Specops Secure Service Desk
Specops Secure Service Desk fournit tous les outils nécessaires pour que vos agents du service desk aident les utilisateurs appelant avec des problèmes d'authentification. Les agents peuvent aider les utilisateurs à réinitialiser leurs mots de passe ou à déverrouiller leurs ordinateurs (s'ils sont chiffrés avec BitLocker™ ou Symantec Endpoint Encryption™) dans un environnement sécurisé et facile à utiliser. Le Secure Service Desk contient également des informations et des statistiques sur les utilisateurs.
Concepts centraux
Authentification
L'authentification est le processus de vérification de l'identité d'un utilisateur. En général, cela nécessite que l'utilisateur fasse une déclaration sur son identité en entrant son nom d'utilisateur et son mot de passe.
Inscription
Les utilisateurs doivent s'inscrire avec Specops Authentication. Le processus d'inscription variera pour chaque type de service d'identité. Pour s'inscrire à un service d'identité personnel tel que Google, les utilisateurs devront suivre le lien depuis l'application web Specops vers la page web de Google, et se connecter avec l'adresse e-mail et le mot de passe associés à leur compte Google.
Pré-inscription
Specops Secure Service Desk fonctionne sur un principe de pré-inscription. Cela signifie que, pour la plupart, l'inscription des utilisateurs se fait en définissant des attributs dans Active Directory. Cependant, si vous utilisez Secure Service Desk avec d'autres produits Specops, tels que Specops uReset, les services d'identité définis dans ces politiques peuvent également être utilisés pour Secure Service Desk.
Authentification multi-facteurs
L'authentification multi-facteurs nécessite plus d'une méthode d'authentification provenant de catégories indépendantes de justificatifs : quelque chose que vous connaissez (c'est-à-dire mot de passe), quelque chose que vous avez (c'est-à-dire appareil mobile), et quelque chose que vous êtes (c'est-à-dire empreinte digitale). Specops uReset va au-delà de l'authentification à deux facteurs en prenant en charge un large éventail de services d'identité qui peuvent être utilisés pour accroître la sécurité et la flexibilité. La solution prend en charge non seulement les authentificateurs courants, tels que les questions et réponses, et les codes de vérification mobile, mais aussi divers services d'identité numérique allant des services d'identité personnelle (par exemple LinkedIn) aux services d'identité d'entreprise (par exemple salesforce.com), en plus de méthodes de confiance plus élevées telles que les cartes à puce. Le modèle d'authentification multi-facteurs de Specops est dynamique. Les utilisateurs peuvent choisir les services d'identité qu'ils souhaitent combiner pour l'inscription et l'authentification, tant qu'ils répondent aux exigences de la politique. Les utilisateurs inscrits avec plus de services d'identité que nécessaire pour leur authentification auront le choix de l'authentification. Cela garantit que les utilisateurs finaux auront toujours la possibilité de satisfaire à la politique d'authentification, même si un service d'identité est indisponible (par exemple, ne pas avoir leur téléphone mobile à proximité).
Les administrateurs peuvent sélectionner, en fonction du rôle et de la politique de sécurité, quels services d'identité/authentificateurs ils souhaitent étendre aux utilisateurs finaux pour vérifier leur identité lors de la réinitialisation ou du déverrouillage de leurs comptes. Une telle flexibilité peut garantir que les besoins variés en matière de sécurité et de flexibilité sont satisfaits. Par exemple :
- Pour les utilisateurs ayant une autorisation de sécurité de bas niveau, mais un besoin élevé de flexibilité, tels que les étudiants, les administrateurs informatiques peuvent leur permettre de s'authentifier avec quelques services d'identité personnelle tels que leur Google ID.
- Pour les utilisateurs ayant une autorisation de sécurité de niveau supérieur, tels que les administrateurs d'aide financière ou les cadres supérieurs, les administrateurs informatiques peuvent attribuer des politiques qui imposent un nombre plus élevé, ou une combinaison plus forte de services d'identité. Cette approche offre aux administrateurs la flexibilité dont ils ont besoin pour appliquer des politiques qui se traduisent par une plus grande sécurité et efficacité.
Politique
Une politique contient les règles requises pour l'inscription et l'authentification multi-facteurs. Une politique contrôle quels services d'identité peuvent être utilisés, et combien doivent être utilisés pour vérifier l'identité des utilisateurs finaux. L'administrateur système est responsable de la configuration des règles dans les politiques.
Notez que les politiques pour Secure Service Desk s'appliquent uniquement aux agents du service desk, pas aux utilisateurs. Les utilisateurs finaux doivent être pré-inscrits avec tous les services d'identité associés pour pouvoir vérifier leur identité.
Services d'identité
Les services d'identité sont des méthodes d'authentification qui permettent aux utilisateurs de vérifier leur identité dans le Specops Cloud.
Pour plus d'informations, voir Specops Authentication Services d'identité.
Architecture et conception
Specops Secure Service Desk est intégré nativement avec Active Directory. La configuration du système se fait à l'aide de la stratégie de groupe, sans introduire de complexité supplémentaire dans votre environnement. Cela signifie qu'aucune base de données externe n'est requise pour stocker les informations relatives aux mots de passe. Les données des utilisateurs sont stockées directement dans les objets utilisateur de la stratégie de groupe, minimisant le risque de sécurité tout en assurant une fourniture de mot de passe en temps réel inhérente.
Specops Secure Service Desk se compose des composants suivants et ne nécessite aucune ressource supplémentaire dans votre environnement. Le backend d'authentification, le web, et les services d'identité sont hébergés dans le cloud. Vous n'aurez besoin d'installer que le composant Gatekeeper.
Cloud d'authentification : Le composant cloud global de uReset, le cloud d'authentification contient le web (front-end pour les utilisateurs finaux) et les services backend.
Secure Service Desk : Contient le front-end pour les utilisateurs finaux, et les administrateurs. Le Secure Service Desk peut être utilisé pour afficher les informations système et gérer divers aspects du produit, y compris les configurations système et les politiques d'authentification multi-facteurs pour diverses ressources, y compris uReset.
Backend d'authentification : Pour lire les informations utilisateur à partir d'Active Directory, le backend communique avec le Gatekeeper. Les services web et d'identité communiquent également avec le backend. Le backend d'authentification valide l'identité d'un utilisateur en fonction des tokens des services d'identité individuels.
Gatekeeper : Le Gatekeeper doit être installé sur un serveur de votre domaine. Le Gatekeeper lit les informations utilisateur à partir d'Active Directory, et gère toutes les opérations contre Active Directory, telles que la lecture/écriture des données d'inscription.
Services d'identité : Une entité qui peut valider l'identité d'un utilisateur dans Secure Service Desk. Les tokens des services d'identité individuels sont utilisés par le backend pour valider l'identité d'un utilisateur.
Certains des services d'identité utilisés lors de l'authentification, tels que Google, sont externes. Lorsqu'un service d'identité externe est utilisé, l'utilisateur est envoyé au service d'identité, et on lui demande de donner son consentement à Specops pour accéder à ses informations personnelles, telles que son nom d'utilisateur. Les informations du consentement permettent la création du token utilisé pour l'authentification. Notez que puisque Secure Service Desk fonctionne sur le principe de la pré-inscription, tous les services d'identité ne sont pas disponibles pour la vérification des utilisateurs.
Token : Un token ou un jeton de sécurité est un porteur d'informations sur un utilisateur et sur l'émetteur du token. Les informations sur un utilisateur sont un ensemble de déclarations. Les revendications sur un utilisateur peuvent par exemple être le nom de l'utilisateur, l'ID du client auquel il appartient et quels rôles un utilisateur a dans son organisation.
Fonctionnalités et capacités
Rapports
La fonctionnalité de rapports de Secure Service Desk vous permet de suivre votre processus d'inscription et fournit plusieurs rapports sur les appels du service desk, les événements, et les déverrouillages d'ordinateurs et réinitialisations de mots de passe.
Notifications
Lors de la réinitialisation du mot de passe d'un utilisateur, des notifications (contenant le nouveau mot de passe) peuvent être envoyées par mail ou par message texte. Lors de la vérification de l'identité d'un utilisateur, à la fois l'email et le message texte peuvent également être utilisés.
Services d'identité pondérés
Notez que les services d'identité pondérés ne peuvent être utilisés que pour Secure Service Desk pour l'authentification multi-facteurs pour les agents du service desk. Dans les cas où Secure Service Desk est utilisé conjointement avec Specops uReset, les services d'identité dans les politiques uReset peuvent également être pondérés.
Les administrateurs peuvent attribuer un poids spécifique à chaque service d'identité, décidant en fin de compte qu'un service d'identité vaut deux fois plus qu'un autre lors de l'authentification. Dans les interfaces utilisateur, pour les utilisateurs finaux et les administrateurs, les poids sont représentés par des étoiles.
Authentification multifactorielle pour les administrateurs et les utilisateurs du helpdesk
Les utilisateurs qui font partie du groupe des administrateurs et du helpdesk peuvent utiliser l'authentification multifactorielle pour vérifier leur identité lors de l'accès aux pages de gestion des administrateurs / utilisateurs sur le Secure Service Desk.
Applications mobiles
- Specops:ID
- Specops Authenticator (en cours de suppression, il est recommandé d'utiliser Specops:ID)
- Specops Fingerprint (en cours de suppression, il est recommandé d'utiliser Specops:ID)
Pour plus d'informations, voir Specops Authentication Services d'identité.