Services d'identité
Les services d'identité sont des méthodes d'authentification qui permettent aux utilisateurs de vérifier leur identité dans le Specops Cloud. Les ressources et produits au sein du Specops Cloud, tels que uReset, Secure Service Desk, et les pages d'administration de Specops Authentication, utilisent des politiques d'authentification pour définir quels services d'identité sont requis.
La plupart des services d'identité nécessitent que les utilisateurs possèdent un téléphone mobile, par exemple pour recevoir un message texte ou utiliser la biométrie dans une application pour vérifier leur identité. Pour s'authentifier avec un service d'identité, les utilisateurs doivent d'abord s'y inscrire via Specops Authentication. Cela s'applique à tous les types d'utilisateurs, y compris les utilisateurs finaux, les agents du service desk, et les administrateurs clients.
Inscription
Les services d'identité varient à la fois en termes de fonctionnalité et de méthodes d'inscription. Un service d'identité peut prendre en charge un ou plusieurs des types d'inscription suivants :
- Auto : Le service d'identité devient disponible automatiquement (pré-inscription) lorsque les attributs ou la configuration requis sont en place, sans aucune action de l'utilisateur ou de l'administrateur. Par exemple, si un utilisateur dans Active Directory a un manager défini, il est automatiquement inscrit à la vérification du manager.
- Admin : Le service d'identité peut être inscrit ou provisionné par un administrateur, ce qui peut réduire la charge sur les utilisateurs finaux. Le Code Mobile est un exemple de service d'identité qui peut être utilisé sans nécessiter l'inscription de l'utilisateur.
- Utilisateur : L'utilisateur doit compléter une étape d'inscription avant que le service d'identité puisse être utilisé. Les authentificateurs TOTP standard en sont un exemple.
Types de packages de services d'identité
Les services d'identité sont regroupés dans les types de packages suivants :
- Services d'identité standard : Intégrés dans Specops Authentication.
- Services de vérification d'identité : Intégrés dans Specops Authentication.
- Services d'identité tiers : Fournisseurs d'authentification externes qui s'intègrent à Specops Authentication.
- Services d'identité fédérés : Authentification gérée par un fournisseur d'identité externe.
Services d'identité standard
Les services d'identité suivants sont disponibles dans le package Standard :
| Service d'identité | Description | Auto | Admin | Utilisateur |
|---|---|---|---|---|
| Specops:ID | Application mobile Specops utilisée pour l'authentification par push et biométrique. | x | ||
| Specops Authenticator | Authentification utilisant des codes à usage unique générés dans l'application mobile Specops Authenticator. Remarque : Ce service d'identité est en cours de suppression et arrivera en fin de vie dans une future version. Il est recommandé d'utiliser Specops:ID. | x | ||
| Specops Fingerprint | Authentification biométrique utilisant l'application mobile Specops (empreinte digitale ou Face ID). Remarque : Ce service d'identité est en cours de suppression et arrivera en fin de vie dans une future version. Il est recommandé d'utiliser Specops:ID. | x | ||
| Code de vérification envoyé à l'adresse email professionnelle de l'utilisateur. | x | |||
| Identification du manager | Le manager de l'utilisateur approuve la demande d'authentification par email ou SMS. | x | ||
| Code Mobile (SMS) | Code de vérification à usage unique envoyé au téléphone mobile de l'utilisateur via SMS. | x | x | x |
| Email personnel | Code de vérification envoyé à une adresse email personnelle alternative. | x | x | |
| Questions secrètes | L'utilisateur répond à des questions de sécurité préconfigurées. | x | x | |
| Emplacement réseau de confiance | Authentification basée sur l'origine de la demande depuis un réseau de confiance. | x | ||
| Identité Windows | Authentifie en utilisant l'identité de session Windows de l'utilisateur. | x |
Services de vérification d'identité
Les services d'identité suivants sont disponibles dans le package Vérification d'identité :
| Service d'identité | Description | Auto | Admin | Utilisateur |
|---|---|---|---|---|
| Specops Verified ID | Vérifie l'identité de l'utilisateur avec une pièce d'identité émise par le gouvernement et des contrôles de vivacité biométriques. Remarque : Si Correspondance de la date de naissance est configurée, les utilisateurs doivent être préinscrits par un administrateur. | x | x |
Services d'identité tiers
Les services d'identité suivants sont disponibles dans le package Tiers :
| Service d'identité | Description | Auto | Admin | Utilisateur |
|---|---|---|---|---|
| Duo | Authentification multi-facteurs utilisant Duo Security. | x | x | |
| Freja | Identification électronique mobile utilisée pour l'authentification dans l'application Freja. | x | x | |
| Google Authenticator | Authentification utilisant des codes à usage unique générés dans l'application Google Authenticator. | x | ||
| Microsoft Entra ID | Authentification via Microsoft Entra ID (Azure AD). | x | ||
| Microsoft Authenticator | Authentification utilisant des codes à usage unique générés dans l'application Microsoft Authenticator. | x | ||
| Mobile BankID | Identification électronique suédoise utilisée pour l'authentification dans l'application Mobile BankID. | x | x | |
| Okta | Authentification via le fournisseur d'identité Okta. | x | x | |
| Passkeys | Authentification sans mot de passe utilisant les passkeys FIDO. | x | ||
| PingID | Authentification multi-facteurs utilisant Ping Identity. | x | x | |
| RSA SecurID | Authentification utilisant les tokens RSA SecurID. | x | x | |
| SITHS eID | Identification électronique suédoise utilisée dans les environnements de santé. | x | ||
| Symantec VIP | Authentification utilisant les identifiants Symantec VIP. | x | x | |
| YubiKey | Clé de sécurité matérielle utilisée pour l'authentification. | x | x |
Services d'identité fédérés
Les services d'identité suivants sont disponibles dans le package Fédération :
| Service d'identité | Description | Auto | Admin | Utilisateur |
|---|---|---|---|---|
| Amazon | Authentification via le fournisseur d'identité Amazon. | x | ||
| Box | Authentification via le fournisseur d'identité Box. | x | ||
| Authentification via le fournisseur d'identité Facebook. | x | |||
| Flickr | Authentification via le fournisseur d'identité Flickr. | x | ||
| Authentification via le fournisseur d'identité Google. | x | |||
| Authentification via le fournisseur d'identité Instagram. | x | |||
| Authentification via le fournisseur d'identité LinkedIn. | x | |||
| Live | Authentification via le fournisseur d'identité Microsoft Live. | x | ||
| Salesforce | Authentification via le fournisseur d'identité Salesforce. | x | ||
| Tumblr | Authentification via le fournisseur d'identité Tumblr. | x | ||
| Authentification via le fournisseur d'identité Twitter. | x |
Attribution de poids aux services d'identité
Une fois que vous savez quels services d'identité utiliser, vous devez leur attribuer une valeur étoilée. Le nombre d'étoiles attribuées à un service d'identité doit refléter à quel point il est jugé sécurisé. Voici quelques considérations lors de l'attribution d'une valeur étoilée :
- Specops/Google/Microsoft Authenticator : Ces services d'identité sont basés sur la norme TOTP (RFC 6238) et sont considérés comme des méthodes d'authentification à haute sécurité car ils utilisent un facteur de possession. Pour accéder au code de vérification généré, l'utilisateur doit avoir accès à l'appareil enregistré et ouvrir l'application d'authentification.
- Services d'identité sociaux : Aussi sécurisés que l'exigence de complexité de la politique de mot de passe du service d'identité.
- Code Mobile (SMS) : Utilise un facteur de possession. Selon l'appareil et les paramètres de notification, les messages SMS peuvent être visibles sur l'écran de verrouillage. Les organisations doivent évaluer si la vérification par SMS est conforme à leurs exigences et politiques de sécurité.
Voir aussi Politiques d'authentification multi-facteurs dynamiques.