Specops Verified ID
Specops Verified ID ermöglicht es Organisationen, Benutzeridentitäten sicher zu verifizieren, indem sie von der Regierung ausgestellte Identifikationen verwenden. Während der Verifizierung scannt der Benutzer ein Identitätsdokument (ID) wie einen Reisepass, eine nationale ID-Karte oder einen Führerschein und führt eine Live-Selfie-Prüfung durch. Das System vergleicht das Foto auf dem Identitätsdokument mit der Live-Aufnahme, um zu bestätigen, dass der Benutzer physisch anwesend ist und mit dem Dokumentinhaber übereinstimmt. Verifizierte Attribute aus dem Identitätsdokument, einschließlich Name und Geburtsdatum, werden dann mit dem in Active Directory bereitgestellten Benutzerkonto abgeglichen.
Specops Verified ID unterstützt eine breite Palette von weltweit verwendeten, von der Regierung ausgestellten Identitätsdokumenten.
Ein wichtiger Anwendungsfall für Specops Verified ID ist die Verifizierung des Secure Service Desk. Benutzer, die den Service Desk in Organisationen anrufen, die Specops Secure Service Desk verwenden, können ihre Identität mit von der Regierung ausgestellten Identifikationen verifizieren, wodurch Service Desk-Agenten die Identität des Anrufers sicher bestätigen können, bevor sie kontobezogene Aktionen durchführen.
Specops Verified ID kann auch verwendet werden, um neue Mitarbeiter sicher zu integrieren, indem ihre Identität bei der Festlegung ihres First Day Password verifiziert wird.
Specops Verified ID ist für Endbenutzer über die Specops:ID Mobile App zugänglich, die für iOS und Android verfügbar ist, oder über einen Standard-Webbrowser. Mit der Specops:ID Mobile App können sich Benutzer mit von der Regierung ausgestellten Identifikationen über Specops Verified ID oder andere Authentifizierungsfaktoren registrieren. Die Registrierung verwendet die Biometrie des mobilen Geräts (Fingerabdruck oder Gesichtserkennung) oder eine Geräte-PIN, um die registrierte Authentifizierungsmethode zu sichern.
Mit dem Webbrowser-Flow können Benutzer die Identitätsverifizierung und Authentifizierung abschließen, ohne die Specops:ID Mobile App zu verwenden. Wenn der Webbrowser-Flow auf einem Desktop-Gerät gestartet wird, muss der Benutzer zu einem mobilen Gerät wechseln, um das ID-Dokument zu scannen und die Gesichtserkennung abzuschließen, da die Qualität der Desktop-Webkamera im Allgemeinen nicht ausreicht, um eine zuverlässige Verifizierung zu gewährleisten.
Konfiguration von Specops Verified ID
Um Specops Verified ID zum ersten Mal einzurichten:
- Melden Sie sich bei der Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
- Wählen Sie in der linken Seitenleiste Identitätsservices und dann Specops Verified ID.
- Wählen Sie unter Verifizierungsmethode aus, wie Benutzer ihre Identität mit Specops Verified ID verifizieren sollen.
- Specops:ID App: Benutzer verifizieren ihre Identität mit der Specops:ID Mobile App.
- Webbrowser: Benutzer verifizieren ihre Identität über einen Webbrowser.
- Beide: Benutzer können zwischen den beiden Methoden wählen.
-
Gehen Sie zu Dokumenteinstellungen.
- Wählen Sie unter Namensabgleich ein Namensähnlichkeitsgrad, um zu steuern, wie viel Variation zwischen dem Benutzerkontonamen und dem Namen auf dem ID-Dokument erlaubt ist. Dies ist nützlich, wenn der Scan einen Buchstaben verpasst oder der Kontoname einen Rechtschreibfehler enthält.
- Exakte Übereinstimmung: Namen müssen identisch sein.
- Strikte Übereinstimmung: Nur sehr kleine Unterschiede. Dies ist die empfohlene Einstellung.
- Ungefähre Übereinstimmung: Mäßige Toleranz für häufige Rechtschreibvariationen und kleine Tippfehler.
- Lockere Übereinstimmung: Höchste Toleranz; erlaubt mehr Variation, erhöht jedoch die Wahrscheinlichkeit, dass ähnlich aussehende Namen übereinstimmen, die nicht zur gleichen Person gehören.
- Aktivieren Sie unter Geburtsdatum-Abgleich die Option Benutzer am Geburtsdatum abgleichen, um das Geburtsdatum im Benutzerkonto mit dem Geburtsdatum auf dem ID-Dokument zu vergleichen. Wenn aktiviert, wählen Sie mindestens eine Geburtsdatum-Regel: Jahr oder Monat & Tag.
Hinweis
Namensabgleich wird immer verwendet. Um Geburtsdatum-Abgleich zu verwenden, müssen Benutzer mit dem 'Add-SAVerifiedIdEnrollment' Powershell Cmdlet unter Verwendung der Parameter BirthYear, BirthMonth und BirthDay vorregistriert sein. Beachten Sie, dass der Wert des Geburtsdatums in Active Directory als verschlüsselter Hash gespeichert wird, nicht als tatsächliches Datum.
- Wählen Sie unter Namensabgleich ein Namensähnlichkeitsgrad, um zu steuern, wie viel Variation zwischen dem Benutzerkontonamen und dem Namen auf dem ID-Dokument erlaubt ist. Dies ist nützlich, wenn der Scan einen Buchstaben verpasst oder der Kontoname einen Rechtschreibfehler enthält.
-
Gehen Sie zu Gesichtseinstellungen.
-
Wählen Sie unter Liveness-Verifizierung eine der folgenden Optionen, um zu überprüfen, dass der Benutzer physisch vor der Kamera anwesend ist:
- Aktive Verifizierung: Strenger und hilft, das Spoofing-Risiko zu reduzieren.
-
Passive Verifizierung: Einfacher für Benutzer, aber möglicherweise weniger streng.
Hinweis
Es wird empfohlen, mit der aktiven Verifizierung zu beginnen, es sei denn, Ihre Organisation hat einen triftigen Grund, dies nicht zu tun.
-
Passen Sie unter Gesichtsabgleich den Wert für den Ähnlichkeitsprozentsatz für die Gesichtssimilaritätsschwelle an. Die Schwelle wird verwendet, wenn die Live-Aufnahme eines Benutzers mit dem Foto auf seinem ID-Dokument verglichen wird.
- Höhere Schwelle: Stärkere Sicherheit, potenziell mehr falsche Ablehnungen.
-
Niedrigere Schwelle: Reibungslosere Benutzererfahrung, potenziell schwächere Übereinstimmung.
Hinweis
Es wird empfohlen, zunächst den Standardwert zu verwenden und ihn dann basierend auf realen Support-Ergebnissen anzupassen.
-
-
Speichern Sie die Konfiguration und bestätigen Sie, dass das Speichern erfolgreich war.
- Führen Sie einen echten End-to-End-Test mit einem Testbenutzer durch, siehe Authentifizierung mit Specops Verified ID.
Authentifizierung mit Specops Verified ID
Wenn Sie die Specops:ID Mobile App zur Authentifizierung verwenden, stellen Sie sicher, dass sie auf Ihrem mobilen Gerät installiert ist.
- Wählen Sie nach Eingabe Ihres Benutzernamens und Passworts Specops Verified ID als Identitätsdienst aus.
- Ein QR-Code wird in Specops Authentication Web angezeigt, abhängig von der Verifizierungsmethode:
- Wenn Sie sich über die Specops:ID Mobile App authentifizieren, scannen Sie den QR-Code mit Specops:ID und tippen Sie auf Fortfahren.
- Wenn Sie sich über einen Webbrowser auf Ihrem Computer authentifizieren, scannen Sie den QR-Code mit Ihrem mobilen Gerät und öffnen Sie den Link in Ihrem mobilen Webbrowser.
- Wenn Sie sich über einen Webbrowser auf Ihrem mobilen Gerät authentifizieren, verwenden Sie Tippen, um die Verifizierung zu starten.
- Befolgen Sie die Anweisungen, um Ihr ID-Dokument mit der Kamera zu scannen.
- Um die Lebendigkeit zu überprüfen, befolgen Sie die Anweisungen und machen Sie ein Selfie mit der Kamera.
- Nach erfolgreicher Authentifizierung sind Sie in Ihrem Windows-Konto angemeldet.
Fehlerbehebung
Aus Support-Perspektive hat der Authentifizierungsprozess fünf Phasen:
- Sitzungsstart
- Eine Verifizierungssitzung wird für den Benutzer erstellt.
- ID-Dokumentenerfassung
- Der Benutzer scannt ein ID-Dokument.
- Gesichtserfassung
- Der Benutzer führt eine Live-Gesichtsprüfung durch.
- Vergleich und Validierung
- ID-Dokument und Gesichtsergebnisse werden anhand der konfigurierten Regeln bewertet.
- Ergebnis
- Der Authentifizierungsablauf endet mit Erfolg, Wiederholung oder Fehler.
Dieses Modell hilft Support-Teams, schnell zu erkennen, wo Benutzer feststecken.
Siehe die nächsten Abschnitte für häufige Benutzerprobleme und was zu überprüfen ist.
Benutzer können die Verifizierung nicht starten
Überprüfen:
- Specops Verified ID ist für den Kunden aktiviert
- Der Benutzer fällt in den Geltungsbereich der Richtlinie
- Erforderliche URLs müssen über die Firewall zugänglich sein, um die Verbindung zu Specops Authentication zu ermöglichen (siehe URL-Zulassungslisten).
Viele Benutzer scheitern beim Schritt der ID-Dokumentenerfassung
Überprüfen:
- Die Dokumentenabgleichsregeln sind nicht zu streng für Ihre Benutzergruppe
- Benutzer scannen unterstützte ID-Dokumenttypen
Viele Benutzer scheitern beim Schritt der Gesichtserfassung
Überprüfen:
- Kameraqualität und Lichtverhältnisse
- Modus der Lebendigkeitsverifizierung (aktiv vs. passiv)
- Gesichtserkennungsschwelle ist nicht zu aggressiv eingestellt
Benutzer berichten über zufällige Zeitüberschreitungen
Überprüfen:
- Erwartungen an die Sitzungsdauer in der Benutzeranleitung
- Netzwerkstabilität zwischen Benutzergeräten und Serviceendpunkten
- Ob Benutzer zu lange zwischen den Schritten pausieren
Speichern funktioniert, aber die Verifizierung schlägt immer noch fehl
Überprüfen:
- Eine neue Testsitzung wurde nach Konfigurationsänderungen verwendet
- Richtlinienzuweisungen umfassen die Zielbenutzer
Go-Live-Empfehlung
Vor einem breiten Rollout:
- Führen Sie einen Pilotversuch mit einer kleinen Benutzergruppe durch
- Messen Sie die Fehlergründe für ein bis zwei Wochen
- Passen Sie Schwellenwert und Abgleichsstrenge schrittweise an
- Veröffentlichen Sie eine Endbenutzeranleitung mit Screenshots und Wiederholungstipps
Übergabeinformationen für Eskalation
Bei Eskalation an technische Teams einschließen:
- Zeitpunkt des Fehlers
- Anzahl der betroffenen Benutzer
- Phase, in der Fehler auftreten (Start, ID-Dokument, Gesicht, Abschluss)
- Fehlermeldung, die den Benutzern angezeigt wird
- Ob das Problem clientweit oder auf einen Teilbereich beschränkt ist
Dies verkürzt die Zeit bis zur Lösung erheblich.