Specops Verified ID

Specops Verified ID permet aux organisations de vérifier en toute sécurité les identités des utilisateurs en utilisant une identification émise par le gouvernement. Lors de la vérification, l'utilisateur scanne un document d'identité (ID) tel qu'un passeport, une carte d'identité nationale ou un permis de conduire et effectue un contrôle de selfie en direct. Le système compare la photo sur le document d'identité avec la capture en direct pour confirmer que l'utilisateur est physiquement présent et correspond au titulaire du document. Les attributs vérifiés du document d'identité, y compris le nom et la date de naissance, sont ensuite validés par rapport à l'enregistrement de l'utilisateur provisionné dans Active Directory.

Specops Verified ID prend en charge un large éventail de documents d'identité émis par le gouvernement utilisés dans le monde entier.

Un cas d'utilisation clé pour Specops Verified ID est la vérification du service d'assistance sécurisé. Les utilisateurs appelant le service d'assistance dans les organisations utilisant Specops Secure Service Desk peuvent vérifier leur identité en utilisant une identification émise par le gouvernement, permettant aux agents du service d'assistance de confirmer en toute sécurité l'identité de l'appelant avant d'effectuer des actions liées au compte.

Specops Verified ID peut également être utilisé pour intégrer en toute sécurité de nouveaux employés en vérifiant leur identité lors de la configuration de leur mot de passe du premier jour.

Specops Verified ID est accessible aux utilisateurs finaux via l'application mobile Specops:ID, disponible pour iOS et Android, ou via un navigateur web standard. Avec l'application mobile Specops:ID, les utilisateurs peuvent s'inscrire avec une identification émise par le gouvernement via Specops Verified ID ou d'autres facteurs d'authentification. L'inscription utilise les biométries de l'appareil mobile (empreinte digitale ou reconnaissance faciale) ou un code PIN de l'appareil pour aider à sécuriser la méthode d'authentification inscrite.

Avec le flux du navigateur web, les utilisateurs peuvent compléter la vérification d'identité et l'authentification sans utiliser l'application mobile Specops:ID. Si le flux du navigateur web est démarré sur un appareil de bureau, l'utilisateur doit passer à un appareil mobile pour scanner le document d'identité et compléter le contrôle de vivacité du visage, car la qualité de la caméra web de bureau est généralement insuffisante pour une vérification fiable.

Configurer Specops Verified ID

Pour configurer Specops Verified ID pour la première fois :

Connectez-vous à Specops Authentication Web : https://login.specopssoft.com/authentication/admin
Dans la barre latérale gauche, sélectionnez Services d’identité, puis sélectionnez Specops Verified ID.
Sous Méthode de vérification, sélectionnez comment les utilisateurs doivent vérifier leur identité en utilisant Specops Verified ID.
- Specops:ID app: Les utilisateurs vérifient leur identité avec l'application mobile Specops:ID.
- Navigateur web: Les utilisateurs vérifient leur identité depuis un navigateur web.
- Les deux: Les utilisateurs pourront choisir entre les deux méthodes.
Allez dans Document settings.
1. Sous Correspondance de nom, choisissez un Niveau de similarité du nom pour contrôler la variation autorisée entre le nom de l'utilisateur dans Active Directory ou Entra ID et le nom sur le document d'identité. Cela est utile si le scan manque une lettre ou si le nom du compte contient une erreur d'orthographe.
  - Correspondance exacte: Les noms doivent être identiques.
  - Correspondance stricte: Très petites différences seulement. C'est le paramètre recommandé.
  - Correspondance floue: Tolérance modérée pour les variations d'orthographe courantes et les petites fautes de frappe.
  - Correspondance lâche: Tolérance la plus élevée ; permet plus de variations mais augmente le risque de correspondance avec des noms similaires qui n'appartiennent pas à la même personne.
    
    Remarque
    
    Le nom de l'utilisateur dans Active Directory ou Entra ID peut différer du nom légal sur le document d'identité. Cette discordance peut entraîner l'échec de l'étape de capture du document d'identité. Voir Considérations sur les règles de correspondance pour savoir comment résoudre ce problème.
2. Sous Correspondance de la date de naissance, activez Faire correspondre l'utilisateur sur la date de naissance pour comparer la date de naissance de l'utilisateur avec la date de naissance sur le document d'identité. Si activé, sélectionnez au moins une règle de date de naissance : Année ou Mois & Jour.
  
  Remarque
  
  Avant d'utiliser Correspondance de la date de naissance, les utilisateurs doivent être préinscrits avec une date de naissance. Voir Considérations sur les règles de correspondance pour plus d'informations.
Allez dans Paramètres du visage.
1. Sous Vérification de liveness, choisissez l'une des options suivantes pour vérifier que l'utilisateur est physiquement présent devant la caméra :
  - Vérification active: Plus stricte et aide à réduire le risque de fraude.
  - Vérification passive: Plus facile pour les utilisateurs mais peut être moins stricte.
    
    Remarque
    
    Il est recommandé de commencer par la vérification active à moins que votre organisation ait une raison forte de ne pas le faire.
2. Sous Correspondance de visage, ajustez la valeur du Pourcentage de similarité pour le seuil de similarité du visage. Le seuil est utilisé lors de la comparaison de la capture en direct d'un utilisateur avec la photo de son document d'identité.
  - Seuil plus élevé : Sécurité renforcée, potentiellement plus de rejets erronés.
  - Seuil plus bas : Expérience utilisateur plus fluide, potentiellement moins de correspondance.
    
    Remarque
    
    Il est recommandé d'utiliser la valeur par défaut initialement, puis de l'ajuster en fonction des résultats réels du support.
Enregistrez la configuration et confirmez que l'enregistrement a réussi.
Effectuez un test réel de bout en bout avec un utilisateur de test, voir Authentification avec Specops Verified ID.

Considérations sur les règles de correspondance

Correspondance des noms

Le nom de l'utilisateur dans Active Directory ou Entra ID peut différer du nom légal utilisé pour la vérification d'identité. Par exemple, "John Doe" peut apparaître dans l'annuaire, tandis que "Jonathan Doe" est le nom légal de l'utilisateur sur son document d'identité. Cette discordance peut entraîner l'échec de l'étape de capture du document d'identité. Pour résoudre ce problème :

Pour les utilisateurs Active Directory, utilisez l'une des méthodes suivantes :
- Utilisez la cmdlet PowerShell pour inscrire le nom légal pour la comparaison lors de l'authentification :
```
Add-SAVerifiedIdEnrollment `
  -Username <USERNAME> `
  -LegalName <LEGALNAME>
```
- Utilisez la cmdlet PowerShell pour supprimer le nom légal :
```
Remove-SAVerifiedIdEnrollment `
  -Username <USERNAME> `
  -ClearLegalName
```
- Alternativement, inscrivez-vous depuis Secure Service Desk. Pour plus d'informations, voir Gestion des inscriptions Specops Verified ID.
Pour les utilisateurs Entra ID, inscrivez-vous depuis Secure Service Desk. Pour plus d'informations, voir Gestion des inscriptions Specops Verified ID.

Correspondance de la date de naissance

Bien que Correspondance de nom soit toujours utilisée comme règle de correspondance, Correspondance de la date de naissance nécessite que les utilisateurs soient préinscrits avec une date de naissance.

Utilisez la cmdlet PowerShell suivante pour préinscrire une date de naissance :

Add-SAVerifiedIdEnrollment `
  -BirthYear <BIRTHYEAR> `
  -BirthMonth <BIRTHMONTH> `
  -BirthDay <BIRTHDAY>

Utilisez la cmdlet PowerShell suivante pour supprimer la date de naissance :

Remove-SAVerifiedIdEnrollment `
  -ClearBirthYear
  -ClearBirthMonthAndDay

Remarque

La valeur de la date de naissance est stockée dans Active Directory sous forme de hachage chiffré, pas la date réelle.

Authentification avec Specops Verified ID

Si vous utilisez l'application mobile Specops:ID pour vous authentifier, assurez-vous qu'elle est installée sur votre appareil mobile.

Après avoir entré votre nom d'utilisateur et votre mot de passe, choisissez Specops Verified ID comme service d'identité.
Un code QR est affiché dans Specops Authentication Web, selon la méthode de vérification :
- Si vous vous authentifiez via l'application mobile Specops:ID, scannez le code QR en utilisant Specops:ID et appuyez sur Continuer.
- Si vous vous authentifiez via un navigateur web sur votre ordinateur, scannez le code QR avec votre appareil mobile et ouvrez le lien dans votre navigateur web mobile.
- Si vous vous authentifiez via un navigateur web sur votre appareil mobile, utilisez Appuyez pour commencer la vérification.
Suivez les instructions pour scanner votre document d'identité avec la caméra.
Pour vérifier la vivacité, suivez les instructions et prenez un selfie avec la caméra.
Après une authentification réussie, vous êtes connecté à votre compte Windows.

Dépannage

D'un point de vue support, le processus d'authentification comporte cinq étapes :

Début de la session
- Une session de vérification est créée pour l'utilisateur.
Capture du document d'identité
- L'utilisateur scanne un document d'identité.
Capture du visage
- L'utilisateur effectue un contrôle de visage en direct.
Comparaison et validation
- Les résultats du document d'identité et du visage sont évalués par rapport aux règles configurées.
Résultat
- Le flux d'authentification se termine par un succès, une nouvelle tentative ou un échec.

Ce modèle aide les équipes de support à identifier rapidement où les utilisateurs sont bloqués.

Voir les sections suivantes pour les problèmes courants des utilisateurs et ce qu'il faut vérifier.

Les utilisateurs ne peuvent pas commencer la vérification

Vérifiez :

Specops Verified ID est activé pour le client
L'utilisateur est dans le champ d'application de la politique
Les URL requises doivent être accessibles via le pare-feu pour permettre la connexion à Specops Authentication (voir Listes d'autorisation d'URL).

De nombreux utilisateurs échouent à l'étape de capture du document d'identité

Vérifiez :

Les règles de correspondance des documents ne sont pas trop strictes pour votre population d'utilisateurs
Les utilisateurs scannent des types de documents d'identité pris en charge

De nombreux utilisateurs échouent à l'étape de capture du visage

Vérifiez :

Qualité de la caméra et conditions d'éclairage
Mode de vérification de la vivacité (actif vs passif)
Le seuil de correspondance du visage n'est pas défini de manière trop agressive

Les utilisateurs signalent des expirations aléatoires

Vérifiez :

Attentes de durée de session dans les directives aux utilisateurs
Stabilité du réseau entre les appareils des utilisateurs et les points de terminaison du service
Si les utilisateurs font une pause trop longue entre les étapes

L'enregistrement fonctionne mais la vérification échoue toujours

Vérifiez :

Une nouvelle session de test a été utilisée après les changements de configuration
Les affectations de politique incluent les utilisateurs cibles

Recommandation de mise en service

Avant un déploiement large :

Effectuez un pilote avec un petit groupe d'utilisateurs
Mesurez les raisons des échecs pendant une à deux semaines
Ajustez progressivement le seuil et la rigueur de la correspondance
Publiez des directives pour les utilisateurs finaux avec des captures d'écran et des conseils de nouvelle tentative

Informations de transfert pour l'escalade

Lors de l'escalade vers les équipes techniques, incluez :

Heure de l'échec
Nombre d'utilisateurs affectés
Étape où les échecs se produisent (début, document d'identité, visage, achèvement)
Libellé de l'erreur affiché aux utilisateurs
Si le problème concerne l'ensemble du client ou est limité à un sous-ensemble

Cela raccourcit considérablement le temps de résolution.