Überblick über die Identitätsdienste
Identitätsdienste sind Authentifizierungsmethoden, die es Benutzern ermöglichen, ihre Identität in der Specops Cloud zu verifizieren. Ressourcen und Produkte innerhalb der Specops Cloud, wie uReset, Secure Service Desk und die Specops Authentication-Administrationsseiten, verwenden Authentifizierungsrichtlinien, um festzulegen, welche Identitätsdienste erforderlich sind.
Die meisten Identitätsdienste erfordern, dass Benutzer ein Mobiltelefon besitzen, um beispielsweise eine Textnachricht zu empfangen oder biometrische Daten in einer App zu verwenden, um ihre Identität zu verifizieren. Um sich mit einem Identitätsdienst zu authentifizieren, müssen sich Benutzer zuerst über Specops Authentication darin registrieren. Dies gilt für alle Benutzertypen, einschließlich Endbenutzer, Service-Desk-Agenten und Client-Administratoren.
Registrierung
Identitätsdienste unterscheiden sich sowohl in der Funktionalität als auch in den Registrierungsverfahren. Ein Identitätsdienst kann eine oder mehrere der folgenden Registrierungstypen unterstützen:
- Auto: Der Identitätsdienst wird automatisch verfügbar (Vorregistrierung), wenn die erforderlichen Attribute oder Konfigurationen vorhanden sind, ohne dass eine Aktion des Benutzers oder Administrators erforderlich ist. Wenn beispielsweise ein Benutzer im Active Directory einen definierten Manager hat, wird er automatisch in die Manager-Verifizierung aufgenommen.
- Admin: Der Identitätsdienst kann von einem Administrator registriert oder bereitgestellt werden, was die Belastung der Endbenutzer reduzieren kann. Mobile Code ist ein Beispiel für einen Identitätsdienst, der ohne Benutzerregistrierung verwendet werden kann.
- User: Der Benutzer muss einen Registrierungsschritt abschließen, bevor der Identitätsdienst genutzt werden kann. Standard-TOTP-Authentifikatoren sind ein Beispiel.
Identitätsdienst-Pakettypen
Identitätsdienste sind in folgende Pakettypen gruppiert:
- Standard-Identitätsdienste: In Specops Authentication integriert.
- Identitätsverifizierungsdienste: In Specops Authentication integriert.
- Drittanbieter-Identitätsdienste: Externe Authentifizierungsanbieter, die in Specops Authentication integriert sind.
- Föderations-Identitätsdienste: Authentifizierung, die von einem externen Identitätsanbieter durchgeführt wird.
Standard-Identitätsdienste
Die folgenden Identitätsdienste sind im Standard-Paket verfügbar:
| Identitätsdienst | Beschreibung | Auto | Admin | User |
|---|---|---|---|---|
| Specops:ID | Specops mobile Authenticator-App, die für Push- und biometrische Authentifizierung verwendet wird. | x | ||
| Specops Authenticator | Authentifizierung mit Einmalcodes, die in der Specops Authenticator Mobile App generiert werden. Hinweis: Dieser Identitätsdienst wird eingestellt und erreicht das Ende seiner Lebensdauer in einer zukünftigen Version. Es wird empfohlen, Specops:ID zu verwenden. | x | ||
| Specops Fingerprint | Biometrische Authentifizierung mit der Specops Mobile App (Fingerabdruck oder Face ID). Hinweis: Dieser Identitätsdienst wird eingestellt und erreicht das Ende seiner Lebensdauer in einer zukünftigen Version. Es wird empfohlen, Specops:ID zu verwenden. | x | ||
| Verifizierungscode, der an die geschäftliche E-Mail-Adresse des Benutzers gesendet wird. | x | |||
| Manager-Identifikation | Der Manager des Benutzers genehmigt die Authentifizierungsanfrage per E-Mail oder SMS. | x | ||
| Mobile Code (SMS) | Einmaliger Verifizierungscode, der per SMS an das Mobiltelefon des Benutzers gesendet wird. | x | x | x |
| Persönliche E-Mail | Verifizierungscode, der an eine alternative persönliche E-Mail-Adresse gesendet wird. | x | x | |
| Geheime Fragen | Benutzer beantwortet vorkonfigurierte Sicherheitsfragen. | x | x | |
| Vertrauenswürdiger Netzwerkstandort | Authentifizierung basierend darauf, ob die Anfrage von einem vertrauenswürdigen Netzwerk stammt. | x | ||
| Windows-Identität | Authentifiziert mit der Windows-Sitzungsidentität des Benutzers. | x |
Identitätsverifizierungsdienste
Die folgenden Identitätsdienste sind im Identitätsverifizierung-Paket verfügbar:
| Identitätsdienst | Beschreibung | Auto | Admin | User |
|---|---|---|---|---|
| Specops Verified ID | Verifiziert die Benutzeridentität mit einem von der Regierung ausgestellten Ausweis und biometrischen Lebendigkeitsprüfungen. Hinweis: Wenn Geburtsdatum-Abgleich konfiguriert ist, müssen Benutzer von einem Administrator vorregistriert werden. | x | x |
Drittanbieter-Identitätsdienste
Die folgenden Identitätsdienste sind im Drittanbieter-Paket verfügbar:
| Identitätsdienst | Beschreibung | Auto | Admin | User |
|---|---|---|---|---|
| Duo | Multi-Faktor-Authentifizierung mit Duo Security. | x | x | |
| Freja | Mobile elektronische Identifikation, die für die Authentifizierung in der Freja-App verwendet wird. | x | x | |
| Google Authenticator | Authentifizierung mit Einmalcodes, die in der Google Authenticator App generiert werden. | x | ||
| Microsoft Entra ID | Authentifizierung über Microsoft Entra ID (Azure AD). | x | ||
| Microsoft Authenticator | Authentifizierung mit Einmalcodes, die in der Microsoft Authenticator App generiert werden. | x | ||
| Mobile BankID | Schwedische elektronische Identifikation, die für die Authentifizierung in der Mobile BankID App verwendet wird. | x | x | |
| Okta | Authentifizierung über den Okta-Identitätsanbieter. | x | x | |
| Passkeys | Passwortlose Authentifizierung mit FIDO-Passkeys. | x | ||
| PingID | Multi-Faktor-Authentifizierung mit Ping Identity. | x | x | |
| RSA SecurID | Authentifizierung mit RSA SecurID-Token. | x | x | |
| SITHS eID | Schwedische elektronische Identifikation, die in Gesundheitsumgebungen verwendet wird. | x | ||
| Symantec VIP | Authentifizierung mit Symantec VIP-Anmeldeinformationen. | x | x | |
| YubiKey | Hardware-Sicherheitsschlüssel, der für die Authentifizierung verwendet wird. | x | x |
Föderations-Identitätsdienste
Die folgenden Identitätsdienste sind im Föderations-Paket verfügbar:
| Identitätsdienst | Beschreibung | Auto | Admin | User |
|---|---|---|---|---|
| Amazon | Authentifizierung über den Amazon-Identitätsanbieter. | x | ||
| Box | Authentifizierung über den Box-Identitätsanbieter. | x | ||
| Authentifizierung über den Facebook-Identitätsanbieter. | x | |||
| Flickr | Authentifizierung über den Flickr-Identitätsanbieter. | x | ||
| Authentifizierung über den Google-Identitätsanbieter. | x | |||
| Authentifizierung über den Instagram-Identitätsanbieter. | x | |||
| Authentifizierung über den LinkedIn-Identitätsanbieter. | x | |||
| Live | Authentifizierung über den Microsoft Live-Identitätsanbieter. | x | ||
| Salesforce | Authentifizierung über den Salesforce-Identitätsanbieter. | x | ||
| Tumblr | Authentifizierung über den Tumblr-Identitätsanbieter. | x | ||
| Authentifizierung über den Twitter-Identitätsanbieter. | x |
Gewichtszuteilung für Identitätsdienste
Sobald Sie wissen, welche Identitätsdienste Sie verwenden möchten, müssen Sie ihnen einen Sternwert zuweisen. Die Anzahl der einem Identitätsdienst zugewiesenen Sterne sollte widerspiegeln, wie sicher er eingeschätzt wird. Hier sind einige Überlegungen bei der Zuweisung eines Sternwerts:
- Specops/Google/Microsoft Authenticator: Diese Identitätsdienste basieren auf dem TOTP-Standard (RFC 6238) und gelten als hochsichere Authentifizierungsmethoden, da sie einen Besitzfaktor verwenden. Um auf den generierten Verifizierungscode zuzugreifen, muss der Benutzer Zugriff auf das registrierte Gerät haben und die Authenticator-Anwendung öffnen.
- Soziale Identitätsdienste: So sicher wie die Komplexitätsanforderung der Passwort-Richtlinie des Identitätsdienstes.
- Mobile Code (SMS): Verwendet einen Besitzfaktor. Abhängig von Geräte- und Benachrichtigungseinstellungen können SMS-Nachrichten auf dem Sperrbildschirm sichtbar sein. Organisationen sollten bewerten, ob SMS-basierte Verifizierung mit ihren Sicherheitsanforderungen und -richtlinien übereinstimmt.
Siehe auch Dynamische Multi-Faktor-Authentifizierungsrichtlinien.