Inscription de l'administrateur

Specops Authentication pour Specops Secure Service Desk permet aux administrateurs d'inscrire les utilisateurs au système, sans nécessiter que les utilisateurs passent par le processus d'inscription. Cela peut être réalisé avec n'importe quel service d'identité qui a des informations d'identifiant stockées dans Active Directory.

Avant d'utiliser ce guide, vous avez besoin:
Connaissances de base de PowerShell
PowerShell 4.0 ou version ultérieure
Specops Authentication pour Specops Secure Service Desk configuré avec un Gatekeeper actif
Appartenance au groupe d'administrateurs de Specops Authentication pour Secure Service Desk
Le module PowerShell Specops Authentication pour Secure Service Desk – installé avec les outils d'administration C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin

Services d'identité pour l'inscription

Les administrateurs peuvent s'inscrire avec les services d'identité suivants:

Email personnel
Code mobile
Questions secrètes
Yubikey
Mobile Bank ID
Google

Cmdlets

Les cmdlets peuvent être utilisés par les administrateurs lors de la gestion des utilisateurs, ou pour les inscrire en lots dans Specops Authentication pour Secure Service Desk.

Pour importer le module, exécutez la commande suivante dans PowerShell sur votre serveur Gatekeeper:

import-module specops.authentication.gatekeeper

Add-SpecopsAuthenticationIdentityServiceEnrollment

Prend les paramètres Username, IdentityServiceId, et EnrollmentProof. Peut être utilisé pour s'inscrire avec tous les services d'identité sauf: Questions secrètes, Duo Security, Specops Fingerprint, Authenticators, Identification du gestionnaire, Symantec VIP, LinkedIn, et Windows Identity. Utilisez le cmdlet Get-SpecopsAuthenticationIdentityServices pour trouver l'IdentityServiceId de votre service d'identité.

Exemple d'utilisation:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Google
  -EnrollmentProof MyGoogleAccount

Inscription administrateur Code mobile (SMS)

L'inscription administrateur Code mobile (SMS) nécessite la mise à jour de l'attribut mobile sur l'objet utilisateur et des données d'inscription dans l'objet feuille. Un administrateur peut mettre à jour l'attribut mobile sur un compte utilisateur depuis l'outil de gestion Active Directory, ou avec PowerShell. Si vous utilisez l'attribut de téléphone mobile par défaut, utilisez la commande suivante:

Set-ADUser -Identity user0020 -MobilePhone '+1-202-555-0191'

Si vous stockez le numéro de mobile dans un attribut personnalisé, vous devez fournir cet attribut à la place. Si, par exemple, le numéro de mobile est dans l'attribut otherMobile, vous pouvez utiliser la commande suivante:

Set-ADUser -Identity user0020 -Replace @{otherMobile='+1-202-555-0191'}

Pour Gatekeeper Admin Tool 8.23 et versions ultérieures: après avoir mis à jour l'attribut mobile, vous pouvez utiliser PowerShell pour ajouter la preuve dans l'objet feuille.

Add-SAMobileCodeEnrollment
  -Username jane.doe
  -MobileNumber +123
  -GatekeeperServer dc02.subaru.local

Pour Gatekeeper Admin Tool 8.22 et versions antérieures: après avoir mis à jour l'attribut mobile, vous pouvez utiliser PowerShell pour ajouter la preuve dans l'objet feuille.

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId MobileCode
  -EnrollmentProof +12025550191

Inscription administrateur Email personnel

Exemple d'utilisation:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId AlternateEmail
  -EnrollmentProof user@domain.com

Add-SpecopsAuthenticationQuestionsEnrollment

Prend les paramètres Username, Answers et Language. Language est un code de langue à 2 chiffres optionnel. Answers prend un tableau de questions et réponses.

Exemple d'utilisation:

$questionsAndAnswers =
  @{'Question'='Who are you?'; 'Answer'='No one'},
  @{'Question'='Why are you here?'; 'Answer'='I am not'}

Add-SpecopsAuthenticationQuestionsEnrollment
  –Username mySamAccountName
  –Answers $questionsAndAnswers

Get-SpecopsAuthenticationEnrollment

Liste les services d'identité avec lesquels un utilisateur est inscrit.

Exemple d'utilisation:

Get-SpecopsAuthenticationEnrollment -Username mySamAccountName

Get-SpecopsAuthenticationIdentityServices

Liste tous les services d'identité disponibles dans votre abonnement Specops Authentication.

Exemple d'utilisation:

Get-SpecopsAuthenticationIdentityServices

Remove-SpecopsAuthenticationEnrollment

Supprime tous les services d'identité inscrits d'un utilisateur, sauf ceux inscrits automatiquement, comme Windows Identity, Duo Security, Identification du gestionnaire ou Symantec VIP.

Exemple d'utilisation:

Remove-SpecopsAuthenticationEnrollment -Username mySamAccountName

Remove-SpecopsAuthenticationIdentityServiceEnrollment

Supprime une inscription de service d'identité d'un utilisateur.

Exemple d'utilisation:

Remove-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Fingerprint