Übersicht

Specops Secure Service Desk bietet Ihren Service-Desk-Mitarbeitern alle erforderlichen Tools, um den Benutzern zu helfen, die wegen Authentifizierungsproblemen anrufen. Ihre Mitarbeiter können Benutzern dabei helfen, ihre Kennwörter zurückzusetzen oder ihre Computer (wenn sie mit BitLocker™ oder Symantec Endpoint Encryption™ verschlüsselt sind) in einer sicheren und benutzerfreundlichen Umgebung zu entsperren. Secure Service Desk verfügt außerdem über Benutzerinformationen und Statistiken.

Zentrale Konzepte


Identitätsservices

Specops Secure Service Desk funktioniert nach dem Prinzip der Vorabregistrierung. Das bedeutet, dass die Benutzerregistrierung größtenteils durch die Definition von Attributen in Active Directory erfolgt. Wenn Sie Secure Service Desk jedoch mit anderen Specops-Produkte wie z. B. Specops uReset verwenden, können die in diesen Richtlinien definierten Identitätsdienste auch für Secure Service Desk verwendet werden.

Um mehrere Identitätsdienste zur Authentifizierung von Benutzern zu verwenden, müssen diese in der Verwaltungskonsole konfiguriert (aktiviert) werden, und der von der uReset-Richtlinie betroffene Benutzer muss sich beim uReset-Dienst registrieren. Sobald sich ein Benutzer entsprechend registriert hat, können die Service-Desk-Mitarbeiter die Identitätsdienste in der Richtlinie zur Überprüfung der Identität des Benutzers nutzen.

Mit Identitätsdiensten können sich die Benutzer bei der Anmeldung sicher identifizieren. Die Identitätsdienste lassen sich in mehrere Kategorien einteilen, darunter: Benutzername und Kennwort, soziale Dienste (LinkedIn, Tumblr) und Dienste mit höherem Vertrauensstatus (Google Authenticator, Microsoft Authentic, Duo Security Security).

Um mehrere Identitätsdienste zur Authentifizierung von Benutzern zu verwenden, müssen diese in der Verwaltungskonsole konfiguriert (aktiviert) werden, und der von der uReset-Richtlinie betroffene Benutzer muss sich beim uReset-Dienst registrieren. Sobald sich ein Benutzer angemeldet hat, kann er sein Kennwort über die uReset-Webanwendung zurücksetzen (über einen Hyperlink auf dem Anmeldebildschirm oder in jedem modernen Browser). Specops uReset verwendet Daten von Benutzerobjekten in Active Directory zum Lesen und Schreiben von im System verwendeten Informationen.

Nachstehend finden Sie eine Liste aller in Specops Authentication verfügbaren Identitätsdienste.

Standard

  • Specops Fingerprint: Specops Fingerprint ermöglicht die Registrierung und Authentifizierung von Benutzern über Geräte mit Fingerabdruck-Scannern, wie Smartphones und Tablets. Die Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Zur Nutzung dieses Identitätsdienstes müssen die Benutzer die App auf ihrem Mobilgerät installiert haben.
  • Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Die Benutzer scannen dafür einen QR-Code oder beantworten eine Geheimfrage. Specops Authenticator sendet den Benutzern dann ein sechsstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Mobile Code (SMS): Die Benutzer erhalten per SMS ein einmaliges sechsstelliges Kennwort, das sie für ihre Authentifizierung eingeben müssen.
  • E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail E-Mail erfordert keine Registrierung, da es auf die E-Mail-Adresse im E-Mail-Attribut in AD verweist (oder auf ein anderes Attribut, falls überschrieben); es kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind.
  • : Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. muss bei der Anmeldung vom Benutzer registriert werden. Dazu kann er eine beliebige E-Mail-Adresse seiner Wahl verwenden.
  • Vertrauenswürdige Netzwerkstandorte: Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, mit dem Administratoren bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte freigeben können.
  • Manager-Identifizierung: Wenn sich ein Benutzer mit Manager-Identifizierung authentifiziert, wird eine E-Mail oder SMS an seinen Vorgesetzten gesendet. Der Vorgesetzte muss dann den Authentifizierungsantrag genehmigen. Administratoren können die gesendete Benachrichtigung individuell anpassen, indem sie ihr benutzerdefinierte Informationen hinzufügen. Zur Nutzung von Manager-Identifizierung muss dem jeweiligen Benutzer ein Manager in Active Directory zugewiesen sein, und die Manager-Konten müssen eine mit ihrem Profil verknüpfte E-Mail-Adresse/Mobiltelefonnummer haben, um Authentifizierungsanfragen von Benutzern erhalten zu können.
  • Geheimfragen: Die Benutzer können Fragen aus einer vorgegebenen Liste auswählen und ihre Antworten darauf registrieren. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.

3. Parteien

HINWEIS
In den meisten Fällen müssen Registrierungen über externe Identitätsdienste von den Benutzern individuell betrieben werden.
  • PingID: Mit PingID können sich Benutzer über die Mobil-App PingID authentifizieren.
  • Duo Security: Mit Duo Security können sich Benutzer über die Mobil-App Duo Security authentifizieren.
  • Freja: Mit Freja können sich Benutzer über die Mobil-App Freja authentifizieren.
  • OktaBenutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren. Dies kann über die Okta-App und durch Versenden von Codes per Textnachricht geschehen.
  • Symantec VIP: Benutzer können sich mit der mobilen Symantec VIP-App authentifizieren.
  • Google Authenticator: Google Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Microsoft Authenticator: Microsoft Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • EFOS/SITHS (Schweden): EFOS/SITHS ist ein Smartcard-basierter Authentifizierungsdienst, mit dem sich Mitarbeiter (z. B. medizinisches Personal) von Behörden, Gemeinden und Kreisräten in Schweden elektronisch identifizieren können.
  • Mobile BankID (Schweden): Benutzer, die über die Mobile BankID-App verfügen, können damit ihre Identität verifizieren.
    HINWEIS
    Benutzer müssen einen QR-Code in der Mobile BankID-App scannen, um sich mit diesem Identitätsdienst zu authentifizieren.
  • Yubikey: Der Yubikey ist ein Hardware-Authentifizierungsgerät. Benutzer können sich authentifizieren, indem sie Einmal-Kennwörter (OTP) mit ihrem Yubikey generieren (nur wenn der Yubikey Yubico OTP als Sicherheitsfunktion unterstützt). Weitere Informationen zu Yubikeyfinden Sie auf der Yubikey-Seite.
  • Passkeys: Benutzer können sich mit Passkeys authentifizieren, die sie bereits auf ihrem Gerät eingerichtet haben. Passkey sind digitale Berechtigungsnachweise (Authentifikator), die an ein Benutzerkonto und eine Website oder Anwendung gebunden sind. Einige Beispiele für Passkeys sind Windows Hello, Yubikey, Bitwarden und jede Authentifizierungs-App wie Google Authenticator.
  • Entra ID: ermöglicht Specops Authentication die Integration in Microsoft Authentifizierungsverzeichnisse (Authentication Libraries). Der Microsoft Authenticator kann verwendet werden, um sich ohne Kennwort über Specops Authentication zu authentifizieren.

Föderiert

  • Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
  • Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live Anmeldedaten werden für die Anmeldung bei der Microsoft Cloud verwendet. Dazu gehören: Outlook, Office Online, OneDrive, Skype, Xbox Live und der Microsoft Store.
  • Tumblr: Benutzer können sich mit ihren Tumblr-Kontodaten registrieren und authentifizieren.
  • Flickr: Benutzer können sich mit ihren Flickr-Kontodaten registrieren und authentifizieren.
  • LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.

Richtlinie

Eine Richtlinie enthält die zur Registrierung und Multi-Faktor-Authentifizierung erforderlichen Regeln. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele davon zur Überprüfung der Identität eines Benutzers verwendet werden müssen. Der Systemeigentümer ist für die Konfiguration der Regeln in den Richtlinien verantwortlich.

Beachten Sie, dass die Richtlinien für Secure Service Desk nur für die Service-Desk-Mitarbeiter gelten, nicht für die Benutzer. Die Endnutzer müssen bei allen verbundenen Identitätsdiensten vorregistriert sein, um ihre Identität überprüfen zu können.

Architektur und Design


Specops Secure Service Desk ist vollständig in Active Directory integriert. Die Konfiguration des Systems erfolgt mithilfe von Gruppenrichtlinien, ohne dass Ihre Umgebung dadurch komplexer wird. Dies bedeutet, dass keine externe Datenbank erforderlich ist, um kennwortbezogene Informationen zu speichern. Die Benutzerdaten werden direkt in den Benutzerobjekten der Gruppenrichtlinien gespeichert, was das Sicherheitsrisiko minimiert und gleichzeitig die Bereitstellung von Kennwörtern in Echtzeit gewährleistet.

Specops Secure Service Desk besteht aus folgenden Komponenten und erfordert keine zusätzlichen Ressourcen in Ihrer Umgebung. Das Authentifizierungs-Backend sowie die Web- und Identitätsdienste werden in der Cloud gehostet. Sie müssen nur die Gatekeeper-Komponente installieren.

Alt-Text für dieses Bild

Authentication Cloud: Die globale Cloud-Komponente von uReset, die Authentifizierungs-Cloud, enthält die Web- (Front-End für Endbenutzer) und die Back-End-Dienste.

Secure Service Desk: Enthält das Front-End für die Endnutzer und Administratoren. Secure Service Desk kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten. Dazu gehören die systemweiten Konfigurationen und Richtlinien zur Multi-Faktor-Authentifizierung für verschiedene Ressourcen einschließlich uReset.

Authentication Backend: Um Benutzerinformationen aus Active Directory zu lesen, kommuniziert das Backend mit dem Gatekeeper. Auch die Web- und Identitätsdienste kommunizieren mit dem Backend. Das Authentifizierungs-Backend validiert die Identität eines Benutzers auf der Grundlage der Token der einzelnen Identitätsdienste.

Gatekeeper: Der Gatekeeper muss auf einem Server in Ihrer Domain installiert werden. Der Gatekeeper liest Benutzerinformationen aus dem Active Directory und verwaltet alle Operationen mit dem Active Directory, wie z. B. das Lesen und Schreiben von Anmeldedaten.

Identitätsdienste: Eine Einrichtung, die die Identität eines Benutzers in Secure Service Desk. Die Token der jeweiligen Identitätsdienste werden vom Backend verwendet, um die Identität eines Benutzers zu überprüfen.

Einige zur Authentifizierung verwendeten Identitätsdienste wie Google sind extern. Wenn ein externer Identitätsdienst verwendet wird, wird der Benutzer an diesen weitergeleitet und gebeten, Specops die Zustimmung zum Zugriff auf persönlichen Daten von ihm, wie z. B. seinen Benutzernamen, zu geben. Die nach dieser Einwilligung freigegebenen Informationen ermöglichen die Erstellung des Tokens zur Authentifizierung. Beachten Sie, dass für Secure Service Desk, da es nach dem Prinzip der Vorabregistrierung arbeitet, nicht alle Identitätsdienste zur Benutzerüberprüfung verfügbar sind.

Token: Ein Token oder ein Sicherheits-Token ist ein Träger von Informationen über einen Nutzer sowie den Aussteller des Tokens. Die Benutzerinformationen sind eine Reihe von Angaben. Diese Benutzerangaben können z. B. der Name des Benutzers, die ID des Kunden, zu dem er gehört, und die Rollen sein, die er Benutzer in seiner Organisation hat.

Merkmale und Fähigkeiten


Berichterstattung

Mit der Secure Service Desk-Berichtsfunktion können Sie Ihren Registrierprozess nachverfolgen und erhalten verschiedene Berichte über Service-Desk-Anrufe, Ereignisse, Computerfreigaben und Kennwortrücksetzungen.

Benachrichtigungen

Beim Zurücksetzen des Kennworts eines Benutzers können Benachrichtigungen (mit dem neuen Kennwort) per E-Mail oder SMS verschickt werden. Bei der Überprüfung der Identität eines Benutzers können sowohl E-Mails als auch SMS verwendet werden.

Gewichtung der Identitätsdienste

Beachten Sie, dass gewichtete Identitätsdienste für Secure Service Desk nur von Service Desk-Mitarbeitern für die Multi-Faktor-Authentifizierung verwendet werden können. In Fällen, in denen Secure Service Desk in Verbindung mit Specops uReset verwendet wird, können auch die Identitätsdienste in uReset-Richtlinien gewichtet werden.

Administratoren können jedem Identitätsdienst eine bestimmte Gewichtung zuweisen und letztlich entscheiden, dass ein Identitätsdienst bei der Authentifizierung doppelt so viel wert ist wie ein anderer. In den Benutzeroberflächen sowohl für die Endnutzer als auch für den Administrator wird die Gewichtung durch Sterne dargestellt.

Multifaktor-Authentifizierung für Administratoren und Helpdesk-Benutzer

Die Benutzer der Administratoren- und Helpdesk-Gruppe können die Multi-Faktor-Authentifizierung verwenden, um ihre Identität zu verifizieren, wenn sie auf die Administrator-/Benutzerverwaltungsseiten von Secure Service Desk gehen.

Mobile Anwendungen

Specops Authenticator

Die Specops Authenticator-App ist ein hochgradig vertrauenswürdiger Identitätsdienst, der das mobile Gerät in ein sicheres Token-Gerät verwandelt. Die App generiert einen geheimen Code, den die Nutzer zusätzlich zu ihrem Benutzernamen angeben müssen, wenn sie sich beim Zurücksetzen ihres Kennworts authentifizieren. Die generierten Codes basieren auf dem Industriestandard des Time-Based One-Time Password-Algorithmus, so dass Specops Authenticator sowohl mit Google als auch mit Microsoft Authenticator zusammenarbeiten kann.

Specops Fingerprint

Mit der Specops Fingerprint-App können Sie sich zur Benutzerverifizierung entweder über die in Ihr iOS integrierte Fingerabdruckerkennung Touch ID oder Face ID oder über die in Ihr Android-Betriebssystem (6.0 oder neuer) integrierte Fingerabdruck-API-Scanfunktion authentifizieren.