Vérifier l’identité

Jusqu'à ce que l'identité d'un utilisateur ait été vérifiée, une icône d'utilisateur rouge avec une barre oblique apparaîtra dans le coin supérieur droit de l'interface du service desk. Les agents du service desk peuvent vérifier l'identité de l'utilisateur appelant le Secure Service Desk en demandant à l'utilisateur de s'authentifier avec l'un des services d'identité auxquels il s'est déjà inscrit. Notez que si le paramètre Enforce identity verification a été activé, l'identité de l'utilisateur doit être vérifiée avant que d'autres actions (réinitialisation du mot de passe et déverrouillage de l'ordinateur) puissent être effectuées.

Une fois que l'utilisateur a été trouvé dans Active Directory (voir Rechercher un utilisateur), cliquez sur l'onglet Vérifier l'identité.
Cliquez sur le service d'identité avec lequel vous souhaitez que l'utilisateur s'authentifie. L'utilisateur sera invité sur son ordinateur à s'authentifier. Notez que jusqu'à ce que l'utilisateur se soit authentifié, l'agent du service desk doit laisser l'onglet Vérifier l'identité ouvert.
Une fois authentifié, l'agent du service desk recevra une page de succès, et toutes les autres actions du service desk pourront être effectuées.

Alternativement, si les services d'identité inscrits ne sont pas utilisés, l'agent du service desk peut envoyer un message texte, un email ou une poussée PingID (Vérification rapide) contenant un code. Ce message sera envoyé au numéro de mobile associé à l'utilisateur dans Active Directory ou apparaîtra dans l'application PingID si cette option a été choisie. Une fois reçu, l'utilisateur doit soit lire le code à l'agent du service desk pour confirmer son identité, soit reconnaître le message de poussée de l'application PingID. Notez que l'option d'envoyer un code par message texte n'apparaîtra pas à l'écran si le numéro de téléphone mobile de l'utilisateur n'a pas été enregistré dans Active Directory ; l'option d'envoyer une Vérification rapide n'apparaîtra pas si l'email de l'utilisateur n'a pas été enregistré dans Active Directory.

Vérification rapide avec Symantec VIP et Okta

La vérification rapide avec Symantec VIP/Okta fonctionne de la même manière que PingID.

Remarque

Assurez-vous que l'utilisateur est inscrit avec Symantec VIP/Okta pour utiliser ce service d'identité.

Vérification par notification push

(disponible si l'utilisateur a un appareil compatible push inscrit et actif avec Symantec VIP/Okta, ou si les messages texte ont été activés pour Okta)

Cliquez sur l'onglet Symantec VIP/Okta dans Vérification rapide.
Cliquez sur Démarrer ; une notification push sera envoyée à l'utilisateur en cours de vérification.

Remarque

Pour Okta, si l'utilisateur a accès à plusieurs méthodes de notification, un écran supplémentaire sera affiché à l'agent du Service Desk où il pourra choisir quel type de message envoyer : Message texte, Demande de poussée, Entrer le code. Si une seule méthode est disponible, elle sera sélectionnée automatiquement. Voir la section Vérifier par code pour plus d'informations.
L'utilisateur peut reconnaître la notification push qui vérifiera son identité.

Vérification par code

Cliquez sur l'onglet Symantec VIP/Okta dans Vérification rapide.
Cliquez sur Démarrer.
Cliquez sur le lien Entrer le code.

Remarque

Pour Okta, si l'utilisateur a accès à plusieurs méthodes de notification, un écran supplémentaire sera affiché à l'agent du Service Desk où il pourra choisir quel type de message envoyer : Message texte, Demande de poussée, Entrer le code. Si une seule méthode est disponible, elle sera sélectionnée automatiquement.
Dans le cas de Symantec VIP, si l'utilisateur a l'application de bureau Symantec installée, il peut récupérer le code à partir de là. Alternativement, l'agent peut faire envoyer un code par SMS ou appel téléphonique en cliquant sur le bouton approprié. Notez que cette option sera affichée automatiquement si l'utilisateur n'a activé que la notification par SMS.
Demandez à l'utilisateur de lire le code, et entrez-le dans le champ, puis cliquez sur Vérifier.

Identification du gestionnaire

Il peut y avoir des situations dans lesquelles les utilisateurs ne peuvent pas vérifier leur identité eux-mêmes en raison de restrictions de communication/données. Dans ces cas, il peut être bénéfique que le gestionnaire de l'utilisateur identifie leur identité pour eux.

Pour activer l'identification du gestionnaire :

Dans Authentication Web, allez à Service Desk, et accédez à l'onglet Paramètres.
Cochez la case Identification du gestionnaire comme vérification rapide.
Cliquez sur Enregistrer.

Pour utiliser l'identification du gestionnaire comme vérification rapide :

Lorsque l'utilisateur appelle le Service Desk, cliquez sur Vérifier l'identité.
Sous Vérification rapide, choisissez Identification du gestionnaire. Vous verrez un message indiquant "Vous pouvez identifier l'identité de [user_name] en envoyant une demande de vérification au gestionnaire de [user_name]."
Cliquez sur Démarrer.
Le gestionnaire (s'il est enregistré en tant que tel dans Active Directory) recevra un email demandant de vérifier l'utilisateur. Il appartient au gestionnaire (et à l'utilisateur en question) de s'assurer que le bon utilisateur est vérifié (par exemple en appelant l'utilisateur).
Le gestionnaire clique sur Continuer dans l'email d'identification du gestionnaire. Le gestionnaire sera redirigé vers une fenêtre de navigateur avec la demande de vérification du Service Desk.
Le gestionnaire clique sur Vérifier pour vérifier l'utilisateur.

Avertissement

Il est essentiel dans ces types de scénarios que le gestionnaire soit conscient de l'appel du Service Desk, et qu'il s'assure qu'il s'agit bien de l'utilisateur en question qui essaie de se faire vérifier.

Vérification d'identité et sécurité

Si Enforce identity verification est activé, l'agent du service desk est tenu de vérifier l'identité de l'utilisateur avant de pouvoir soit réinitialiser le mot de passe, soit déverrouiller l'ordinateur de l'utilisateur, augmentant ainsi la sécurité de l'interaction. Une fois l'identité vérifiée, l'interaction avec le Service Desk reposera sur la création de jetons de session sécurisés pour maintenir l'intégrité de la session.

Dans une session typique de service desk, l'agent du service desk émet une demande d'identification à l'utilisateur, en utilisant l'un des services d'identité de l'utilisateur. Une fois que l'utilisateur s'est authentifié avec le service d'identité, le jeton sécurisé est créé. Ce jeton est partagé entre l'agent du service desk spécifique et l'utilisateur pour la durée de la session. Chaque interaction (réinitialisation du mot de passe, déverrouillage de l'ordinateur) est validée par rapport à ce jeton. Pour la durée de la session, le jeton ne fonctionnera que pour l'agent du service desk qui a initié la vérification d'identité, pour effectuer des actions pour l'utilisateur qui a vérifié son identité.

Traçabilité

En plus de fournir un moyen sécurisé d'autoriser les actions du Service Desk, les jetons permettent également la création d'un journal d'événements continu associé à chaque session du Service Desk. Cela rend chaque session traçable et consultable. Toutes les informations concernant la session sont accessibles via le menu Reporting. Plus d'informations sur les fonctionnalités de journalisation et les rapports peuvent être trouvées dans la section Reporting ci-dessus.