Specops Verified ID

Specops Verified ID permet aux organisations de vérifier en toute sécurité les identités des utilisateurs à l'aide d'une identification émise par le gouvernement. Lors de la vérification, l'utilisateur scanne un document d'identité (ID) tel qu'un passeport, une carte d'identité nationale ou un permis de conduire et effectue une vérification de selfie en direct. Le système compare la photo sur le document d'identité avec la capture en direct pour confirmer que l'utilisateur est physiquement présent et correspond au titulaire du document. Les attributs vérifiés du document d'identité, y compris le nom et la date de naissance, sont ensuite validés par rapport à l'enregistrement de l'utilisateur provisionné dans Active Directory.

Specops Verified ID prend en charge une large gamme de documents d'identité émis par le gouvernement utilisés dans le monde entier.

Un cas d'utilisation clé pour Specops Verified ID est la vérification du service d'assistance sécurisé. Les utilisateurs appelant le service d'assistance dans les organisations utilisant Specops Secure Service Desk peuvent vérifier leur identité à l'aide d'une identification émise par le gouvernement, permettant aux agents du service d'assistance de confirmer en toute sécurité l'identité de l'appelant avant d'effectuer des actions liées au compte.

Specops Verified ID peut également être utilisé pour intégrer en toute sécurité de nouveaux employés en vérifiant leur identité lors de la configuration de leur mot de passe du premier jour.

Specops Verified ID est accessible aux utilisateurs finaux via l'application mobile Specops:ID, disponible pour iOS et Android, ou via un navigateur web standard. Avec l'application mobile Specops:ID, les utilisateurs peuvent s'inscrire avec une identification émise par le gouvernement via Specops Verified ID ou d'autres facteurs d'authentification. L'inscription utilise les biométries de l'appareil mobile (empreinte digitale ou reconnaissance faciale) ou un code PIN de l'appareil pour aider à sécuriser la méthode d'authentification inscrite.

Avec le flux du navigateur web, les utilisateurs peuvent compléter la vérification d'identité et l'authentification sans utiliser l'application mobile Specops:ID. Si le flux du navigateur web est démarré sur un appareil de bureau, l'utilisateur doit passer à un appareil mobile pour scanner le document d'identité et compléter la vérification de la vivacité du visage, car la qualité de la caméra web de bureau est généralement insuffisante pour une vérification fiable.

Configurer Specops Verified ID

Pour configurer Specops Verified ID pour la première fois :

Connectez-vous à Specops Authentication Web : https://login.specopssoft.com/authentication/admin
Dans la barre latérale gauche, sélectionnez Services d’identité, puis sélectionnez Specops Verified ID.
Sous Méthode de vérification, sélectionnez comment les utilisateurs doivent vérifier leur identité à l'aide de Specops Verified ID.
- Application Specops:ID: Les utilisateurs vérifient leur identité avec l'application mobile Specops:ID.
- Navigateur web: Les utilisateurs vérifient leur identité depuis un navigateur web.
- Les deux: Les utilisateurs pourront choisir entre les deux méthodes.
Allez dans Paramètres du document.
1. Sous Correspondance de nom, choisissez un Niveau de similarité du nom pour contrôler la variation autorisée entre le nom du compte utilisateur et le nom sur le document d'identité. Cela est utile si le scan manque une lettre ou si le nom du compte contient une erreur d'orthographe.
  - Correspondance exacte: Les noms doivent être identiques.
  - Correspondance stricte: Très petites différences seulement. C'est le paramètre recommandé.
  - Correspondance floue: Tolérance modérée pour les variations d'orthographe courantes et les petites fautes de frappe.
  - Correspondance lâche: Tolérance la plus élevée ; permet plus de variation mais augmente le risque de correspondance avec des noms similaires qui n'appartiennent pas à la même personne.
2. Sous Correspondance de la date de naissance, activez Faire correspondre l'utilisateur sur la date de naissance pour comparer la date de naissance dans le compte utilisateur avec la date de naissance sur le document d'identité. Si activé, sélectionnez au moins une règle de date de naissance : Année ou Mois & Jour.
Remarque

Correspondance de nom est toujours utilisée. Pour utiliser Correspondance de la date de naissance, les utilisateurs doivent être préinscrits avec le Cmdlet Powershell 'Add-SAVerifiedIdEnrollment' en utilisant les paramètres BirthYear, BirthMonth et BirthDay. Notez que la valeur de la date de naissance est stockée dans Active Directory sous forme de hachage chiffré, et non la date réelle.
Allez dans Paramètres du visage.
1. Sous Vérification de liveness, choisissez l'une des options suivantes pour vérifier que l'utilisateur est physiquement présent devant la caméra :
  - Vérification active: Plus stricte et aide à réduire le risque de falsification.
  - Vérification passive: Plus facile pour les utilisateurs mais peut être moins stricte.
    
    Remarque
    
    Il est recommandé de commencer par la vérification active à moins que votre organisation ait une raison forte de ne pas le faire.
2. Sous Correspondance de visage, ajustez la valeur du Pourcentage de similarité pour le seuil de similarité du visage. Le seuil est utilisé lors de la comparaison de la capture en direct d'un utilisateur avec la photo de son document d'identité.
  - Seuil plus élevé : Sécurité renforcée, potentiellement plus de rejets faux.
  - Seuil plus bas : Expérience utilisateur plus fluide, potentiellement une correspondance plus faible.
    
    Remarque
    
    Il est recommandé d'utiliser la valeur par défaut au départ, puis de l'ajuster en fonction des résultats réels du support.
Enregistrez la configuration et confirmez que l'enregistrement a réussi.
Effectuez un test de bout en bout réel avec un utilisateur de test, voir Authentification avec Specops Verified ID.

Authentification avec Specops Verified ID

Si vous utilisez l'application mobile Specops:ID pour vous authentifier, assurez-vous qu'elle est installée sur votre appareil mobile.

Après avoir entré votre nom d'utilisateur et votre mot de passe, choisissez Specops Verified ID comme service d'identité.
Un code QR est affiché dans Specops Authentication Web, selon la méthode de vérification :
- Si vous vous authentifiez via l'application mobile Specops:ID, scannez le code QR en utilisant Specops:ID et appuyez sur Continuer.
- Si vous vous authentifiez via un navigateur web sur votre ordinateur, scannez le code QR avec votre appareil mobile et ouvrez le lien dans votre navigateur web mobile.
- Si vous vous authentifiez via un navigateur web sur votre appareil mobile, utilisez Appuyez pour commencer la vérification.
Suivez les instructions pour scanner votre document d'identité avec la caméra.
Pour vérifier la vivacité, suivez les instructions et prenez un selfie avec la caméra.
Après une authentification réussie, vous êtes connecté à votre compte Windows.

Dépannage

D'un point de vue support, le processus d'authentification comporte cinq étapes :

Début de la session
- Une session de vérification est créée pour l'utilisateur.
Capture du document d'identité
- L'utilisateur scanne un document d'identité.
Capture du visage
- L'utilisateur effectue une vérification du visage en direct.
Comparaison et validation
- Les résultats du document d'identité et du visage sont évalués par rapport aux règles configurées.
Résultat
- Le flux d'authentification se termine par un succès, une réessai ou un échec.

Ce modèle aide les équipes de support à identifier rapidement où les utilisateurs sont bloqués.

Voir les sections suivantes pour les problèmes courants des utilisateurs et ce qu'il faut vérifier.

Les utilisateurs ne peuvent pas commencer la vérification

Vérifiez :

Specops Verified ID est activé pour le client
L'utilisateur est dans le champ d'application de la politique
Les URL requises doivent être accessibles via le pare-feu pour permettre la connexion à Specops Authentication (voir Listes d'autorisation d'URL).

De nombreux utilisateurs échouent à l'étape de capture du document d'identité

Vérifiez :

Les règles de correspondance des documents ne sont pas trop strictes pour votre population d'utilisateurs
Les utilisateurs scannent des types de documents d'identité pris en charge

De nombreux utilisateurs échouent à l'étape de capture du visage

Vérifiez :

Qualité de la caméra et conditions d'éclairage
Mode de vérification de la vivacité (actif vs passif)
Le seuil de correspondance du visage n'est pas réglé de manière trop agressive

Les utilisateurs signalent des expirations aléatoires

Vérifiez :

Attentes de durée de session dans les directives aux utilisateurs
Stabilité du réseau entre les appareils des utilisateurs et les points de terminaison du service
Si les utilisateurs font une pause trop longue entre les étapes

L'enregistrement fonctionne mais la vérification échoue toujours

Vérifiez :

Une nouvelle session de test a été utilisée après les modifications de configuration
Les affectations de politiques incluent les utilisateurs cibles

Recommandation de mise en service

Avant un déploiement large :

Effectuez un pilote avec un petit groupe d'utilisateurs
Mesurez les raisons des échecs pendant une à deux semaines
Ajustez progressivement le seuil et la rigueur de la correspondance
Publiez des directives pour les utilisateurs finaux avec des captures d'écran et des conseils de réessai

Informations de transmission pour l'escalade

Lors de l'escalade vers les équipes techniques, incluez :

Heure de l'échec
Nombre d'utilisateurs affectés
Étape où les échecs se produisent (début, document d'identité, visage, achèvement)
Libellé de l'erreur affiché aux utilisateurs
Si le problème concerne l'ensemble du client ou est limité à un sous-ensemble

Cela réduit considérablement le temps de résolution.