Specops Secure Service Desk
Specops Secure Service Desk bietet alle notwendigen Werkzeuge für Ihre Service-Desk-Mitarbeiter, um Benutzern zu helfen, die mit Authentifizierungsproblemen anrufen. Mitarbeiter können Benutzern helfen, ihre Passwörter zurückzusetzen oder ihre Computer zu entsperren (wenn diese mit BitLocker™ oder Symantec Endpoint Encryption™ verschlüsselt sind) in einer sicheren und benutzerfreundlichen Umgebung. Der Secure Service Desk hält auch Benutzerinformationen und Statistiken bereit.
Zentrale Konzepte
Authentifizierung
Authentifizierung ist der Prozess der Überprüfung der Identität eines Benutzers. Typischerweise erfordert dies, dass der Benutzer eine Behauptung über seine Identität macht, indem er seinen Benutzernamen und sein Passwort eingibt.
Registrierung
Benutzer müssen sich bei Specops Authentication registrieren. Der Registrierungsprozess variiert je nach Art des Identitätsdienstes. Um sich bei einem persönlichen Identitätsdienst wie Google zu registrieren, müssen Benutzer dem Link von der Specops-Webanwendung zur Google-Webseite folgen und sich mit der E-Mail-Adresse und dem Passwort anmelden, die mit ihrem Google-Konto verknüpft sind.
Vorregistrierung
Specops Secure Service Desk arbeitet nach dem Prinzip der Vorregistrierung. Dies bedeutet größtenteils, dass die Benutzerregistrierung durch die Definition von Attributen im Active Directory erfolgt. Wenn Sie jedoch Secure Service Desk mit anderen Specops-Produkten wie Specops uReset verwenden, können die in diesen Richtlinien definierten Identitätsdienste auch für Secure Service Desk verwendet werden.
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung erfordert mehr als eine Authentifizierungsmethode aus unabhängigen Kategorien von Anmeldeinformationen: etwas, das Sie wissen (z.B. Passwort), etwas, das Sie haben (z.B. Mobilgerät) und etwas, das Sie sind (z.B. Fingerabdruck). Specops uReset geht über die Zwei-Faktor-Authentifizierung hinaus, indem es eine breite Palette von Identitätsdiensten unterstützt, die zur Erhöhung der Sicherheit und Flexibilität verwendet werden können. Die Lösung unterstützt nicht nur gängige Authentifikatoren wie Fragen und Antworten und mobile Verifizierungscodes, sondern auch verschiedene digitale Identitätsdienste, die von persönlichen Identitätsdiensten (z.B. LinkedIn) bis zu Unternehmensidentitätsdiensten (z.B. salesforce.com) reichen, zusätzlich zu Methoden mit höherem Vertrauen wie Smart Cards. Das Specops Multi-Faktor-Authentifizierungsmodell ist dynamisch. Benutzer können wählen, welche Identitätsdienste sie für die Registrierung und Authentifizierung kombinieren möchten, solange sie die Anforderungen der Richtlinie erfüllen. Benutzer, die mit mehr Identitätsdiensten registriert sind, als für ihre Authentifizierung erforderlich sind, haben die Wahl der Authentifizierung. Dies garantiert, dass Endbenutzer immer in der Lage sind, die Authentifizierungsrichtlinie zu erfüllen, selbst wenn ein Identitätsdienst nicht verfügbar ist (z.B. wenn sie ihr Mobiltelefon nicht in der Nähe haben).
Administratoren können basierend auf Rolle und Sicherheitsrichtlinie auswählen, welche Identitätsdienste/Authentifikatoren sie Endbenutzern zur Verfügung stellen möchten, um ihre Identität beim Zurücksetzen oder Entsperren ihrer Konten zu überprüfen. Diese Flexibilität kann sicherstellen, dass unterschiedliche Sicherheits- und Flexibilitätsanforderungen erfüllt werden. Zum Beispiel:
- Für Benutzer mit einer niedrigen Sicherheitsfreigabe, aber einem hohen Flexibilitätsbedarf, wie Studenten, können IT-Administratoren ihnen erlauben, sich mit einigen persönlichen Identitätsdiensten wie ihrer Google-ID zu authentifizieren.
- Für Benutzer mit einer höheren Sicherheitsfreigabe, wie Finanzhilfeverwalter oder Führungskräfte auf höherer Ebene, können IT-Administratoren Richtlinien zuweisen, die eine höhere Anzahl oder eine stärkere Kombination von Identitätsdiensten erzwingen. Dieser Ansatz bietet Administratoren die Flexibilität, die sie benötigen, um Richtlinien durchzusetzen, die zu größerer Sicherheit und Effizienz führen.
Richtlinie
Eine Richtlinie enthält die Regeln, die für die Registrierung und Multi-Faktor-Authentifizierung erforderlich sind. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele verwendet werden müssen, um die Identität der Endbenutzer zu überprüfen. Der Systemadministrator ist für die Konfiguration der Regeln in den Richtlinien verantwortlich.
Beachten Sie, dass Richtlinien für Secure Service Desk nur für Service-Desk-Mitarbeiter gelten, nicht für Benutzer. Endbenutzer müssen mit allen zugehörigen Identitätsdiensten vorregistriert sein, um ihre Identität überprüfen zu können.
Identitätsdienste
Identitätsdienste sind Authentifizierungsmethoden, die es Benutzern ermöglichen, ihre Identität in der Specops Cloud zu überprüfen.
Weitere Informationen finden Sie unter Specops Authentication Identitätsdienste.
Architektur und Design
Specops Secure Service Desk ist nativ in Active Directory integriert. Die Konfiguration des Systems erfolgt über Gruppenrichtlinien, ohne zusätzliche Komplexität in Ihre Umgebung einzuführen. Dies bedeutet, dass keine externe Datenbank erforderlich ist, um passwortbezogene Informationen zu speichern. Benutzerdaten werden direkt in Gruppenrichtlinien-Benutzerobjekten gespeichert, wodurch das Sicherheitsrisiko minimiert wird und eine inhärente Echtzeit-Passwortbereitstellung gewährleistet ist.
Specops Secure Service Desk besteht aus den folgenden Komponenten und erfordert keine zusätzlichen Ressourcen in Ihrer Umgebung. Das Authentifizierungs-Backend, das Web und die Identitätsdienste werden in der Cloud gehostet. Sie müssen nur die Gatekeeper-Komponente installieren.
Authentication Cloud: Die globale Cloud-Komponente von uReset, die Authentifizierungs-Cloud, enthält das Web (Front-End für Endbenutzer) und die Backend-Dienste.
Secure Service Desk: Enthält das Front-End für Endbenutzer und Administratoren. Der Secure Service Desk kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten, einschließlich systemweiter Konfigurationen und Multi-Faktor-Authentifizierungsrichtlinien für verschiedene Ressourcen, einschließlich uReset.
Authentication Backend: Um Benutzerinformationen aus Active Directory zu lesen, kommuniziert das Backend mit dem Gatekeeper. Das Web und die Identitätsdienste kommunizieren ebenfalls mit dem Backend. Das Authentifizierungs-Backend validiert die Identität eines Benutzers basierend auf den Tokens von einzelnen Identitätsdiensten.
Gatekeeper: Der Gatekeeper muss auf einem Server in Ihrer Domäne installiert werden. Der Gatekeeper liest Benutzerinformationen aus Active Directory und verwaltet alle Operationen gegen Active Directory, wie das Lesen/Schreiben von Registrierungsdaten.
Identitätsdienste: Eine Entität, die die Identität eines Benutzers im Secure Service Desk validieren kann. Die Tokens von einzelnen Identitätsdiensten werden vom Backend verwendet, um die Identität eines Benutzers zu validieren.
Einige der Identitätsdienste, die während der Authentifizierung verwendet werden, wie Google, sind extern. Wenn ein externer Identitätsdienst verwendet wird, wird der Benutzer zum Identitätsdienst gesendet und aufgefordert, Specops die Zustimmung zu geben, auf seine persönlichen Informationen wie seinen Benutzernamen zuzugreifen. Die Informationen aus der Zustimmung ermöglichen die Erstellung des Tokens, das für die Authentifizierung verwendet wird. Beachten Sie, dass da Secure Service Desk nach dem Prinzip der Vorregistrierung arbeitet, nicht alle Identitätsdienste für die Benutzerverifizierung verfügbar sind.
Token: Ein Token oder ein Sicherheitstoken ist ein Träger von Informationen über einen Benutzer und über den Aussteller des Tokens. Die Informationen über einen Benutzer sind eine Reihe von Aussagen. Die Behauptungen über einen Benutzer können zum Beispiel der Name des Benutzers, die ID des Kunden, zu dem er gehört, und welche Rollen ein Benutzer in seiner Organisation hat, sein.
Funktionen und Fähigkeiten
Berichterstattung
Die Secure Service Desk-Berichterstattungsfunktion ermöglicht es Ihnen, Ihren Registrierungsprozess zu verfolgen und bietet mehrere Berichte über Service-Desk-Anrufe, Ereignisse und Computerentsperrungen und Passwortzurücksetzungen.
Benachrichtigungen
Beim Zurücksetzen eines Benutzerpassworts können Benachrichtigungen (die das neue Passwort enthalten) per E-Mail oder Textnachricht gesendet werden. Bei der Überprüfung der Identität eines Benutzers können sowohl E-Mail als auch Textnachricht verwendet werden.
Gewichtete Identitätsdienste
Beachten Sie, dass gewichtete Identitätsdienste nur für Secure Service Desk für die Multi-Faktor-Authentifizierung für Service-Desk-Mitarbeiter verwendet werden können. In Fällen, in denen Secure Service Desk in Verbindung mit Specops uReset verwendet wird, können die Identitätsdienste in uReset-Richtlinien ebenfalls gewichtet werden.
Administratoren können jedem Identitätsdienst ein spezifisches Gewicht zuweisen und letztendlich entscheiden, dass ein Identitätsdienst doppelt so viel wert ist wie ein anderer während der Authentifizierung. In den Benutzeroberflächen, sowohl für die Endbenutzer als auch für den Administrator, werden die Gewichte durch Sterne dargestellt.
Multi-Faktor-Authentifizierung für Administratoren und Helpdesk-Benutzer
Benutzer, die Teil der Administratoren- und Helpdesk-Gruppe sind, können die Multi-Faktor-Authentifizierung verwenden, um ihre Identität zu überprüfen, wenn sie auf die Administrator-/Benutzerverwaltungsseiten im Secure Service Desk zugreifen.
Mobile Anwendungen
- Specops:ID
- Specops Authenticator (wird eingestellt, es wird empfohlen, Specops:ID zu verwenden)
- Specops Fingerprint (wird eingestellt, es wird empfohlen, Specops:ID zu verwenden)
Weitere Informationen finden Sie unter Specops Authentication Identitätsdienste.