyu yanıtlayarak kaydolur; verilen yanıtlar şifrelenerek ADSelfService Plus veritabanında güvenli şekilde saklanır. Parolalarını sıfırlamak veya hesaplarının kilidini açmak için kullanıcıların daha önce eklemiş oldukları soruları yanıtlayarak kimliklerini doğrulamaları gerekir.
Yöneticiler sorular ve yanıtlarla ilgili ilave kısıtlamalar getirerek kimlik doğrulama prosedürünü daha da güçlendirilebilir.
Kullanıcı parolasını sıfırlama veya hesabının kilidini açma girişiminde bulunduğunda, kullanıcının mobil cep telefonuna veya e-posta adresini bir kimlik doğrulama kodu gönderilir. Yöneticiler aynı zamanda e-posta vasıtasıyla kullanıcının parolasını sıfırlayabileceği güvenli bir bağlantı gönderme imkanına da sahiptir. Yöneticiler kullanıcının oturum açmasının geçici olarak engelleneceği geçersiz girişim sayısını yapılandırabilir.
Not: Yöneticiler ADSelfService Plus’u Active Directory'de (Active Directory) karşılık gelen LDAP özniteliğinden mobil telefon numarası ve e-posta adresi bilgilerini çekecek şekilde yapılandırabilir.
ADSelfService Plus, mobil telefonlar için yaygın olarak kullanılan üçüncü taraf kimlik doğrulama uygulaması Google Authenticator’ı desteklemektedir. Kullanıcılar ADSelfService Plus’a QR kodunu tarayarak kaydolur. Self servis işlemleri yaparken kullanıcının kimliğini doğrulamak için Google Authenticator’da görüntülenen kodu girmesi gerekir.
Google Authenticator’a ilave olarak yöneticiler, Microsoft Authenticator veya Sophos Authenticator gibi üçüncü taraflara ait diğer zamana dayalı kimlik belirleyicileri de kullanabilirler.
Kötü amaçlı kullanıcıların sorulara birden fazla tahminde bulunmasını önlemek için, yöneticiler, öngörülen süre içinde yanlış cevaplar belirlenen bir sayıya ulaştığında hesaba geçici bir bloke koyabilirler.
Kimlik doğrulama süreci kullanıcı ADSelfService Plus uygulamasına eriştiğinde ve ‘Parola Sıfırlama’ veya ‘Hesap Kilidi açma’ linkine tıkladığında başlar. Kullanıcı, kullanıcı ismini ve etki alanını girdikten sonra ADSelfService Plus sunucusu tarafından bir dizi güvenlik kontrolü yapılır.
Etki alanı ilişkilendirme kontrolü: Kullanıcının belirtilen etki alanıyla ilişkili olup olmadığını kontrol eder.
Politika ayarlarının kontrolü: Kullanıcının ADSelfService Plus vasıtasıyla parola sıfırlama veya hesap kilidi açma iznine sahip olup olmadığını kontrol eder. Plus politikaları yalnızca belirli özellikler son kullanıcının kullanımına açık olacak şekilde yapılandırılabilir.
Kayıt durumu kontrolü: Kullanıcının güvenlik sorularını yanıtlamak suretiyle ADSelfService Plus’a kaydolmuş, mobil numarasını veya e-posta adresini güncellemiş ve Google Authenticator hesabını senkronize etmiş olup olmadığını kontrol eder. Yalnızca kayıtlı kullanıcıların parolalarını sıfırlamalarına ve hesaplarının kilidini açmalarına izin verilir.
Bloke edilmiş kullanıcıların kontrolü: Hesabın çok sayıda geçersiz işleme bağlı olarak ADSelfService Plus tarafından kendi kendine işlem yapmaktan alıkonulup konulmadığı kontrol eder. Doğru doğrulama kodunu giremeyen ve/veya güvenlik sorusuna (sorularına) doğru yanıt veremeyen kullanıcılar ADSelfService Plus yöneticisi tarafından tespit edilen belirli sayıda girişimden sonra uygulama tarafından bloke edilir. Bu blokaj Bot tabanlı saldırılara, Hizmet engelleme (Denial of Service) saldırılarına ve diğer tipte saldırılara karşı güvenlik sağlar. Ön kontroller tamamlandığında, ürün yönetici tarafından yapılandırılan kimlik doğrulama prosedürlerini çalıştırarak kullanıcının kimliğini doğrulamak üzere ilerler.
İlave güvenlik katmanı: Sosyal medyada yaygın olarak kullanılan soru ve cevap güvenlik yöntemi, kullanıcılar tarafından bilgisayar korsanlarının kolayca bulabileceği sorular ve cevaplar verildiği için kusurlu/defolu hale gelmiştir. ADSelfService Plus kimlik doğrulama sürecine doğrulama kodlarını ve Google Authenticator’ı ilave ederek hesapları daha güvenli hale getirmiştir.
Kullanımı kolay: E-posta ve mobil telefonlara kolay erişim bu cihazları kullanıcıların işlem yaparken hesaplarını yönetmek için daha kolay bir seçenek haline getirmiştir.
Yöneticiye yetki: İlave güvenlik için kimlik doğrulama usullerinden herhangi birisinin veya tümünün seçilmesi konusunda yöneticiler tam kontrol yetkisine sahiptir.
Kullanıcı için self servis işlem tamamlandığında, kullanıcı ADSelfService Plus uygulamasından bir e-posta bildirimi alır. E-posta bildirimi yetkisiz hesap faaliyeti durumunda bir uyarı görevi görür ve kullanıcının tepki vermesine olanak sağlar ve daha fazla zarar görmesini önler.