ADSelfService Plus中的用户身份验证

安全问题和答案

用户通过回答一系列个人问题向ADSelfService Plus注册；答案在加密后安全地存储在ADSelfService Plus数据库中。要重置其密码或解锁其帐户，要求用户通过回答他们先前回答的问题来验证其身份。

管理员可通过对问题和答案添加附加限制来进一步加强身份验证。

基于短信和电子邮件的验证码

当用户尝试重置其密码或解锁其帐户时，将有验证码发送到其移动设备或电子邮件地址。管理员还可以通过电子邮件发送安全链接，用户可用其重置密码。管理员还可以配置在用户临时被阻止登录之前，用户可输入无效凭证的次数。

注意:Administrators可配置ADSelfService Plus从Active Directory的相应LDAP属性获取移动设备和电子邮件地址。

Google Authenticator

ADSelfService Plus支持Google Authenticator，它是一款广泛使用、用于移动电话的第三方身份验证应用程序。用户通过扫描二维码向ADSelfService Plus注册。当执行任何自助操作时，要求用户打开应用程序并输入Google Authenticator中的代码以验证其身份。

除了Google Authenticator，管理员还可以使用其他第三方、基于时间的验证器，例如，Microsoft Authenticator和Sophos Authenticator。

Duo Security

ADSelfService Plus中的多重身份验证支持Duo Security，它是一款备受信赖的访问平台，通过验证用户身份来保护企业的安全。要求用户向Duo Security注册。当此身份验证过程启用，且用户尝试重置密码或解锁帐户时，要求他们选择通讯模式（推送通知、短信或电话），然后Duo Security发送验证码。在成功验证后，用户可以对其密码和帐户执行自助服务。 了解更多

RSA SecurID

ADSelfService Plus可与RSA SecurID集成，向尝试访问网络资源的用户提供安全的身份验证。当重置密码或解锁帐户时，用户可使用RSA SecurID移动应用、硬件令牌、或通过电子邮件或短信收到的令牌来登录至ADSelfService Plus。了解更多

RADIUS

ADSelfService Plus允许管理员添加RADIUS，作为用户身份验证的额外途径。在管理员启用RADIUS后，要求用户提供其RADIUS密码以对他们自己进行身份验证。一旦帐户得到验证，用户就可以继续执行自助操作，或转至协议要求的下一身份验证过程。了解更多

为了阻止恶意用户多次猜测答案，对某一时间段内回答错误累积到指定次数的任何帐户，管理员可以对其设置临时拦截。

推送通知

推送通知是一种最简单、最快速的身份验证方式。在启用推送通知的情况下，用户将在他们注册的移动设备上获取发送到ADSelfService Plus移动应用的登录请求。他们可以批准身份验证请求或按“拒绝”来拒绝非预期请求。一旦注册，用户还可以从其移动应用中使用推送通知来重置其密码或解锁其帐户。

指纹身份验证

世人没有比个人指纹更独一无二的了。这就是指纹身份验证是最简单而又最安全的身份验证方法之一的原因了。如果用户注册的移动设备有指纹传感器，他们可从ADSelfService Plus移动应用用指纹对密码重置进行身份验证和帐户解锁。

二维码身份验证

ADSelfService Plus移动应用是所有用户需要使用二维码进行身份验证的应用程序。用户只需要从他们注册的移动设备扫描其ADSelfService Plus web页面中显示的二维码来完成该过程。

基于时间的一次性密码 (TOTP)

最常用的身份验证方法之一是基于时间的一次性密码(TOTPs)。ADSelfService Plus移动应用生成TOTP，每分钟变换一次。用户必须在身份验证过程期间的特定时间段内输入6位数密码，以完成其身份验证。