Specops Verified ID

Specops Verified ID ermöglicht es Organisationen, Benutzeridentitäten sicher mit behördlich ausgestellten Ausweisdokumenten zu verifizieren. Während der Verifizierung scannt der Benutzer ein Identitätsdokument (ID) wie einen Reisepass, eine nationale ID-Karte oder einen Führerschein und führt eine Live-Selfie-Überprüfung durch. Das System vergleicht das Foto auf dem Identitätsdokument mit der Live-Aufnahme, um zu bestätigen, dass der Benutzer physisch anwesend ist und mit dem Dokumentinhaber übereinstimmt. Verifizierte Attribute aus dem Identitätsdokument, einschließlich Name und Geburtsdatum, werden dann mit dem in Active Directory bereitgestellten Benutzerdatensatz validiert.

Specops Verified ID unterstützt eine breite Palette von weltweit verwendeten behördlich ausgestellten Identitätsdokumenten.

Ein wichtiger Anwendungsfall für Specops Verified ID ist die Verifizierung des Secure Service Desk. Benutzer, die den Service Desk in Organisationen anrufen, die Specops Secure Service Desk verwenden, können ihre Identität mit behördlich ausgestellten Ausweisdokumenten verifizieren, sodass Service Desk-Agenten die Identität des Anrufers sicher bestätigen können, bevor sie kontobezogene Aktionen durchführen.

Specops Verified ID kann auch verwendet werden, um neue Mitarbeiter sicher zu integrieren, indem ihre Identität bei der Festlegung ihres First Day Password verifiziert wird.

Specops Verified ID ist für Endbenutzer über die Specops:ID Mobile App, die für iOS und Android verfügbar ist, oder über einen Standard-Webbrowser zugänglich. Mit der Specops:ID Mobile App können sich Benutzer mit behördlich ausgestellten Ausweisdokumenten über Specops Verified ID oder andere Authentifizierungsfaktoren registrieren. Die Registrierung verwendet die biometrischen Daten des mobilen Geräts (Fingerabdruck oder Gesichtserkennung) oder eine Geräte-PIN, um die registrierte Authentifizierungsmethode zu sichern.

Mit dem Webbrowser-Flow können Benutzer die Identitätsverifizierung und Authentifizierung abschließen, ohne die Specops:ID Mobile App zu verwenden. Wenn der Webbrowser-Flow auf einem Desktop-Gerät gestartet wird, muss der Benutzer zu einem mobilen Gerät wechseln, um das ID-Dokument zu scannen und die Gesichtserkennung durchzuführen, da die Qualität der Desktop-Webkamera im Allgemeinen nicht ausreicht, um eine zuverlässige Verifizierung zu gewährleisten.

Konfiguration von Specops Verified ID

Um Specops Verified ID zum ersten Mal einzurichten:

Melden Sie sich bei Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
Wählen Sie in der linken Seitenleiste Identitätsservices und dann Specops Verified ID.
Wählen Sie unter Verifizierungsmethode aus, wie Benutzer ihre Identität mit Specops Verified ID verifizieren sollen.
- Specops:ID App: Benutzer verifizieren ihre Identität mit der Specops:ID Mobile App.
- Webbrowser: Benutzer verifizieren ihre Identität über einen Webbrowser.
- Beide: Benutzer können zwischen den beiden Methoden wählen.
Gehen Sie zu Dokumenteinstellungen.
1. Wählen Sie unter Namensabgleich ein Namensähnlichkeitsgrad, um zu steuern, wie viel Variation zwischen dem Namen des Benutzers in Active Directory oder Entra ID und dem Namen auf dem ID-Dokument erlaubt ist. Dies ist nützlich, wenn beim Scannen ein Buchstabe fehlt oder wenn der Kontoname einen Rechtschreibfehler enthält.
  - Exakte Übereinstimmung: Namen müssen identisch sein.
  - Strikte Übereinstimmung: Nur sehr kleine Unterschiede. Dies ist die empfohlene Einstellung.
  - Ungefähre Übereinstimmung: Moderate Toleranz für häufige Rechtschreibvariationen und kleine Tippfehler.
  - Lockere Übereinstimmung: Höchste Toleranz; erlaubt mehr Variation, erhöht jedoch die Wahrscheinlichkeit, dass ähnlich aussehende Namen übereinstimmen, die nicht zur gleichen Person gehören.
    
    Hinweis
    
    Der Name des Benutzers in Active Directory oder Entra ID kann sich vom rechtlichen Namen auf dem ID-Dokument unterscheiden. Diese Diskrepanz kann dazu führen, dass der ID-Dokumentenerfassungsschritt fehlschlägt. Siehe Überlegungen zu Abgleichsregeln, um zu erfahren, wie dies behoben werden kann.
2. Aktivieren Sie unter Geburtsdatum-Abgleich Benutzer am Geburtsdatum abgleichen, um das Geburtsdatum des Benutzers mit dem Geburtsdatum auf dem ID-Dokument zu vergleichen. Wenn aktiviert, wählen Sie mindestens eine Geburtsdatumregel: Jahr oder Monat & Tag.
  
  Hinweis
  
  Bevor Geburtsdatum-Abgleich verwendet wird, müssen Benutzer mit einem Geburtsdatum vorregistriert sein. Siehe Überlegungen zu Abgleichsregeln für weitere Informationen.
Gehen Sie zu Gesichtseinstellungen.
1. Wählen Sie unter Lebendigkeitsverifizierung eine der folgenden Optionen, um zu überprüfen, dass der Benutzer physisch vor der Kamera anwesend ist:
  - Aktive Verifizierung: Strenger und hilft, das Spoofing-Risiko zu reduzieren.
  - Passive Verifizierung: Einfacher für Benutzer, aber möglicherweise weniger streng.
    
    Hinweis
    
    Es wird empfohlen, mit der aktiven Verifizierung zu beginnen, es sei denn, Ihre Organisation hat einen triftigen Grund, dies nicht zu tun.
2. Passen Sie unter Gesichtsabgleich den Ähnlichkeitsprozentsatz für den Gesichtssimilaritätsschwellenwert an. Der Schwellenwert wird verwendet, wenn eine Live-Aufnahme eines Benutzers mit seinem ID-Dokumentfoto verglichen wird.
  - Höherer Schwellenwert: Stärkere Sicherheit, potenziell mehr falsche Ablehnungen.
  - Niedrigerer Schwellenwert: Reibungslosere Benutzererfahrung, potenziell schwächere Übereinstimmung.
    
    Hinweis
    
    Es wird empfohlen, zunächst den Standardwert zu verwenden und ihn dann basierend auf realen Support-Ergebnissen anzupassen.
Speichern Sie die Konfiguration und bestätigen Sie, dass das Speichern erfolgreich war.
Führen Sie einen echten End-to-End-Test mit einem Testbenutzer durch, siehe Authentifizierung mit Specops Verified ID.

Überlegungen zu Abgleichsregeln

Namensabgleich

Der Name des Benutzers in Active Directory oder Entra ID kann sich vom rechtlichen Namen unterscheiden, der für die Identitätsverifizierung verwendet wird. Zum Beispiel kann "John Doe" im Verzeichnis erscheinen, während "Jonathan Doe" der rechtliche Name des Benutzers auf seinem ID-Dokument ist. Diese Diskrepanz kann dazu führen, dass der ID-Dokumentenerfassungsschritt fehlschlägt. Um dies zu beheben:

Für Active Directory-Benutzer verwenden Sie eine der folgenden Methoden:
- Verwenden Sie das PowerShell-Cmdlet, um den rechtlichen Namen für den Vergleich während der Authentifizierung zu registrieren:
```
Add-SAVerifiedIdEnrollment `
  -Username <USERNAME> `
  -LegalName <LEGALNAME>
```
- Verwenden Sie das PowerShell-Cmdlet, um den rechtlichen Namen zu entfernen:
```
Remove-SAVerifiedIdEnrollment `
  -Username <USERNAME> `
  -ClearLegalName
```
- Alternativ können Sie sich vom Secure Service Desk registrieren. Für weitere Informationen siehe Verwaltung von Specops Verified ID-Registrierungen.
Für Entra ID-Benutzer registrieren Sie sich vom Secure Service Desk. Für weitere Informationen siehe Verwaltung von Specops Verified ID-Registrierungen.

Geburtsdatum-Abgleich

Während Namensabgleich immer als Abgleichsregel verwendet wird, erfordert Geburtsdatum-Abgleich, dass Benutzer mit einem Geburtsdatum vorregistriert sind.

Verwenden Sie das folgende PowerShell-Cmdlet, um ein Geburtsdatum vorab zu registrieren:

Add-SAVerifiedIdEnrollment `
  -BirthYear <BIRTHYEAR> `
  -BirthMonth <BIRTHMONTH> `
  -BirthDay <BIRTHDAY>

Verwenden Sie das folgende PowerShell-Cmdlet, um das Geburtsdatum zu entfernen:

Remove-SAVerifiedIdEnrollment `
  -ClearBirthYear
  -ClearBirthMonthAndDay

Hinweis

Der Geburtsdatumwert wird in Active Directory als verschlüsselter Hash gespeichert, nicht als tatsächliches Datum.

Authentifizierung mit Specops Verified ID

Wenn Sie die Specops:ID Mobile App zur Authentifizierung verwenden, stellen Sie sicher, dass sie auf Ihrem mobilen Gerät installiert ist.

Nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben, wählen Sie Specops Verified ID als Identitätsdienst.
Ein QR-Code wird in Specops Authentication Web angezeigt, abhängig von der Verifizierungsmethode:
- Wenn Sie sich über die Specops:ID Mobile App authentifizieren, scannen Sie den QR-Code mit Specops:ID und tippen Sie auf Fortfahren.
- Wenn Sie sich über einen Webbrowser auf Ihrem Computer authentifizieren, scannen Sie den QR-Code mit Ihrem mobilen Gerät und öffnen Sie den Link in Ihrem mobilen Webbrowser.
- Wenn Sie sich über einen Webbrowser auf Ihrem mobilen Gerät authentifizieren, verwenden Sie Tippen, um die Verifizierung zu starten.
Befolgen Sie die Anweisungen, um Ihr ID-Dokument mit der Kamera zu scannen.
Um die Lebendigkeit zu überprüfen, befolgen Sie die Anweisungen und machen Sie ein Selfie mit der Kamera.
Nach erfolgreicher Authentifizierung werden Sie in Ihr Windows-Konto eingeloggt.

Fehlerbehebung

Aus Support-Perspektive hat der Authentifizierungsprozess fünf Phasen:

Sitzungsstart
- Eine Verifizierungssitzung wird für den Benutzer erstellt.
ID-Dokumentenerfassung
- Der Benutzer scannt ein ID-Dokument.
Gesichtserfassung
- Der Benutzer führt eine Live-Gesichtskontrolle durch.
Vergleich und Validierung
- ID-Dokument- und Gesichtsergebnisse werden anhand der konfigurierten Regeln bewertet.
Ergebnis
- Der Authentifizierungsablauf endet mit Erfolg, Wiederholung oder Misserfolg.

Dieses Modell hilft Support-Teams, schnell zu erkennen, wo Benutzer feststecken.

Siehe die nächsten Abschnitte für häufige Benutzerprobleme und was zu überprüfen ist.

Benutzer können die Verifizierung nicht starten

Überprüfen:

Specops Verified ID ist für den Kunden aktiviert
Der Benutzer ist im Geltungsbereich der Richtlinie
Erforderliche URLs müssen über die Firewall zugänglich sein, um die Verbindung zu Specops Authentication zu ermöglichen (siehe URL-Zulassungslisten).

Viele Benutzer scheitern beim ID-Dokumentenerfassungsschritt

Überprüfen:

Dokumentenabgleichsregeln sind nicht zu streng für Ihre Benutzerpopulation
Benutzer scannen unterstützte ID-Dokumenttypen

Viele Benutzer scheitern beim Gesichtserfassungsschritt

Überprüfen:

Kameraqualität und Lichtverhältnisse
Lebendigkeitsverifizierungsmodus (aktiv vs. passiv)
Gesichtserfassungsschwelle ist nicht zu aggressiv eingestellt

Benutzer berichten über zufällige Zeitüberschreitungen

Überprüfen:

Sitzungslängenerwartungen in der Benutzeranleitung
Netzwerkstabilität zwischen Benutzergeräten und Dienstendpunkten
Ob Benutzer zu lange zwischen den Schritten pausieren

Speichern funktioniert, aber die Verifizierung schlägt trotzdem fehl

Überprüfen:

Eine neue Testsitzung wurde nach Konfigurationsänderungen verwendet
Richtlinienzuweisungen umfassen die Zielbenutzer

Go-Live-Empfehlung

Vor einem breiten Rollout:

Führen Sie einen Pilotversuch mit einer kleinen Benutzergruppe durch
Messen Sie die Fehlerursachen für ein bis zwei Wochen
Passen Sie Schwellenwert und Abgleichsstrenge schrittweise an
Veröffentlichen Sie Endbenutzeranleitungen mit Screenshots und Wiederholungstipps

Übergabeinformationen für Eskalationen

Bei Eskalationen an technische Teams einschließen:

Zeitpunkt des Fehlers
Anzahl der betroffenen Benutzer
Phase, in der Fehler auftreten (Start, ID-Dokument, Gesicht, Abschluss)
Fehlermeldung, die den Benutzern angezeigt wird
Ob das Problem clientweit oder auf einen Teil beschränkt ist

Dies verkürzt die Zeit bis zur Lösung erheblich.