Authentifizierung
Die Authentifizierung dient zur Überprüfung der Identität des Benutzers. Dazu muss der Benutzer in der Regel seine Identität angeben, indem er seinen Benutzernamen und sein Kennwort eingibt.
Registrierung
Sie müssen sich mit Specops Authentication anmelden, bevor Sie auf O365 zugreifen können. Das Registrierverfahren ist für jede Art von Identitätsdienst unterschiedlich. Zur Registrierung bei einen externen Identitätsdienst wie z. B. Google, muss der Benutzer dem Link von der Specops Authentication-Webanwendung zur Google-Webseite folgen und sich mit der mit seinem Google-Konto verbundenen E-Mail-Adresse und seinem Kennwort anmelden.
Identitätsdienste
Mit Identitätsdiensten können sich die Benutzer bei der Anmeldung sicher identifizieren. Die Identitätsdienste lassen sich in mehrere Kategorien einteilen, darunter: Benutzername und Kennwort, soziale Dienste (Facebook, LinkedIn, Tumblr) und Dienste mit höherem Vertrauensstatus (Google Authenticator, Microsoft Authentic, Duo Security Security).
Folgende Identitätsdienste können zur Authentifizierung von Benutzern in Specops Authentication for O365 verwendet werden:
Standard
- Specops Fingerprint:Specops Fingerprint ermöglicht die Registrierung und Authentifizierung von Benutzern über Geräte mit Fingerabdruck-Scannern, wie Smartphones und Tablets. Die Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Zur Nutzung dieses Identitätsdienstes müssen die Benutzer die App auf ihrem Mobilgerät installiert haben.
- Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Die Benutzer scannen dafür einen QR-Code oder beantworten eine Geheimfrage. Specops Authenticator sendet den Benutzern dann ein sechsstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- Mobile Code (SMS): Die Benutzer erhalten per SMS ein einmaliges sechsstelliges Kennwort, das sie für ihre Authentifizierung eingeben müssen.
- E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail E-Mail erfordert keine Registrierung, da es auf die E-Mail-Adresse im E-Mail-Attribut in AD verweist (oder auf ein anderes Attribut, falls überschrieben); es kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind.
- Persönliche E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. Persönliche E-Mail muss bei der Anmeldung vom Benutzer registriert werden. Dazu kann er eine beliebige E-Mail-Adresse seiner Wahl verwenden.
- Vertrauenswürdige Netzwerkstandorte:Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, mit dem Administratoren bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte freigeben können.
- Manager-Identifizierung: Wenn sich ein Benutzer mit Manager-Identifizierung authentifiziert, wird eine E-Mail oder SMS an seinen Vorgesetzten gesendet. Der Vorgesetzte muss dann den Authentifizierungsantrag genehmigen. Administratoren können die gesendete Benachrichtigung individuell anpassen, indem sie ihr benutzerdefinierte Informationen hinzufügen. Zur Nutzung von Manager-Identifizierung muss dem jeweiligen Benutzer ein Manager in Active Directory zugewiesen sein, und die Manager-Konten müssen eine mit ihrem Profil verknüpfte E-Mail-Adresse/Mobiltelefonnummer haben, um Authentifizierungsanfragen von Benutzern erhalten zu können.
- Geheimfragen: Die Benutzer können Fragen aus einer vorgegebenen Liste auswählen und ihre Antworten darauf registrieren. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.
3. Parteien
- Duo Security: Mit Duo Security können sich Benutzer über die Mobil-App Duo Security authentifizieren.
- Okta: Benutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren.
- Symantec VIP: Benutzer können sich mit der mobilen Symantec VIP-App authentifizieren.
- Google Authenticator:Google Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- Microsoft Authenticator:Microsoft Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- EFOS/SITHS (Schweden):EFOS/SITHS ist ein Smartcard-basierter Authentifizierungsdienst, mit dem sich Mitarbeiter (z. B. medizinisches Personal) von Behörden, Gemeinden und Kreisräten in Schweden elektronisch identifizieren können.
- Mobile BankID (Schweden): Benutzer, die über die Mobile BankID-App verfügen, können damit ihre Identität verifizieren.
Föderiert
- Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
- Facebook: Benutzer können sich mit ihren Facebook-Kontodaten registrieren und authentifizieren.
- Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live-Anmeldedaten werden für die Anmeldung bei der Microsoft Cloud verwendet. Dazu gehören: Outlook, Office Online, OneDrive, Skype, Xbox Live und der Microsoft Store.
- Tumblr: Benutzer können sich mit ihren Tumblr-Kontodaten registrieren und authentifizieren.
- Twitter: Benutzer können sich mit ihren Twitter-Kontodaten registrieren und authentifizieren.
- Flickr: Benutzer können sich mit ihren Flickr-Kontodaten registrieren und authentifizieren.
- LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.
Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung erfordert mehr als eine Authentifizierungsmethode aus unabhängigen Kategorien von Berechtigungsnachweisen: etwas, das Sie wissen (z. B. Kennwort), etwas, das Sie haben (z. B. Mobilgerät), und etwas, das Sie verkörpert (z. B. Fingerabdruck).
Das Multi-Faktor-Authentifizierungsmodell von Specops ist dynamisch. Die Benutzer können wählen, welche Identitätsdienste sie für die Registrierung und Authentifizierung kombinieren möchten, solange sie die Anforderungen der Richtlinie erfüllen. Benutzer, die bei mehr Identitätsdiensten angemeldet sind, als für ihre Authentifizierung erforderlich sind, haben die Wahl bei der Authentifizierung. Dadurch wird gewährleistet, dass die Endnutzer auch dann noch in der Lage sind, die Authentifizierungsrichtlinien zu erfüllen, wenn ein bestimmter Identitätsdienst nicht verfügbar ist (z. B. wenn das Mobiltelefon nicht greifbar ist).
Richtlinie
Eine Richtlinie enthält die zur Registrierung und die Multi-Faktor-Authentifizierung für den Zugriff auf O365 erforderlichen Regeln. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele davon zur Überprüfung der Identität von Endbenutzern verwendet werden müssen. Der Systemadministrator ist für die Konfiguration der Regeln in der Richtlinie verantwortlich.