Specops Secure Service Desk
Specops Secure Service Desk proporciona todas las herramientas necesarias para que los agentes de su mesa de servicio ayuden a los usuarios que llaman con problemas de autenticación. Los agentes pueden ayudar a los usuarios a restablecer sus contraseñas o desbloquear sus computadoras (si están encriptadas con BitLocker™ o Symantec Endpoint Encryption™) en un entorno seguro y fácil de usar. La Secure Service Desk también contiene información y estadísticas de los usuarios.
Conceptos Centrales
Autenticación
La autenticación es el proceso de verificar la identidad de un usuario. Normalmente, esto requiere que el usuario haga una declaración sobre su identidad ingresando su nombre de usuario y contraseña.
Inscripción
Se requiere que los usuarios se inscriban con Specops Authentication. El proceso de inscripción variará para cada tipo de servicio de identidad. Para inscribirse con un servicio de identidad personal como Google, los usuarios deberán seguir el enlace desde la aplicación web de Specops a la página web de Google e iniciar sesión con la dirección de correo electrónico y la contraseña asociadas a su cuenta de Google.
Preinscripción
Specops Secure Service Desk funciona bajo el principio de preinscripción. Esto significa, en su mayor parte, que la inscripción de usuarios ocurre definiendo atributos en Active Directory. Sin embargo, si utiliza Secure Service Desk con otros productos de Specops, como Specops uReset, los servicios de identidad definidos en esas políticas también pueden usarse para Secure Service Desk.
Autenticación multifactor
La autenticación multifactor requiere más de un método de autenticación de categorías independientes de credenciales: algo que sabes (es decir, contraseña), algo que tienes (es decir, dispositivo móvil) y algo que eres (es decir, huella digital). Specops uReset va más allá de la autenticación de dos factores al admitir una amplia gama de servicios de identidad que pueden usarse para aumentar la seguridad y la flexibilidad. La solución no solo admite autenticadores comunes, como preguntas y respuestas, y códigos de verificación móvil, sino también varios servicios de identidad digital que van desde servicios de identidad personal (por ejemplo, LinkedIn) hasta servicios de identidad de la empresa (por ejemplo, salesforce.com), además de métodos de mayor confianza como las tarjetas inteligentes. El modelo de autenticación multifactor de Specops es dinámico. Los usuarios pueden elegir qué servicios de identidad desean combinar para la inscripción y autenticación, siempre que cumplan con los requisitos de la política. Los usuarios inscritos con más servicios de identidad de los requeridos para su autenticación tendrán opción de autenticación. Esto garantiza que los usuarios finales siempre tengan la capacidad de cumplir con la política de autenticación, incluso si un servicio de identidad no está disponible (por ejemplo, no tener su teléfono móvil cerca).
Los administradores pueden seleccionar, según el rol y la política de seguridad, qué servicios de identidad/autenticadores desean extender a los usuarios finales para verificar su identidad al restablecer o desbloquear sus cuentas. Tal flexibilidad puede asegurar que se satisfagan las necesidades de seguridad y flexibilidad variables. Por ejemplo:
- Para los usuarios que tienen una autorización de seguridad de bajo nivel, pero una alta necesidad de flexibilidad, como los estudiantes, los administradores de TI pueden permitirles autenticarse con algunos servicios de identidad personal, como su ID de Google.
- Para los usuarios que tienen una autorización de seguridad de nivel superior, como los administradores de ayuda financiera o ejecutivos de alto nivel, los administradores de TI pueden asignar políticas que exijan un mayor número o una combinación más fuerte de servicios de identidad. Este enfoque proporciona a los administradores la flexibilidad que necesitan para aplicar políticas que se traduzcan en una mayor seguridad y eficiencia.
Política
Una política contiene las reglas requeridas para la inscripción y la autenticación multifactor. Una política controla qué servicios de identidad pueden usarse y cuántos deben usarse para verificar la identidad de los usuarios finales. El administrador del sistema es responsable de configurar las reglas en las políticas.
Tenga en cuenta que las políticas para Secure Service Desk solo se aplican a los agentes de la mesa de servicio, no a los usuarios. Los usuarios finales deben estar preinscritos con todos los servicios de identidad asociados para poder verificar su identidad.
Servicios de identidad
Los servicios de identidad son métodos de autenticación que permiten a los usuarios verificar su identidad en Specops Cloud.
Para más información, consulte Specops Authentication Servicios de identidad.
Arquitectura y Diseño
Specops Secure Service Desk está integrado de forma nativa con Active Directory. La configuración del sistema se realiza utilizando Group Policy, sin introducir complejidad adicional en su entorno. Esto significa que no se requiere una base de datos externa para almacenar información relacionada con contraseñas. Los datos de los usuarios se almacenan directamente en los objetos de usuario de Group Policy, minimizando el riesgo de seguridad mientras se asegura la provisión de contraseñas en tiempo real inherente.
Specops Secure Service Desk consta de los siguientes componentes y no requiere recursos adicionales en su entorno. El backend de autenticación, la web y los servicios de identidad están alojados en la nube. Solo necesitará instalar el componente Gatekeeper.
Authentication Cloud: El componente global en la nube de uReset, la nube de autenticación contiene la web (front-end para los usuarios finales) y los servicios de backend.
Secure Service Desk: Contiene el front-end para los usuarios finales y los administradores. La Secure Service Desk se puede usar para ver información del sistema y gestionar varios aspectos del producto, incluidas las configuraciones del sistema y las políticas de autenticación multifactor para varios recursos, incluido uReset.
Authentication Backend: Para leer información de usuario de Active Directory, el backend se comunica con el Gatekeeper. Los servicios web y de identidad también se comunican con el backend. El backend de autenticación valida la identidad de un usuario basándose en los tokens de servicios de identidad individuales.
Gatekeeper: El Gatekeeper necesita instalarse en un servidor en su dominio. El Gatekeeper lee información de usuario de Active Directory y gestiona todas las operaciones contra Active Directory, como leer/escribir datos de inscripción.
Identity services: Una entidad que puede validar la identidad de un usuario en Secure Service Desk. Los tokens de servicios de identidad individuales son utilizados por el backend para validar la identidad de un usuario.
Algunos de los servicios de identidad que se utilizan durante la autenticación, como Google, son externos. Cuando se utiliza un servicio de identidad externo, el usuario es enviado al servicio de identidad y se le pide que dé su consentimiento a Specops para acceder a su información personal, como su nombre de usuario. La información del consentimiento permite la creación del token que se utiliza para la autenticación. Tenga en cuenta que, dado que Secure Service Desk funciona bajo el principio de preinscripción, no todos los servicios de identidad están disponibles para la verificación de usuarios.
Token: Un token o un token de seguridad es un portador de información sobre un usuario y sobre el emisor del token. La información sobre un usuario es un conjunto de declaraciones. Las afirmaciones sobre un usuario pueden ser, por ejemplo, el nombre del usuario, el ID del cliente al que pertenece y qué roles tiene un usuario en su organización.
Funciones y Capacidades
Informes
La función de informes de Secure Service Desk le permite rastrear su proceso de inscripción y proporciona varios informes sobre llamadas a la mesa de servicio, eventos, desbloqueos de computadoras y restablecimientos de contraseñas.
Notificaciones
Al restablecer la contraseña de un usuario, las notificaciones (que contienen la nueva contraseña) pueden enviarse por correo o mensaje de texto. Al verificar la identidad de un usuario, tanto el correo electrónico como el mensaje de texto también pueden usarse.
Servicios de Identidad Ponderados
Tenga en cuenta que los servicios de identidad ponderados solo pueden usarse para Secure Service Desk para la autenticación multifactor de los agentes de la mesa de servicio. En los casos donde Secure Service Desk se utiliza junto con Specops uReset, los servicios de identidad en las políticas de uReset también pueden ser ponderados.
Los administradores pueden asignar un peso específico para cada servicio de identidad, decidiendo en última instancia que un servicio de identidad vale el doble que otro durante la autenticación. En las interfaces de usuario, tanto para los usuarios finales como para el administrador, los pesos se representan mediante estrellas.
Autenticación Multifactor para Administradores y usuarios de Helpdesk
Los usuarios que forman parte del grupo de Administradores y Helpdesk pueden usar la autenticación multifactor para verificar su identidad al acceder a las páginas de Administración / Gestión de Usuarios en Secure Service Desk.
Aplicaciones Móviles
- Specops:ID
- Specops Authenticator (siendo eliminado, se recomienda usar Specops:ID)
- Specops Fingerprint (siendo eliminado, se recomienda usar Specops:ID)
Para más información, consulte Specops Authentication Servicios de identidad.