Übersicht

Der Inhalt dieses Kapitels gilt für uReset-Kunden, die den Authentication Gatekeeper (Version 8.0 oder höher) verwenden.

Specops uReset nutzt das anforderungsbasierte Identitätsmodell, um eine flexible Multi-Faktor-Authentifizierung zu ermöglichen, die die Sicherheit beim Zurücksetzen von Kennwörtern erhöht und gleichzeitig die Auswirkungen auf die Endnutzer minimiert. Die Lösung erweitert den Funktionsumfang von uReset um zusätzlichen Sprachen, Gatekeeper-Redundanz sowie die Möglichkeit, Registrierungen auf die Office 365-Anmeldung zu erweitern, wenn O365 aktiviert ist.

Zentrale Konzepte


Passwortzurücksetzung

Der Prozess der Änderung eines vergessenen Kennworts. Ein Kennwort-Reset kann von einem Benutzer durchgeführt werden, der seine Identität mit Hilfe der Multi-Faktor-Authentifizierung nachgewiesen überprüft hat. Der Benutzer kann seine Kennwörter über die uReset-Website zurücksetzen, auf die er selbst mit einem mobilen Telefon-Webbrowser aus zugreifen kann,

Multi-Faktor-Authentifizierung

Specops uReset geht noch über die Zwei-Faktor-Authentifizierung hinaus, indem es eine breite Palette von Identitätsdiensten unterstützt, die zur Erhöhung der Sicherheit und Flexibilität beim Zurücksetzen von Kennwörtern verwendet werden können. Diese Lösung unterstützt nicht nur gängige Authentifikatoren wie Fragen und Antworten sowie mobile Verifizierungscodes, sondern auch diverse digitale Identitätsdienste, die von persönlichen (z.B LinkedIn) bis zu Unternehmensidentitätsdiensten (z. B. salesforce.com) reichen, sowie vertrauenswürdige Methoden wie SmartCards. Der Helpdesk kann auch die Multifaktor-Authentifizierung verwenden, wenn er Benutzer bei der Entsperrung ihres Kontos und/oder der Zurücksetzung ihres Kennworts unterstützt, indem er sie auffordert, ihre registrierten Identitätsdienste zu verwenden, um ihre Identität zu verifizieren.

IT-Administratoren können auf der Grundlage von Rollen und Sicherheitsrichtlinien auswählen, welche Identitätsdienste/Authentifikatoren sie auf Endnutzer ausweiten möchten, deren Identität sie zum Zurücksetzen oder Entsperren ihrer Konten überprüfen müssen. Diese Flexibilität gewährleistet, dass unterschiedliche Sicherheits- und Flexibilitätsanforderungen erfüllt werden können. Zum Beispiel:

  • Benutzern mit niedriger Sicherheitsfreigabe, aber hohem Flexibilitätsbedarf, wie z. B. Studenten, können IT-Administratoren erlauben, sich mit mehreren persönlichen Identitätsdiensten wie ihrer Google- und Facebook-ID zu authentifizieren.
  • Benutzern mit einer höheren Sicherheitsfreigabe, z. B. Administratoren von Finanzhilfen oder leitenden Angestellten, können IT-Administratoren Richtlinien zuweisen, die eine höhere Anzahl oder eine stärkere Kombination von Identitätsdiensten erzwingt. Dieser Ansatz bietet Administratoren die benötigte Flexibilität, um Richtlinien durchzusetzen, die zu mehr Sicherheit und Effizienz führen.

Identitätsservices

Mit Identitätsdiensten können sich die Benutzer bei der Anmeldung sicher identifizieren. Die Identitätsdienste lassen sich in mehrere Kategorien einteilen, darunter: Benutzername und Kennwort, soziale Dienste ( Facebook, LinkedIn, Tumblr) und Dienste mit höherem Vertrauensstatus ( Google Authenticator, Microsoft authentic, Duo Security).

Um mehrere Identitätsdienste zur Authentifizierung von Benutzern zu verwenden, müssen diese in der Verwaltungskonsole konfiguriert (aktiviert) werden, und der von der uReset-Richtlinie betroffene Benutzer muss sich beim uReset-Dienst registrieren. Sobald sich ein Benutzer angemeldet hat, kann er sein Kennwort über die uReset-Webanwendung zurücksetzen (über einen Hyperlink auf dem Anmeldebildschirm oder in jedem modernen Browser). Specops uReset verwendet Daten von Benutzerobjekten in Active Directory zum Lesen und Schreiben von im System verwendeten Informationen.

Folgende Identitätsdienste können zur Authentifizierung von Benutzern in Specops uReset verwendet werden:

Überblick über die Identitätsdienste

Nachstehend finden Sie eine Liste aller in Specops Authentication verfügbaren Identitätsdienste.

Standard

  • Specops Fingerprint: Specops Fingerprint ermöglicht die Registrierung und Authentifizierung von Benutzern über Geräte mit Fingerabdruck-Scannern, wie Smartphones und Tablets. Die Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Zur Nutzung dieses Identitätsdienstes müssen die Benutzer die App auf ihrem Mobilgerät installiert haben.
  • Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Die Benutzer scannen dafür einen QR-Code oder beantworten eine Geheimfrage. Specops Authenticator sendet den Benutzern dann ein sechsstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Mobile Code (SMS): Die Benutzer erhalten per SMS ein einmaliges sechsstelliges Kennwort, das sie für ihre Authentifizierung eingeben müssen.
  • E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail erfordert keine Registrierung, da es auf die E-Mail-Adresse im E-Mail-Attribut in AD verweist (oder auf ein anderes Attribut, falls überschrieben); es kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind.
  • : Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. muss bei der Anmeldung vom Benutzer registriert werden. Dazu kann er eine beliebige E-Mail-Adresse seiner Wahl verwenden.
  • Vertrauenswürdige Netzwerkstandorte: Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, mit dem Administratoren bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte freigeben können.
  • Manager-Identifizierung: Wenn sich ein Benutzer mit Manager-Identifizierung authentifiziert, wird eine E-Mail oder SMS an seinen Vorgesetzten gesendet. Der Vorgesetzte muss dann den Authentifizierungsantrag genehmigen. Administratoren können die gesendete Benachrichtigung individuell anpassen, indem sie ihr benutzerdefinierte Informationen hinzufügen. Zur Nutzung von Manager-Identifizierung muss dem jeweiligen Benutzer ein Manager in Active Directory zugewiesen sein, und die Manager-Konten müssen eine mit ihrem Profil verknüpfte E-Mail-Adresse/Mobiltelefonnummer haben, um Authentifizierungsanfragen von Benutzern erhalten zu können.
  • Geheimfragen: Die Benutzer können Fragen aus einer vorgegebenen Liste auswählen und ihre Antworten darauf registrieren. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.

3. Parteien

HINWEIS
In den meisten Fällen müssen Registrierungen über externe Identitätsdienste von den Benutzern individuell betrieben werden.
  • PingID: Mit PingID können sich Benutzer über die Mobil-App PingID authentifizieren.
  • Duo Security: Mit Duo Security können sich Benutzer über die Mobil-App Duo Security authentifizieren.
  • Freja: Mit Freja können sich Benutzer über die Mobil-App Freja authentifizieren.
  • Okta Benutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren. Dies kann über die Okta-App und durch Versenden von Codes per Textnachricht geschehen.
  • Symantec VIP: Benutzer können sich mit der mobilen Symantec VIP-App authentifizieren.
  • Google Authenticator: Google Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • Microsoft Authenticator: Microsoft Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
  • EFOS/SITHS (Schweden): EFOS/SITHS ist ein Smartcard-basierter Authentifizierungsdienst, mit dem sich Mitarbeiter (z. B. medizinisches Personal) von Behörden, Gemeinden und Kreisräten in Schweden elektronisch identifizieren können.
  • Mobile BankID (Schweden): Benutzer, die über die Mobile BankID-App verfügen, können damit ihre Identität verifizieren.
    HINWEIS
    Benutzer müssen einen QR-Code in der Mobile BankID-App scannen, um sich mit diesem Identitätsdienst zu authentifizieren.
  • Yubikey: Der Yubikey ist ein Hardware-Authentifizierungsgerät. Benutzer können sich authentifizieren, indem sie Einmal-Kennwörter (OTP) mit ihrem Yubikey generieren (nur wenn der Yubikey Yubico OTP als Sicherheitsfunktion unterstützt). Weitere Informationen zu Yubikeyfinden Sie auf der Yubikey-Seite.

Föderiert

  • Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
  • Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live-Anmeldedaten werden für die Anmeldung bei der Microsoft Cloud verwendet. Dazu gehören: Outlook, Office Online, OneDrive, Skype, Xbox Live und der Microsoft Store.
  • LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.

Registrieren

Die Benutzer müssen sich beim uReset-Dienst registrieren. Das Registrierverfahren ist für jede Art von Identitätsdienst unterschiedlich. Zur Registrierung bei einem persönlichen Identitätsdienst wie z. B. Google, muss der Benutzer dem Link von der Specops uReset-Webanwendung zur Google-Webseite folgen und sich mit der mit seinem Google-Konto verbundenen E-Mail-Adresse und seinem Kennwort anmelden. Wenn ein Nutzer von einer uReset-Richtlinie betroffen ist, die Google verwendet, wird ein eindeutiger Identifikator für das Benutzerobjekt in Active Directory gespeichert.

Richtlinie

Eine Richtlinie enthält die zur Registrierung und Multi-Faktor-Authentifizierung erforderlichen Regeln. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele davon zur Überprüfung der Identität eines Benutzers verwendet werden müssen. Der Systemeigentümer ist für die Konfiguration der Regeln in den Richtlinien verantwortlich.

Architektur und Design


Specops uReset ist vollständig in Active Directory integriert. Die Konfiguration des Systems erfolgt mithilfe von Gruppenrichtlinien, ohne dass Ihre Umgebung dadurch komplexer wird. Dies bedeutet, dass keine externe Datenbank erforderlich ist, um kennwortbezogene Informationen zu speichern. Die Benutzerdaten werden direkt in den Benutzerobjekten der Gruppenrichtlinien gespeichert, was das Sicherheitsrisiko minimiert und gleichzeitig die Bereitstellung von Kennwörtern in Echtzeit gewährleistet.

Specops uReset besteht aus folgenden Komponenten und erfordert keine zusätzlichen Ressourcen in Ihrer Umgebung. Das Authentifizierungs-Backend sowie die Web- und Identitätsdienste werden in der Cloud gehostet. Sie müssen nur die Gatekeeper-Komponente installieren.

Alt-Text für dieses Bild

Authentication Cloud: Die globale Cloud-Komponente von uReset, die Authentifizierungs-Cloud, enthält die Web- (Front-End für Endbenutzer) und die Back-End-Dienste.

Authentication Web: Enthält das Front-End für die Endnutzer und Administratoren. Authentication Web kann verwendet werden, um Systeminformationen anzuzeigen und verschiedene Aspekte des Produkts zu verwalten. Dazu gehören die systemweiten Konfigurationen und Richtlinien für die Multi-Faktor-Authentifizierung für verschiedene Ressourcen einschließlich uReset.

Authentication Backend: Um Benutzerinformationen aus Active Directory zu lesen, kommuniziert das Backend mit dem Gatekeeper. Auch die Web- und Identitätsdienste kommunizieren mit dem Backend. Das Authentifizierungs-Backend validiert die Identität eines Benutzers auf der Grundlage der Token der einzelnen Identitätsdienste.

Gatekeeper: Der Gatekeeper muss auf einem Server in Ihrer Domain installiert werden. Der Gatekeeper liest Benutzerinformationen aus dem Active Directory und verwaltet alle Operationen mit dem Active Directory, wie z. B. das Lesen und Schreiben von Anmeldedaten.

Identitätsdienste: Eine Einrichtung, die die Identität eines Benutzers in uReset. Die Token der jeweiligen Identitätsdienste werden vom Backend verwendet, um die Identität eines Benutzers zu überprüfen.

Einige zur Authentifizierung verwendeten Identitätsdienste wie Facebook oder Google sind extern. Wenn ein externer Identitätsdienst verwendet wird, wird der Benutzer an diesen weitergeleitet und gebeten, Specops die Zustimmung zum Zugriff auf persönlichen Daten von ihm, wie z. B. seinen Benutzernamen, zu geben. Die nach dieser Einwilligung freigegebenen Informationen ermöglichen die Erstellung des Tokens zur Authentifizierung.

Token: Ein Token oder ein Sicherheits-Token ist ein Träger von Informationen über einen Nutzer sowie den Aussteller des Tokens. Die Benutzerinformationen sind eine Reihe von Angaben. Diese Benutzerangaben können z. B. der Name des Benutzers, die ID des Kunden, zu dem er gehört, und die Rollen sein, die er Benutzer in seiner Organisation hat.

Hinweis: Die Token selbst enthalten keine personenbezogenen Daten oder Kennwörter.

Merkmale und Fähigkeiten


Berichterstattung

Mit der uReset-Berichtsfunktion können Sie Ihren Anmeldeprozess nachverfolgen und erhalten verschiedene Berichte über Registrierungen, Ereignisse und die Nutzung von Identitätsdiensten.

Individuelle Anpassungen

Die uReset-Webanwendung enthält mehrere Anpassungsfunktionen, mit denen Sie die Kontrolle über die Specops uReset-Endbenutzer-Schnittstelle erhalten. Sie können verschiedene grafische Elemente der Specops uReset-Webanwendung anpassen, einschließlich des Hauptlogos und des Hauptstils (Sie können Ihre eigenen Stile mit Hilfe eines benutzerdefinierten Bootstrap-CSS einrichten). Sie können außerdem den Text in allen unterstützten Sprachen anpassen, der dem Endnutzer angezeigt wird.

Benutzermanagement

Über das Menü Benutzerverwaltung können die Konten der Benutzer verifiziert werden, indem einer der registrierten Identitätsdienste verwendet wird oder indem eine Textnachricht mit einem Code an das Mobiltelefon des Benutzers gesendet wird. Sobald ein Benutzer verifiziert wurde, kann der Helpdesk ein neues Kennwort für ihn festlegen und ihn auffordern, sein Kennwort bei der nächsten Anmeldung zu ändern.

Ereignis-Benachrichtigungen

Specops uReset enthält mehrere Benachrichtigungsoptionen, um die Nutzer an die Registrierung zu erinnern und die Selbstverwaltung zu fördern. Die Benachrichtigungsmethode wird über die GPO-Einstellungen gesteuert. Specops uReset unterstützt E-Mail- und SMS-Benachrichtigungen bei bestimmten Systemereignissen, z. B. wenn sich ein Benutzer im System registriert. Specops uReset kann E-Mails generieren und an die Endnutzer senden, um zu bestätigen, dass der Vorgang erfolgreich war.

Gewichtung der Identitätsdienste

Die uReset-Multi-Faktor-Authentifizierungs-Engine ermöglicht es dem Administrator, jedem Identitätsdienst eine bestimmte Gewichtung zuzuweisen und zu entscheiden, ob ein Identitätsdienst bei der Authentifizierung doppelt so viel wert ist wie ein anderer. In den Benutzeroberflächen sowohl für die Endnutzer als auch für den Administrator wird die Gewichtung durch Sterne dargestellt.

Multifaktor-Authentifizierung für Administratoren und Helpdesk-Benutzer

Die Benutzer der Administratoren- und Helpdesk-Gruppe können die Multi-Faktor-Authentifizierung verwenden, um ihre Identität zu verifizieren, wenn sie auf die Administrator-/Benutzerverwaltungsseiten von Authentication Web gehen.

Zwischengespeicherte Berechtigungsnachweise: Ein Kennwort aus der Ferne zurücksetzen

Wenn ein Benutzer nicht im Büro ist und sein Kennwort vergisst, muss er es zurücksetzen können, ohne ins Büro zurückkehren zu müssen.

Wenn sich ein Benutzer im Büro an einem mit der Domain verbundenen Computer anmeldet, ist normalerweise eine zwischengespeicherte Kopie des Kennwort-Hashes lokal gespeichert. Dadurch kann der Computer den Benutzer verifizieren, auch wenn kein Domain-Controller zur Authentifizierung erreicht werden kann.

Wenn der Benutzer jedoch nicht im Büro ist, sein Active Directory-Kennwort zurücksetzt und kein Domain-Controller erreicht werden kann, ist das neue Kennwort nicht im Cache auf dem lokalen Computer vorhanden. In diesem Szenario wird ein Benutzer, der sein altes Kennwort vergessen hat, von seinem Computer ausgesperrt.

Specops uReset und Specops Password Reset können die zwischengespeicherten Anmeldeinformationen auch dann aktualisieren, wenn kein Domain-Controller erreicht werden kann. Dies kann über den Link Kennwort zurücksetzen auf dem Anmeldebildschirm eines Rechners erfolgen, auf dem Specops Authentication Client installiert ist.

Mobile Anwendungen

Specops Authenticator

Die Specops Authenticator-App ist ein hochgradig vertrauenswürdiger Identitätsdienst, der das mobile Gerät in ein sicheres Token-Gerät verwandelt. Die App generiert einen geheimen Code, den die Nutzer zusätzlich zu ihrem Benutzernamen angeben müssen, wenn sie sich beim Zurücksetzen ihres Kennworts authentifizieren. Die generierten Codes basieren auf dem Industriestandard des Time-Based One-Time Password-Algorithmus, so dass Specops Authenticator sowohl mit Google als auch mit Microsoft Authenticator zusammenarbeiten kann.

Specops Password Reset

uReset enthält eine mobile Anwendung, die im Windows Store, Google Play und App Store erhältlich ist und als sichere Alternative zum Zurücksetzen von Kennwörtern und Entsperren von Konten verwendet werden kann. Diese mobile App steht allen Unternehmen zur Verfügung, die ihren Nutzern die Möglichkeit geben, ihr Kennwort aus der Ferne zurückzusetzen.

Specops Fingerprint Authenticator

Mit der Specops Fingerprint-Authenticator-App können Sie sich beim uReset-Kennwortzurücksetzungsservice authentifizieren, indem Sie entweder die in Ihr iOS integrierte Fingerabdruckerkennung Touch ID oder die Fingerabdruck-API-Scanfunktion Ihres Android-Betriebssystems (ab 6.0) verwenden.