Specops uReset
Der Inhalt hier ist für uReset-Kunden gedacht, die den Authentication Gatekeeper (Version 8.0 oder höher) verwenden.
Specops uReset nutzt das auf Ansprüchen basierende Identitätsmodell, um flexible Multi-Faktor-Authentifizierung bereitzustellen, die die Sicherheit beim Zurücksetzen von Passwörtern stärkt und gleichzeitig die Auswirkungen auf Endbenutzer minimiert. Die Lösung erweitert die uReset-Funktionalität mit zusätzlichen Sprachen, Gatekeeper-Redundanz sowie der Möglichkeit, Anmeldungen auf das Office 365-Login zu erweitern, wenn die O365-Funktion aktiviert ist.
Zentrale Konzepte
Passwort zurücksetzen
Der Prozess des Änderns eines vergessenen Passworts. Ein Passwort zurücksetzen kann von einem Benutzer durchgeführt werden, der seine Identität mittels Multi-Faktor-Authentifizierung verifiziert hat. Der Benutzer kann seine Passwörter über das uReset-Web zurücksetzen, das von jedem (nicht veralteten) Webbrowser, einschließlich mobiler Telefonbrowser, zugänglich ist.
Authentifizierung
Authentifizierung ist der Prozess der Überprüfung der Identität eines Benutzers. Typischerweise erfordert dies, dass der Benutzer eine Behauptung über seine Identität macht, indem er seinen Benutzernamen und sein Passwort eingibt.
Anmeldung
Benutzer müssen sich bei Specops Authentication anmelden. Der Anmeldeprozess variiert je nach Art des Identitätsdienstes. Um sich bei einem persönlichen Identitätsdienst wie Google anzumelden, müssen Benutzer dem Link von der Specops-Webanwendung zur Google-Webseite folgen und sich mit der E-Mail-Adresse und dem Passwort anmelden, die mit ihrem Google-Konto verknüpft sind. Wenn sich ein Benutzer, der von einer uReset-Richtlinie betroffen ist, die Google nutzt, beim Dienst anmeldet, wird eine eindeutige Kennung im Benutzerobjekt in Active Directory gespeichert.
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung erfordert mehr als eine Authentifizierungsmethode aus unabhängigen Kategorien von Anmeldeinformationen: etwas, das Sie wissen (z. B. Passwort), etwas, das Sie haben (z. B. Mobilgerät), und etwas, das Sie sind (z. B. Fingerabdruck). Specops uReset geht über die Zwei-Faktor-Authentifizierung hinaus, indem es eine breite Palette von Identitätsdiensten unterstützt, die zur Erhöhung der Sicherheit und Flexibilität verwendet werden können. Die Lösung unterstützt nicht nur gängige Authentifikatoren wie Fragen und Antworten und mobile Bestätigungscodes, sondern auch verschiedene digitale Identitätsdienste, die von persönlichen Identitätsdiensten (z. B. LinkedIn) bis hin zu Unternehmensidentitätsdiensten (z. B. salesforce.com) reichen, zusätzlich zu Methoden mit höherem Vertrauen wie Smart Cards. Das Specops-Multi-Faktor-Authentifizierungsmodell ist dynamisch. Benutzer können auswählen, welche Identitätsdienste sie für die Anmeldung und Authentifizierung kombinieren möchten, solange sie die Anforderungen der Richtlinie erfüllen. Benutzer, die mit mehr Identitätsdiensten als für ihre Authentifizierung erforderlich angemeldet sind, haben die Wahl der Authentifizierung. Dies garantiert, dass Endbenutzer immer in der Lage sind, die Authentifizierungsrichtlinie zu erfüllen, selbst wenn ein Identitätsdienst nicht verfügbar ist (z. B. wenn ihr Mobiltelefon nicht in der Nähe ist).
Administratoren können basierend auf Rolle und Sicherheitsrichtlinie auswählen, welche Identitätsdienste/Authentifikatoren sie Endbenutzern zur Verfügung stellen möchten, um deren Identität beim Zurücksetzen oder Entsperren ihrer Konten zu überprüfen. Diese Flexibilität kann sicherstellen, dass unterschiedliche Sicherheits- und Flexibilitätsanforderungen erfüllt werden. Zum Beispiel:
- Für Benutzer mit einer niedrigen Sicherheitsfreigabe, aber einem hohen Flexibilitätsbedarf, wie Studenten, können IT-Administratoren ihnen erlauben, sich mit einigen persönlichen Identitätsdiensten wie ihrer Google-ID zu authentifizieren.
- Für Benutzer mit einer höheren Sicherheitsfreigabe, wie Finanzhilfeverwalter oder Führungskräfte auf hoher Ebene, können IT-Administratoren Richtlinien zuweisen, die eine höhere Anzahl oder eine stärkere Kombination von Identitätsdiensten erzwingen. Dieser Ansatz bietet Administratoren die Flexibilität, die sie benötigen, um Richtlinien durchzusetzen, die zu größerer Sicherheit und Effizienz führen.
Richtlinie
Eine Richtlinie enthält die Regeln, die für die Anmeldung und Multi-Faktor-Authentifizierung erforderlich sind. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele verwendet werden müssen, um die Identität von Endbenutzern zu überprüfen. Der Systemadministrator ist für die Konfiguration der Regeln in den Richtlinien verantwortlich.
Identitätsdienste
Identitätsdienste sind Authentifizierungsmethoden, die es Benutzern ermöglichen, ihre Identität in der Specops Cloud zu verifizieren.
Weitere Informationen finden Sie unter Specops Authentication Identitätsdienste.
Architektur und Design
Specops uReset ist nativ in Active Directory integriert. Die Konfiguration des Systems erfolgt über Gruppenrichtlinien, ohne zusätzliche Komplexität in Ihre Umgebung einzuführen. Das bedeutet, dass keine externe Datenbank erforderlich ist, um passwortbezogene Informationen zu speichern. Benutzerdaten werden direkt in Gruppenrichtlinien-Benutzerobjekten gespeichert, was das Sicherheitsrisiko minimiert und eine inhärente Echtzeit-Passwortbereitstellung gewährleistet.
Specops uReset besteht aus den folgenden Komponenten und erfordert keine zusätzlichen Ressourcen in Ihrer Umgebung. Das Authentifizierungs-Backend, das Web und die Identitätsdienste werden in der Cloud gehostet. Sie müssen nur die Gatekeeper-Komponente installieren.
Authentication Cloud: Die globale Cloud-Komponente von uReset, die Authentication Cloud, enthält das Web (Frontend für Endbenutzer) und die Backend-Dienste.
Authentication Web: Enthält das Frontend für Endbenutzer und Administratoren. Das Authentication Web kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten, einschließlich systemweiter Konfigurationen und Multi-Faktor-Authentifizierungsrichtlinien für verschiedene Ressourcen, einschließlich uReset.
Authentication Backend: Um Benutzerinformationen aus Active Directory zu lesen, kommuniziert das Backend mit dem Gatekeeper. Das Web und die Identitätsdienste kommunizieren ebenfalls mit dem Backend. Das Authentifizierungs-Backend validiert die Identität eines Benutzers basierend auf den Tokens der einzelnen Identitätsdienste.
Gatekeeper: Der Gatekeeper muss auf einem Server in Ihrer Domäne installiert werden. Der Gatekeeper liest Benutzerinformationen aus Active Directory und verwaltet alle Vorgänge gegen Active Directory, wie das Lesen/Schreiben von Anmeldedaten.
Identitätsdienste: Eine Entität, die die Identität eines Benutzers in uReset validieren kann. Die Tokens der einzelnen Identitätsdienste werden vom Backend verwendet, um die Identität eines Benutzers zu validieren.
Einige der Identitätsdienste, die während der Authentifizierung verwendet werden, wie Google, sind extern. Wenn ein externer Identitätsdienst verwendet wird, wird der Benutzer zum Identitätsdienst gesendet und gebeten, Specops die Zustimmung zu erteilen, auf seine persönlichen Informationen, wie seinen Benutzernamen, zuzugreifen. Die Informationen aus der Zustimmung ermöglichen die Erstellung des Tokens, das zur Authentifizierung verwendet wird.
Token: Ein Token oder ein Sicherheitstoken ist ein Träger von Informationen über einen Benutzer und über den Aussteller des Tokens. Die Informationen über einen Benutzer sind eine Reihe von Aussagen. Die Behauptungen über einen Benutzer können beispielsweise der Name des Benutzers, die ID des Kunden, zu dem er gehört, und welche Rollen ein Benutzer in seiner Organisation hat, sein.
Hinweis
Keine persönlich identifizierbaren Daten oder Passwörter sind in den Tokens enthalten.
Funktionen und Fähigkeiten
Berichterstattung
Die uReset-Berichterstattungsfunktion ermöglicht es Ihnen, Ihren Anmeldeprozess zu verfolgen und bietet mehrere Berichte über Anmeldungen, Ereignisse und die Nutzung von Identitätsdiensten.
Anpassungen
Die uReset-Webanwendung enthält mehrere Anpassungsfunktionen, die Ihnen die Kontrolle über die Specops uReset-Endbenutzeroberfläche geben. Sie können die grafischen Elemente der Specops uReset-Webanwendung einschließlich des Hauptlogos anpassen. Sie können auch den Text anpassen, der dem Endbenutzer in allen unterstützten Sprachen angezeigt wird.
Ereignisbenachrichtigungen
Specops uReset enthält mehrere Benachrichtigungsoptionen, um Benutzer daran zu erinnern, sich anzumelden und zur Selbstbedienung zu ermutigen. Die Benachrichtigungsmethode wird über GPO-Einstellungen gesteuert. Specops uReset unterstützt E-Mail- und SMS-Benachrichtigungen, wenn bestimmte Systemereignisse auftreten, wie z. B. wenn sich ein Benutzer beim System anmeldet. Specops uReset hat die Fähigkeit, E-Mails an Endbenutzer zu generieren und zu senden, um zu bestätigen, dass der Vorgang erfolgreich war.
Gewichtete Identitätsdienste
Die uReset-Multi-Faktor-Authentifizierungs-Engine ermöglicht es dem Administrator, jedem Identitätsdienst ein spezifisches Gewicht zuzuweisen, letztendlich zu entscheiden, dass ein Identitätsdienst doppelt so viel wert ist wie ein anderer während der Authentifizierung. In den Benutzeroberflächen, sowohl für die Endbenutzer als auch für den Administrator, werden die Gewichte durch Sterne dargestellt.
Multifaktor-Authentifizierung für Administratoren und Helpdesk-Benutzer
Benutzer, die Teil der Administratoren- und Helpdesk-Gruppe sind, können die Multifaktor-Authentifizierung verwenden, um ihre Identität zu überprüfen, wenn sie auf die Administrator-/Benutzerverwaltungsseiten im Authentication Web zugreifen.
Zwischengespeicherte Anmeldeinformationen: Ein Passwort aus der Ferne zurücksetzen
Wenn ein Benutzer nicht im Büro ist und sein Passwort vergisst, muss er in der Lage sein, es zurückzusetzen, ohne ins Büro zurückzukehren.
Unter normalen Umständen, wenn sich ein Benutzer an einem domänenverbundenen Computer im Büro anmeldet, wird eine zwischengespeicherte Kopie seines Passwort-Hashes lokal gespeichert. Dies ermöglicht es dem Computer, den Benutzer zu verifizieren, auch wenn ein Domänencontroller für die Authentifizierung nicht erreichbar ist.
Wenn der Benutzer jedoch nicht im Büro ist, sein Active Directory-Passwort zurücksetzt und ein Domänencontroller nicht erreichbar ist, wird das neue Passwort nicht im Cache auf dem lokalen Computer vorhanden sein. In diesem Szenario wird ein Benutzer, der sein altes Passwort vergessen hat, von seinem Computer ausgesperrt.
Specops uReset und Specops Password Reset können die zwischengespeicherten Anmeldeinformationen aktualisieren, selbst wenn ein Domänencontroller nicht erreichbar ist. Dies kann über den Passwort zurücksetzen-Link auf dem Anmeldebildschirm eines Computers erfolgen, auf dem der Specops-Client installiert ist.
Mobile Anwendungen
uReset enthält eine mobile Anwendung, die im Windows Store, Google Play und App Store verfügbar ist und als sichere Alternative zum Zurücksetzen von Passwörtern und Entsperren von Konten verwendet werden kann. Die mobile App steht jeder Organisation zur Verfügung, die es Benutzern erlaubt, ihr Passwort aus der Ferne zurückzusetzen:
- Specops Password Reset
Die folgenden mobilen Anwendungen werden in Specops Authentication Identitätsdienste näher beschrieben:
- Specops:ID
- Specops Authenticator (wird ausgemustert, es wird empfohlen, Specops:ID zu verwenden)
- Specops Fingerprint (wird ausgemustert, es wird empfohlen, Specops:ID zu verwenden)