允许最终用户重置其密码或解锁其帐户会带来安全风险。攻击者伪装成有效的用户来偷取凭证的情况并不鲜见。要确保只有预期用户访问自助门户,必须采用严格的身份验证过程来确定用户的身份。
要确保只有经授权的用户访问自助登录门户,ADSelfService Plus采用以下身份验证方法来验证用户的身份:
管理员可基于其需要,灵活地选择所有身份验证过程或可用方法的组合。
用户通过回答一系列个人问题向ADSelfService Plus注册;答案在加密后安全地存储在ADSelfService Plus数据库中。要重置其密码或解锁其帐户,要求用户通过回答他们先前添加的问题来验证其身份。
当用户尝试重置其密码或解锁其帐户时,将有验证码发送到用户的手机号码或电子邮件地址。Administrators还通过电子邮件发送安全链接,用户使用该链接可重置密码。管理员可配置无效尝试的次数,在此次数后,用户将被临时阻止登录。
ADSelfService Plus支持Google Authenticator,它是一款广泛使用、用于移动电话的第三方身份验证应用程序。用户通过扫描二维码向ADSelfService Plus注册。当执行任何自助操作时,要求用户输入Google Authenticator中显示的代码以验证其身份。
除了Google Authenticator,管理员还可以使用其他第三方、基于时间的验证器,例如,Microsoft Authenticator和Sophos Authenticator。
当用户访问ADSelfService Plus应用程序并单击“重置密码”或“解锁帐户”链接时,身份验证过程就开始了。在用户输入其用户名和域后,ADSelfService Plus服务器执行一系列安全检查。
域归属检查: 检查用户是否归属于指定的域。
策略设置检查: 检查用户是否有权通过ADSelfService Plus重置其密码或解锁其帐户。可配置ADSelfService Plus策略,以便最终可以只可以使用某些必要的功能。
注册状态检查: 通过回答安全问题、更新其手机号码或电子邮件以及同步其Google Authenticator帐户,检查用户是否已向ADSelfService Plus注册。只有注册的用户才被允许重置密码和解锁帐户。
已阻止用户检查: 检查用户用户是否因多个无效的操作而被ADSelfService Plus服务器阻止执行自助服务操作。对安全问题输入正确验证码和/或答案失败的用户在一定数量的尝试(由ADSelfService Plus管理员设定)后,将被应用程序阻止。这将确保安全,以防范基于机器人的攻击、DOS攻击和其他类型的攻击。
一旦这些预检查完成,该产品将通过运行管理员配置的身份验证过程来验证用户的身份。
额外一层安全: 在社交媒体中广泛采用的问题与答案安全方法已带有缺陷,因为用户提供的问题和答案易于被黑客找到。通过对身份验证过程添加验证码和Google Authenticator,ADSelfService Plus让帐户变得更安全。
用户友好: 易于访问电子邮件和移动电话,让这些设备变成用户旅行中管理其帐户的更简单选项。
管理员权力:管理员有完全控制权,可选择任一或全部身份验证模式以增加安全性。
无论用户的自助操作何时完成,用户均会从ADSelfService Plus收到电子邮件通知。电子邮件验证在出现未授权帐户活动的情况下充当告警,并允许作出反应并阻止进一步的损害。