Passwortzurücksetzung
Der Prozess der Änderung eines vergessenen Kennworts. Ein Kennwort-Reset kann von einem Benutzer durchgeführt werden, der seine Identität mit Hilfe der Multi-Faktor-Authentifizierung nachgewiesen überprüft hat. Der Benutzer kann seine Kennwörter über die uReset-Website zurücksetzen, auf die er selbst mit einem mobilen Telefon-Webbrowser aus zugreifen kann,
Multi-Faktor-Authentifizierung
Specops uReset geht noch über die Zwei-Faktor-Authentifizierung hinaus, indem es eine breite Palette von Identitätsdiensten unterstützt, die zur Erhöhung der Sicherheit und Flexibilität beim Zurücksetzen von Kennwörtern verwendet werden können. Diese Lösung unterstützt nicht nur gängige Authentifikatoren wie Fragen und Antworten sowie mobile Verifizierungscodes, sondern auch diverse digitale Identitätsdienste, die von persönlichen (z.B LinkedIn) bis zu Unternehmensidentitätsdiensten (z. B. salesforce.com) reichen, sowie vertrauenswürdige Methoden wie SmartCards. Der Helpdesk kann auch die Multifaktor-Authentifizierung verwenden, wenn er Benutzer bei der Entsperrung ihres Kontos und/oder der Zurücksetzung ihres Kennworts unterstützt, indem er sie auffordert, ihre registrierten Identitätsdienste zu verwenden, um ihre Identität zu verifizieren.
IT-Administratoren können auf der Grundlage von Rollen und Sicherheitsrichtlinien auswählen, welche Identitätsdienste/Authentifikatoren sie auf Endnutzer ausweiten möchten, deren Identität sie zum Zurücksetzen oder Entsperren ihrer Konten überprüfen müssen. Diese Flexibilität gewährleistet, dass unterschiedliche Sicherheits- und Flexibilitätsanforderungen erfüllt werden können. Zum Beispiel:
- Benutzern mit niedriger Sicherheitsfreigabe, aber hohem Flexibilitätsbedarf, wie z. B. Studenten, können IT-Administratoren erlauben, sich mit mehreren persönlichen Identitätsdiensten wie ihrer Google-ID zu authentifizieren.
- Benutzern mit einer höheren Sicherheitsfreigabe, z. B. Administratoren von Finanzhilfen oder leitenden Angestellten, können IT-Administratoren Richtlinien zuweisen, die eine höhere Anzahl oder eine stärkere Kombination von Identitätsdiensten erzwingt. Dieser Ansatz bietet Administratoren die benötigte Flexibilität, um Richtlinien durchzusetzen, die zu mehr Sicherheit und Effizienz führen.
Identitätsservices
Mit Identitätsdiensten können sich die Benutzer bei der Anmeldung sicher identifizieren. Die Identitätsdienste lassen sich in mehrere Kategorien einteilen, darunter: Benutzername und Kennwort, soziale Dienste (LinkedIn, Tumblr) und Dienste mit höherem Vertrauensstatus (Google Authenticator, Microsoft Authentic, Duo Security Security).
Um mehrere Identitätsdienste zur Authentifizierung von Benutzern zu verwenden, müssen diese in der Verwaltungskonsole konfiguriert (aktiviert) werden, und der von der uReset-Richtlinie betroffene Benutzer muss sich beim uReset-Dienst registrieren. Sobald sich ein Benutzer angemeldet hat, kann er sein Kennwort über die uReset-Webanwendung zurücksetzen (über einen Hyperlink auf dem Anmeldebildschirm oder in jedem modernen Browser). Specops uReset verwendet Daten von Benutzerobjekten in Active Directory zum Lesen und Schreiben von im System verwendeten Informationen.
Nachstehend finden Sie eine Liste aller in Specops Authentication verfügbaren Identitätsdienste.
Standard
- Specops Fingerprint: Specops Fingerprint ermöglicht die Registrierung und Authentifizierung von Benutzern über Geräte mit Fingerabdruck-Scannern, wie Smartphones und Tablets. Die Benutzer können ihren Finger auf den Fingerabdruckscanner ihres Geräts legen, um sich sofort zu identifizieren. Benutzer können auch Face ID zur Authentifizierung verwenden, wenn sie ein iPhone X oder höher besitzen. Zur Nutzung dieses Identitätsdienstes müssen die Benutzer die App auf ihrem Mobilgerät installiert haben.
- Specops Authenticator: Benutzer können sich mit der Specops Authenticator-App authentifizieren. Die Benutzer scannen dafür einen QR-Code oder beantworten eine Geheimfrage. Specops Authenticator sendet den Benutzern dann ein sechsstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- Mobile Code (SMS): Die Benutzer erhalten per SMS ein einmaliges sechsstelliges Kennwort, das sie für ihre Authentifizierung eingeben müssen.
- E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. E-Mail E-Mail erfordert keine Registrierung, da es auf die E-Mail-Adresse im E-Mail-Attribut in AD verweist (oder auf ein anderes Attribut, falls überschrieben); es kann nur mit Domains verwendet werden, die mit Specops Authentication verbunden sind.
- Persönliche E-Mail: Das E-Mail-System des Benutzers wird als Identitätsdienst verwendet, indem ein Code an die registrierte E-Mail-Adresse gesendet wird, den der Benutzer dann in das Feld auf dem Bildschirm eingeben muss. Persönliche E-Mail muss bei der Anmeldung vom Benutzer registriert werden. Dazu kann er eine beliebige E-Mail-Adresse seiner Wahl verwenden.
- Vertrauenswürdige Netzwerkstandorte: Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, mit dem Administratoren bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte freigeben können.
- Manager-Identifizierung: Wenn sich ein Benutzer mit Manager-Identifizierung authentifiziert, wird eine E-Mail oder SMS an seinen Vorgesetzten gesendet. Der Vorgesetzte muss dann den Authentifizierungsantrag genehmigen. Administratoren können die gesendete Benachrichtigung individuell anpassen, indem sie ihr benutzerdefinierte Informationen hinzufügen. Zur Nutzung von Manager-Identifizierung muss dem jeweiligen Benutzer ein Manager in Active Directory zugewiesen sein, und die Manager-Konten müssen eine mit ihrem Profil verknüpfte E-Mail-Adresse/Mobiltelefonnummer haben, um Authentifizierungsanfragen von Benutzern erhalten zu können.
- Geheimfragen: Die Benutzer können Fragen aus einer vorgegebenen Liste auswählen und ihre Antworten darauf registrieren. Sie müssen dann diese Fragen beantworten, um sich erfolgreich zu authentifizieren.
3. Parteien
- PingID: Mit PingID können sich Benutzer über die Mobil-App PingID authentifizieren.
- Duo Security: Mit Duo Security können sich Benutzer über die Mobil-App Duo Security authentifizieren.
- Freja: Mit Freja können sich Benutzer über die Mobil-App Freja authentifizieren.
- OktaBenutzer können sich mit ihren Okta-Kontodaten registrieren und authentifizieren. Dies kann über die Okta-App und durch Versenden von Codes per Textnachricht geschehen.
- Symantec VIP: Benutzer können sich mit der mobilen Symantec VIP-App authentifizieren.
- Google Authenticator: Google Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Google Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- Microsoft Authenticator: Microsoft Authenticator ist eine App, die einmalige Kennwörter generiert. Ein Geheimnis wird generiert und in Form eines QR-Codes präsentiert, den der Benutzer scannt. Microsoft Authenticator sendet den Benutzern dann ein sechs- bis achtstelliges Einmal-Kennwort, das zur Authentifizierung eingegeben werden muss.
- EFOS/SITHS (Schweden): EFOS/SITHS ist ein Smartcard-basierter Authentifizierungsdienst, mit dem sich Mitarbeiter (z. B. medizinisches Personal) von Behörden, Gemeinden und Kreisräten in Schweden elektronisch identifizieren können.
- Mobile BankID (Schweden): Benutzer, die über die Mobile BankID-App verfügen, können damit ihre Identität verifizieren.Benutzer müssen einen QR-Code in der Mobile BankID-App scannen, um sich mit diesem Identitätsdienst zu authentifizieren.
- Yubikey: Der Yubikey ist ein Hardware-Authentifizierungsgerät. Benutzer können sich authentifizieren, indem sie Einmal-Kennwörter (OTP) mit ihrem Yubikey generieren (nur wenn der Yubikey Yubico OTP als Sicherheitsfunktion unterstützt). Weitere Informationen zu Yubikeyfinden Sie auf der Yubikey-Seite.
- Passkeys: Benutzer können sich mit Passkeys authentifizieren, die sie bereits auf ihrem Gerät eingerichtet haben. Passkey sind digitale Berechtigungsnachweise (Authentifikator), die an ein Benutzerkonto und eine Website oder Anwendung gebunden sind. Einige Beispiele für Passkeys sind Windows Hello, Yubikey, Bitwarden und jede Authentifizierungs-App wie Google Authenticator.
- Entra ID: ermöglicht Specops Authentication die Integration in Microsoft Authentifizierungsverzeichnisse (Authentication Libraries). Der Microsoft Authenticator kann verwendet werden, um sich ohne Kennwort über Specops Authentication zu authentifizieren.
Föderiert
- Google: Benutzer können sich mit ihren Google-Kontodaten registrieren und authentifizieren.
- Microsoft Live: Benutzer können sich mit ihren Microsoft Live-Kontodaten registrieren und authentifizieren. Microsoft Live Anmeldedaten werden für die Anmeldung bei der Microsoft Cloud verwendet. Dazu gehören: Outlook, Office Online, OneDrive, Skype, Xbox Live und der Microsoft Store.
- Tumblr: Benutzer können sich mit ihren Tumblr-Kontodaten registrieren und authentifizieren.
- Flickr: Benutzer können sich mit ihren Flickr-Kontodaten registrieren und authentifizieren.
- LinkedIn: Benutzer können sich mit ihren LinkedIn-Anmeldedaten registrieren und authentifizieren.
Registrieren
Die Benutzer müssen sich beim uReset-Dienst registrieren. Das Registrierverfahren ist für jede Art von Identitätsdienst unterschiedlich. Zur Registrierung bei einem persönlichen Identitätsdienst wie z. B.Google, muss der Benutzer dem Link von der Specops uReset-Webanwendung zur Google-Webseite folgen und sich mit der mit seinem Google-Konto verbundenen E-Mail-Adresse und seinem Kennwort anmelden. Wenn ein Nutzer von einer uReset-Richtlinie betroffen ist, die Google verwendet, wird ein eindeutiger Identifikator für das Benutzerobjekt in Active Directory gespeichert.
Richtlinie
Eine Richtlinie enthält die zur Registrierung und Multi-Faktor-Authentifizierung erforderlichen Regeln. Eine Richtlinie steuert, welche Identitätsdienste verwendet werden können und wie viele davon zur Überprüfung der Identität eines Benutzers verwendet werden müssen. Der Systemeigentümer ist für die Konfiguration der Regeln in den Richtlinien verantwortlich.