Identität überprüfen

Bis die Identität eines Benutzers verifiziert wurde, erscheint ein rotes Benutzersymbol mit einem Durchstrich in der oberen rechten Ecke der Service-Desk-Oberfläche. Service-Desk-Agenten können die Identität des Benutzers, der beim Secure Service Desk anruft, verifizieren, indem sie den Benutzer mit einem der Identitätsdienste authentifizieren lassen, bei denen der Benutzer zuvor registriert war. Beachten Sie, dass, wenn die Einstellung Identitätsüberprüfung erzwingen aktiviert wurde, die Identität des Benutzers verifiziert werden muss, bevor andere Aktionen (Passwort zurücksetzen und Computer entsperren) durchgeführt werden können.

Sobald der Benutzer im Active Directory gefunden wurde (siehe Benutzer suchen), klicken Sie auf die Registerkarte Identität verifizieren.
Klicken Sie auf den Identitätsdienst, mit dem sich der Benutzer authentifizieren soll. Der Benutzer wird auf seinem Computer aufgefordert, sich zu authentifizieren. Beachten Sie, dass der Service-Desk-Agent die Registerkarte Identität verifizieren geöffnet lassen sollte, bis der Benutzer authentifiziert wurde.
Nach der Authentifizierung erhält der Service-Desk-Agent eine Erfolgsseite, und alle anderen Service-Desk-Aktionen können durchgeführt werden.

Alternativ, wenn die registrierten Identitätsdienste nicht verwendet werden, kann der Service-Desk-Agent eine Textnachricht, E-Mail oder PingID-Push (Schnellüberprüfung) mit einem Code senden. Diese Nachricht wird an die im Active Directory mit dem Benutzer verknüpfte Mobilnummer gesendet oder erscheint in der PingID-App, wenn diese Option gewählt wurde. Nach Erhalt sollte der Benutzer entweder den Code dem Service-Desk-Agenten vorlesen, um seine Identität zu bestätigen, oder die Push-Nachricht aus der PingID-App bestätigen. Beachten Sie, dass die Option, einen Code per Textnachricht zu senden, nicht auf dem Bildschirm erscheint, wenn die Mobiltelefonnummer des Benutzers nicht im Active Directory registriert ist; die Option, eine Schnellüberprüfung zu senden, erscheint nicht, wenn die E-Mail des Benutzers nicht im Active Directory registriert ist.

Schnellüberprüfung mit Symantec VIP und Okta

Die Schnellüberprüfung mit Symantec VIP/Okta funktioniert ähnlich wie PingID.

Hinweis

Stellen Sie sicher, dass der Benutzer bei Symantec VIP/Okta registriert ist, um diesen Identitätsdienst zu nutzen.

Verifizierung durch Push-Benachrichtigung

(verfügbar, wenn der Benutzer ein Push-fähiges Gerät registriert und aktiv mit Symantec VIP/Okta hat oder wenn Textnachrichten für Okta aktiviert wurden)

Klicken Sie auf die Registerkarte Symantec VIP/Okta in der Schnellüberprüfung.
Klicken Sie auf Start; eine Push-Benachrichtigung wird an den zu verifizierenden Benutzer gesendet.

Hinweis

Für Okta, wenn der Benutzer Zugriff auf mehrere Benachrichtigungsmethoden hat, wird dem Service-Desk-Agenten ein zusätzlicher Bildschirm angezeigt, auf dem er auswählen kann, welche Art von Nachricht gesendet werden soll: Textnachricht, Push-Anfrage, Code eingeben. Wenn nur eine Methode verfügbar ist, wird diese automatisch ausgewählt. Weitere Informationen finden Sie im Abschnitt Verifizierung durch Code.
Der Benutzer kann die Push-Benachrichtigung bestätigen, die seine Identität verifiziert.

Verifizierung durch Code

Klicken Sie auf die Registerkarte Symantec VIP/Okta in der Schnellüberprüfung.
Klicken Sie auf Start.
Klicken Sie auf den Link Code eingeben.

Hinweis

Für Okta, wenn der Benutzer Zugriff auf mehrere Benachrichtigungsmethoden hat, wird dem Service-Desk-Agenten ein zusätzlicher Bildschirm angezeigt, auf dem er auswählen kann, welche Art von Nachricht gesendet werden soll: Textnachricht, Push-Anfrage, Code eingeben. Wenn nur eine Methode verfügbar ist, wird diese automatisch ausgewählt.
Im Falle von Symantec VIP, wenn der Benutzer die Symantec Desktop App installiert hat, kann er den Code von dort abrufen. Alternativ kann der Agent einen Code per SMS oder Telefonanruf senden lassen, indem er auf die entsprechende Schaltfläche klickt. Beachten Sie, dass diese Option automatisch angezeigt wird, wenn der Benutzer nur SMS-Benachrichtigungen aktiviert hat.
Lassen Sie den Benutzer den Code vorlesen und geben Sie ihn in das Feld ein, dann klicken Sie auf Verifizieren.

Manager-Identifikation

Es kann Situationen geben, in denen Benutzer aufgrund von Kommunikations-/Datenbeschränkungen nicht in der Lage sind, ihre Identität selbst zu verifizieren. In diesen Fällen kann es vorteilhaft sein, den Manager des Benutzers ihre Identität für sie identifizieren zu lassen.

Um die Manager-Identifikation zu aktivieren:

Gehen Sie in der Authentication Web zu Service Desk und rufen Sie die Registerkarte Einstellungen auf.
Aktivieren Sie das Kontrollkästchen Manager-Identifikation als Schnellüberprüfung.
Klicken Sie auf Speichern.

Um die Manager-Identifikation als Schnellüberprüfung zu verwenden:

Wenn der Benutzer den Service Desk anruft, klicken Sie auf Identität verifizieren.
Wählen Sie unter Schnellüberprüfung die Option Manager-Identifikation. Sie sehen eine Nachricht, die besagt: "Sie können die Identität von [user_name] identifizieren, indem Sie eine Verifizierungsanfrage an den Manager von [user_name] senden."
Klicken Sie auf Start.
Der Manager (wenn im Active Directory als solcher registriert) erhält eine E-Mail mit der Aufforderung, den Benutzer zu verifizieren. Es liegt am Manager (und dem betreffenden Benutzer), sicherzustellen, dass der richtige Benutzer verifiziert wird (z. B. durch Anruf beim Benutzer).
Der Manager klickt in der Manager-Identifikations-E-Mail auf Weiter. Der Manager wird zu einem Browserfenster mit der Service-Desk-Verifizierungsanfrage weitergeleitet.
Der Manager klickt auf Verifizieren, um den Benutzer zu verifizieren.

Warnung

Es ist in diesen Szenarien unerlässlich, dass der Manager über den Service-Desk-Anruf informiert ist und sicherstellt, dass es sich tatsächlich um den betreffenden Benutzer handelt, der versucht, verifiziert zu werden.

Identitätsüberprüfung und Sicherheit

Wenn Identitätsüberprüfung erzwingen aktiviert ist, muss der Service-Desk-Agent die Identität des Benutzers verifizieren, bevor er das Passwort zurücksetzen oder den Computer des Benutzers entsperren kann, wodurch die Sicherheit der Interaktion erhöht wird. Sobald die Identität verifiziert ist, basiert die Interaktion mit dem Service Desk auf der Erstellung von sicheren Sitzungstokens, um die Sitzungsintegrität zu wahren.

In einer typischen Service-Desk-Sitzung stellt der Service-Desk-Agent dem Benutzer eine Identifikationsanfrage, indem er einen der Identitätsdienste des Benutzers verwendet. Sobald sich der Benutzer mit dem Identitätsdienst authentifiziert hat, wird das sichere Token erstellt. Dieses Token wird für die Dauer der Sitzung zwischen dem spezifischen Service-Desk-Agenten und dem Benutzer geteilt. Jede Interaktion (Passwort zurücksetzen, Computer entsperren) wird gegen dieses Token validiert. Für die Dauer der Sitzung funktioniert das Token nur für den Service-Desk-Agenten, der die Identitätsüberprüfung initiiert hat, um Aktionen für den Benutzer durchzuführen, der seine Identität verifiziert hat.

Rückverfolgbarkeit

Neben der Bereitstellung einer sicheren Möglichkeit zur Autorisierung von Aktionen vom Service Desk ermöglichen die Tokens auch die Erstellung eines kontinuierlichen Ereignisprotokolls, das mit jeder Service-Desk-Sitzung verbunden ist. Dadurch wird jede Sitzung nachverfolgbar und durchsuchbar. Alle Informationen zur Sitzung sind über das Berichtsmenü zugänglich. Weitere Informationen zu Protokollierungsfunktionen und Berichten finden Sie im oben stehenden Abschnitt Berichterstattung.