Specops Secure Service Desk

Specops Secure Service Desk bietet alle notwendigen Werkzeuge für Ihre Service-Desk-Mitarbeiter, um Benutzern zu helfen, die mit Authentifizierungsproblemen anrufen. Mitarbeiter können Benutzern helfen, ihre Passwörter zurückzusetzen oder ihre Computer zu entsperren (wenn diese mit BitLocker™ oder Symantec Endpoint Encryption™ verschlüsselt sind) in einer sicheren und benutzerfreundlichen Umgebung. Der Secure Service Desk hält auch Benutzerinformationen und Statistiken bereit.

Zentrale Konzepte

Authentifizierung

Authentifizierung ist der Prozess der Überprüfung der Identität eines Benutzers. Typischerweise erfordert dies, dass der Benutzer eine Behauptung über seine Identität macht, indem er seinen Benutzernamen und sein Passwort eingibt.

Registrierung

Benutzer müssen sich bei Specops Authentication registrieren. Der Registrierungsprozess variiert je nach Art des Identitätsdienstes. Um sich bei einem persönlichen Identitätsdienst wie Google zu registrieren, müssen Benutzer dem Link von der Specops-Webanwendung zur Google-Webseite folgen und sich mit der E-Mail-Adresse und dem Passwort anmelden, die mit ihrem Google-Konto verknüpft sind.

Vorregistrierung

Specops Secure Service Desk arbeitet nach dem Prinzip der Vorregistrierung. Dies bedeutet größtenteils, dass die Benutzerregistrierung durch die Definition von Attributen im Active Directory erfolgt. Wenn Sie jedoch Secure Service Desk mit anderen Specops-Produkten wie Specops uReset verwenden, können die in diesen Richtlinien definierten Identitätsdienste auch für Secure Service Desk verwendet werden.

Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung erfordert mehr als eine Authentifizierungsmethode aus unabhängigen Kategorien von Anmeldeinformationen: etwas, das Sie wissen (z.B. Passwort), etwas, das Sie haben (z.B. Mobilgerät) und etwas, das Sie sind (z.B. Fingerabdruck). Specops uReset geht über die Zwei-Faktor-Authentifizierung hinaus, indem es eine breite Palette von Identitätsdiensten unterstützt, die zur Erhöhung der Sicherheit und Flexibilität verwendet werden können. Die Lösung unterstützt nicht nur gängige Authentifikatoren wie Fragen und Antworten und mobile Verifizierungscodes, sondern auch verschiedene digitale Identitätsdienste, die von persönlichen Identitätsdiensten (z.B. LinkedIn) bis zu Unternehmensidentitätsdiensten (z.B. salesforce.com) reichen, zusätzlich zu Methoden mit höherem Vertrauen wie Smart Cards. Das Specops Multi-Faktor-Authentifizierungsmodell ist dynamisch. Benutzer können wählen, welche Identitätsdienste sie für die Registrierung und Authentifizierung kombinieren möchten, solange sie die Anforderungen der Richtlinie erfüllen. Benutzer, die mit mehr Identitätsdiensten registriert sind, als für ihre Authentifizierung erforderlich sind, haben die Wahl der Authentifizierung. Dies garantiert, dass Endbenutzer immer in der Lage sind, die Authentifizierungsrichtlinie zu erfüllen, selbst wenn ein Identitätsdienst nicht verfügbar ist (z.B. wenn sie ihr Mobiltelefon nicht in der Nähe haben).

Administratoren können basierend auf Rolle und Sicherheitsrichtlinie auswählen, welche Identitätsdienste/Authentifikatoren sie Endbenutzern zur Verfügung stellen möchten, um ihre Identität beim Zurücksetzen oder Entsperren ihrer Konten zu überprüfen. Diese Flexibilität kann sicherstellen, dass unterschiedliche Sicherheits- und Flexibilitätsanforderungen erfüllt werden. Zum Beispiel:

Für Benutzer mit einer niedrigen Sicherheitsfreigabe, aber einem hohen Flexibilitätsbedarf, wie Studenten, können IT-Administratoren ihnen erlauben, sich mit einigen persönlichen Identitätsdiensten wie ihrer Google-ID zu authentifizieren.
Für Benutzer mit einer höheren Sicherheitsfreigabe, wie Finanzhilfeverwalter oder Führungskräfte auf höherer Ebene, können IT-Administratoren Richtlinien zuweisen, die eine höhere Anzahl oder eine stärkere Kombination von Identitätsdiensten erzwingen. Dieser Ansatz bietet Administratoren die Flexibilität, die sie benötigen, um Richtlinien durchzusetzen, die zu größerer Sicherheit und Effizienz führen.

Richtlinie

Eine Richtlinie enthält die Regeln, die für die Registrierung und Multi-Faktor-Authentifizierung erforderlich sind. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele verwendet werden müssen, um die Identität der Endbenutzer zu überprüfen. Der Systemadministrator ist für die Konfiguration der Regeln in den Richtlinien verantwortlich.

Beachten Sie, dass Richtlinien für Secure Service Desk nur für Service-Desk-Mitarbeiter gelten, nicht für Benutzer. Endbenutzer müssen mit allen zugehörigen Identitätsdiensten vorregistriert sein, um ihre Identität überprüfen zu können.

Identitätsdienste

Identitätsdienste ermöglichen es Benutzern, sich sicher zu identifizieren, wenn sie sich anmelden. Identitätsdienste fallen in mehrere Kategorien, einschließlich: Benutzername und Passwort, sozial (LinkedIn, Tumblr) und höheres Vertrauen (Google Authenticator, Microsoft Authenticator, Duo Security).

Um verschiedene Identitätsdienste zur Authentifizierung von Benutzern zu verwenden, muss der Identitätsdienst in Authentication Web konfiguriert (aktiviert) werden, und der von der Richtlinie betroffene Benutzer muss sich beim Identitätsdienst registrieren. Sobald ein Benutzer registriert ist, kann er den Identitätsdienst zur Authentifizierung verwenden. Specops Authentication verwendet Daten aus Benutzerobjekten im Active Directory, um Informationen zu lesen und zu schreiben, die im System verwendet werden.

Unten finden Sie eine Liste aller in Specops Authentication verfügbaren Identitätsdienste.

Standard

Specops Fingerprint: Specops Fingerprint ermöglicht es Benutzern, sich mit Geräten mit Fingerabdruckscannern, wie Smartphones und Tablets, zu registrieren und zu authentifizieren. Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Um diesen Identitätsdienst zu nutzen, müssen Benutzer die App auf ihrem Mobilgerät installiert haben.
Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Benutzer scannen einen QR-Code oder geben einen geheimen Schlüssel ein. Specops Authenticator stellt den Benutzern dann ein sechsstelligen Einmalpasswort zur Verfügung, das eingegeben werden muss, um sich erfolgreich zu authentifizieren.
Mobiler Code (SMS): Benutzer erhalten ein einmaliges sechsstelligen Passwort über eine SMS-Nachricht, das eingegeben werden muss, um sich erfolgreich zu authentifizieren.
E-Mail: Die E-Mail des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail erfordert keine Registrierung, da sie sich auf die E-Mail-Adresse im E-Mail-Attribut in AD (oder einem anderen Attribut, wenn es überschrieben wird) bezieht; sie kann nur mit Domänen verwendet werden, die mit Specops Authentication verbunden sind.
Persönliche E-Mail: Die E-Mail des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. Persönliche E-Mail muss bei der Registrierung vom Benutzer registriert werden, und sie können jede E-Mail-Adresse ihrer Wahl verwenden.
Vertrauenswürdige Netzwerkstandorte: Vertrauenswürdige Netzwerkstandorte sind ein Identitätsdienst, der es Administratoren ermöglicht, bestimmte IP-Bereiche als vertrauenswürdige Netzwerkstandorte zu kennzeichnen.
Manager-Identifikation: Wenn sich ein Benutzer mit der Manager-Identifikation authentifiziert, wird eine E-Mail oder SMS-Nachricht an seinen Manager gesendet. Der Manager muss dann die Authentifizierungsanfrage genehmigen. Administratoren können die Benachrichtigung, die gesendet wird, anpassen, indem sie benutzerdefinierte Informationen zur Anforderungsbenachrichtigung hinzufügen. Um die Manager-Identifikation zu nutzen, muss jedem Benutzer ein Manager im Active Directory zugewiesen werden, und Managerkonten müssen eine E-Mail-Adresse/Mobiltelefonnummer in ihrem Profil haben, um Authentifizierungsanfragen von Benutzern zu erhalten.
Geheime Fragen: Benutzer können Fragen aus einer vorgegebenen Liste auswählen und die Antworten darauf angeben. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.

Drittanbieter

Hinweis

In den meisten Fällen muss die Registrierung bei Drittanbieter-Identitätsdiensten von den Benutzern individuell gehandhabt werden.

PingID: Mit PingID können sich Benutzer mit der PingID-Mobil-App authentifizieren.
Duo Security: Mit Duo Security können sich Benutzer mit der Duo Security-Mobil-App authentifizieren.
Freja: Mit Freja können sich Benutzer mit der Freja-Mobil-App authentifizieren.
Okta Benutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren. Dies kann über die Okta-App und durch das Senden von Codes per Textnachricht erfolgen.
RSA SecurID Benutzer können ihren RSA Authenticator zur Authentifizierung verwenden.
Symantec VIP: Benutzer können sich mit der Symantec VIP-Mobil-App authentifizieren.
Google Authenticator: Google Authenticator ist eine App, die Einmalpasswörter generiert. Ein geheimer Schlüssel wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator stellt den Benutzern dann ein sechs- bis achtstelliges Einmalpasswort zur Verfügung, das eingegeben werden muss, um sich erfolgreich zu authentifizieren.
Microsoft Authenticator: Microsoft Authenticator ist eine App, die Einmalpasswörter generiert. Ein geheimer Schlüssel wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator stellt den Benutzern dann ein sechs- bis achtstelliges Einmalpasswort zur Verfügung, das eingegeben werden muss, um sich erfolgreich zu authentifizieren.
SITHS eID (Schweden): SITHS eID ist ein auf Smart Cards basierender Authentifizierungsdienst, der es Mitarbeitern (wie medizinischem Fachpersonal) von Behörden, Gemeinden und Landkreisen in Schweden ermöglicht, sich elektronisch zu identifizieren.
Mobile BankID (Schweden): Wenn Benutzer die Mobile BankID-App haben, können sie diese verwenden, um ihre Identität zu überprüfen.

Hinweis

Benutzer müssen einen QR-Code in der Mobile BankID-App scannen, um sich mit diesem Identitätsdienst zu authentifizieren.

Yubikey: Der Yubikey ist ein Hardware-Authentifizierungsgerät. Benutzer können sich authentifizieren, indem sie Einmalpasswörter (OTP) mit ihrem Yubikey generieren (nur wenn der Yubikey Yubico OTP als Sicherheitsfunktion unterstützt). Weitere Informationen zu Yubikey finden Sie auf der Yubikey-Seite.
Passkeys: Benutzer können sich mit Passkeys authentifizieren, die sie bereits auf ihrem Gerät eingerichtet haben. Passkeys sind digitale Anmeldeinformationen (Authentifikatoren), die mit einem Benutzerkonto und einer Website oder Anwendung verknüpft sind. Einige Beispiele für Passkeys sind Windows Hello, Yubikey, Bitwarden und jede Authentifizierungs-App wie Google Authenticator.
Entra ID: ermöglicht Specops Authentication die Integration mit Microsoft Authentication Libraries. Microsoft Authenticator kann verwendet werden, um sich bei Specops Authentication ohne Passwort zu authentifizieren.

Föderiert

Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live-Anmeldedaten werden verwendet, um sich bei der Microsoft Cloud anzumelden, einschließlich: Outlook, Office Online, OneDrive, Skype, Xbox Live und dem Microsoft Store.
LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.

Architektur und Design

Specops Secure Service Desk ist nativ in Active Directory integriert. Die Konfiguration des Systems erfolgt über Gruppenrichtlinien, ohne zusätzliche Komplexität in Ihre Umgebung einzuführen. Dies bedeutet, dass keine externe Datenbank erforderlich ist, um passwortbezogene Informationen zu speichern. Benutzerdaten werden direkt in Gruppenrichtlinien-Benutzerobjekten gespeichert, wodurch das Sicherheitsrisiko minimiert wird und eine inhärente Echtzeit-Passwortbereitstellung gewährleistet ist.

Specops Secure Service Desk besteht aus den folgenden Komponenten und erfordert keine zusätzlichen Ressourcen in Ihrer Umgebung. Das Authentifizierungs-Backend, das Web und die Identitätsdienste werden in der Cloud gehostet. Sie müssen nur die Gatekeeper-Komponente installieren.

Alt-Text für dieses Bild

Authentication Cloud: Die globale Cloud-Komponente von uReset, die Authentifizierungs-Cloud, enthält das Web (Front-End für Endbenutzer) und die Backend-Dienste.

Secure Service Desk: Enthält das Front-End für Endbenutzer und Administratoren. Der Secure Service Desk kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten, einschließlich systemweiter Konfigurationen und Multi-Faktor-Authentifizierungsrichtlinien für verschiedene Ressourcen, einschließlich uReset.

Authentication Backend: Um Benutzerinformationen aus Active Directory zu lesen, kommuniziert das Backend mit dem Gatekeeper. Das Web und die Identitätsdienste kommunizieren ebenfalls mit dem Backend. Das Authentifizierungs-Backend validiert die Identität eines Benutzers basierend auf den Tokens von einzelnen Identitätsdiensten.

Gatekeeper: Der Gatekeeper muss auf einem Server in Ihrer Domäne installiert werden. Der Gatekeeper liest Benutzerinformationen aus Active Directory und verwaltet alle Operationen gegen Active Directory, wie das Lesen/Schreiben von Registrierungsdaten.

Identitätsdienste: Eine Entität, die die Identität eines Benutzers im Secure Service Desk validieren kann. Die Tokens von einzelnen Identitätsdiensten werden vom Backend verwendet, um die Identität eines Benutzers zu validieren.

Einige der Identitätsdienste, die während der Authentifizierung verwendet werden, wie Google, sind extern. Wenn ein externer Identitätsdienst verwendet wird, wird der Benutzer zum Identitätsdienst gesendet und aufgefordert, Specops die Zustimmung zu geben, auf seine persönlichen Informationen wie seinen Benutzernamen zuzugreifen. Die Informationen aus der Zustimmung ermöglichen die Erstellung des Tokens, das für die Authentifizierung verwendet wird. Beachten Sie, dass da Secure Service Desk nach dem Prinzip der Vorregistrierung arbeitet, nicht alle Identitätsdienste für die Benutzerverifizierung verfügbar sind.

Token: Ein Token oder ein Sicherheitstoken ist ein Träger von Informationen über einen Benutzer und über den Aussteller des Tokens. Die Informationen über einen Benutzer sind eine Reihe von Aussagen. Die Behauptungen über einen Benutzer können zum Beispiel der Name des Benutzers, die ID des Kunden, zu dem er gehört, und welche Rollen ein Benutzer in seiner Organisation hat, sein.

Funktionen und Fähigkeiten

Berichterstattung

Die Secure Service Desk-Berichterstattungsfunktion ermöglicht es Ihnen, Ihren Registrierungsprozess zu verfolgen und bietet mehrere Berichte über Service-Desk-Anrufe, Ereignisse und Computerentsperrungen und Passwortzurücksetzungen.

Benachrichtigungen

Beim Zurücksetzen eines Benutzerpassworts können Benachrichtigungen (die das neue Passwort enthalten) per E-Mail oder Textnachricht gesendet werden. Bei der Überprüfung der Identität eines Benutzers können sowohl E-Mail als auch Textnachricht verwendet werden.

Gewichtete Identitätsdienste

Beachten Sie, dass gewichtete Identitätsdienste nur für Secure Service Desk für die Multi-Faktor-Authentifizierung für Service-Desk-Mitarbeiter verwendet werden können. In Fällen, in denen Secure Service Desk in Verbindung mit Specops uReset verwendet wird, können die Identitätsdienste in uReset-Richtlinien ebenfalls gewichtet werden.

Administratoren können jedem Identitätsdienst ein spezifisches Gewicht zuweisen und letztendlich entscheiden, dass ein Identitätsdienst doppelt so viel wert ist wie ein anderer während der Authentifizierung. In den Benutzeroberflächen, sowohl für die Endbenutzer als auch für den Administrator, werden die Gewichte durch Sterne dargestellt.

Multi-Faktor-Authentifizierung für Administratoren und Helpdesk-Benutzer

Benutzer, die Teil der Administratoren- und Helpdesk-Gruppe sind, können die Multi-Faktor-Authentifizierung verwenden, um ihre Identität zu überprüfen, wenn sie auf die Administrator-/Benutzerverwaltungsseiten im Secure Service Desk zugreifen.

Mobile Anwendungen

Specops Authenticator

Die Specops Authenticator-App ist ein hochvertrauenswürdiger Identitätsdienst, der das Mobilgerät in ein sicheres Token-Gerät verwandelt. Die App generiert einen geheimen Code, den Benutzer zusätzlich zu ihrem Benutzernamen angeben müssen, wenn sie ihre Identität während eines Passwortzurücksetzens authentifizieren. Die generierten Codes basieren auf dem branchenüblichen Time-Based One-Time Password Algorithmus für Sicherheitstoken, sodass Specops Authenticator sowohl mit Google als auch mit Microsoft Authenticators arbeiten kann.

Specops Fingerprint

Die Specops Fingerprint-App ermöglicht es Ihnen, sich für die Benutzerverifizierung zu authentifizieren, indem Sie entweder die Touch ID-Fingerabdruckerkennung oder die Face ID-Funktion verwenden, die in Ihr iOS integriert ist, oder die Fingerprint API-Scan-Funktion, die in Ihr Android 6.0 oder neueres Betriebssystem integriert ist.