Présentation

Ce contenu est destiné aux clients de uReset utilisant Authentication Gatekeeper (version 8.0 ou ultérieure).

Specops uReset exploite le modèle d’identité basée sur des demandes pour fournir une authentification multifacteur flexible afin de renforcer la sécurité de la réinitialisation du mot de passe, tout en minimisant l’impact sur les utilisateurs finaux. La solution étend la fonctionnalité uReset avec des langues supplémentaires, la redondance Gatekeeper, ainsi que la possibilité d’étendre les inscriptions à la connexion Office 365, si la fonctionnalité O365 est activée.

Concepts fondamentaux

Réinitialisation du mot de passe

La procédure de changement d’un mot de passe oublié. Une réinitialisation du mot de passe peut être effectuée par un utilisateur ayant vérifié son identité avec l’authentification multifacteur. L’utilisateur peut réinitialiser ses mots de passe à l’aide de uReset, accessible via n’importe quel navigateur Web (non ancien), dont les navigateurs de téléphones portables.

Authentification multifacteur

Specops uReset va au-delà de l’authentification à deux facteurs en prenant en charge une vaste gamme de services d’identité qui peuvent être utilisés pour augmenter la sécurité et la flexibilité de la réinitialisation du mot de passe. La solution prend en charge non seulement les authentificateurs courants, tels que les questions et réponses et les codes de vérification mobiles, mais également divers services d’identité numérique allant des services d’identité personnelle (par exemple, LinkedIn) aux services d’identité d’entreprise (par exemple, salesforce.com), en plus des méthodes de plus grande confiance telles que les cartes à puce. Le service d’assistance peut également utiliser l’authentification multifacteur lorsqu’il aide les utilisateurs à déverrouiller leur compte et/ou à réinitialiser leur mot de passe, en leur demandant d’utiliser les services d’identité auxquels ils sont inscrits pour vérifier leur identité.

Les administrateurs informatiques peuvent sélectionner, en fonction du rôle et de la stratégie de sécurité, les services d’identité/authentificateurs qu’ils souhaitent étendre aux utilisateurs finaux pour vérifier leur identité lors de la réinitialisation ou du déverrouillage de leurs comptes. Une telle flexibilité peut garantir que divers besoins de sécurité et de flexibilité sont satisfaits. Par exemple :

  • Pour les utilisateurs ayant une autorisation de sécurité de bas niveau, mais un besoin élevé de flexibilité, comme les étudiants, les administrateurs informatiques peuvent leur permettre de s’authentifier avec différents services d’identité personnels tels que leurs identifiants Google et Facebook.
  • Pour les utilisateurs disposant d’une autorisation de sécurité de niveau supérieur, tels que les responsables de l’aide financière ou les cadres supérieurs, les administrateurs informatiques peuvent attribuer des stratégies qui appliquent un nombre plus élevé ou une combinaison plus forte de services d’identité. Cette approche offre aux administrateurs la flexibilité dont ils ont besoin pour appliquer des stratégies qui se traduisent par plus de sécurité et d’efficacité.

Services d’identité

Les services d’identité permettent aux utilisateurs de s’identifier en toute sécurité lorsqu’ils se connectent. Les services d’identité peuvent être classés dans plusieurs catégories, notamment : nom d’utilisateur et mot de passe, réseaux sociaux ( Facebook, LinkedIn, Tumblr), et de plus grande confiance ( Google Authenticator, Microsoft Authenticator, Duo Security).

Afin d’utiliser divers services d’identité pour authentifier les utilisateurs, le service d’identité doit être configuré (activé) dans la console d’administration, et l’utilisateur concerné par la stratégie uReset doit s’inscrire au service uReset. Une fois qu’un utilisateur s’est inscrit, il peut réinitialiser son mot de passe à l’aide de l’application Web uReset (via un lien hypertexte sur l’écran de connexion ou sur n’importe quel navigateur moderne). Specops uReset utilise les données des objets utilisateur dans Active Directory pour lire et écrire les informations utilisées dans le système.

Les services d’identité suivants peuvent être utilisés pour authentifier les utilisateurs dans Specops uReset :

Présentation des services d'identités

Voici une liste de tous les services d'identité disponibles dans Specops Authentication.

Standard

  • Specops Fingerprint : Specops Fingerprint permet aux utilisateurs de s'inscrire et de s'authentifier à l'aide d'appareils dotés de lecteurs d'empreintes digitales, tels que les téléphones intelligents et les tablettes. Les utilisateurs peuvent placer leur doigt sur le lecteur d'empreintes digitales de leur appareil pour s'identifier instantanément. Les utilisateurs peuvent également utiliser Face ID pour s'authentifier, s'ils possèdent un iPhone X ou un modèle ultérieur. Afin d'utiliser ce service d'identité, l'application doit être installée sur l'appareil mobile de l'utilisateur.
  • Specops Authenticator : Les utilisateurs peuvent s'authentifier avec l'application Specops Authenticator. Les utilisateurs scannent un code QR ou saisissent une réponse à une question de sécurité. Specops Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique à 6 chiffres, qui doit être saisi pour s'authentifier.
  • Mobile Code (SMS) : Les utilisateurs recevront un mot de passe unique à 6 chiffres via un message SMS, qui doit être saisi pour s'authentifier.
  • E-mail : l'adresse e-mail de l'utilisateur est utilisée comme service d'identité en envoyant un code à l'adresse e-mail enregistrée que l'utilisateur doit ensuite saisir dans le champ à l'écran. E-mail ne nécessite pas d'inscription, car elle fait référence à l'adresse e-mail de l'attribut e-mail dans AD (ou tout autre attribut s'il est remplacé). Celle-ci ne peut être utilisée qu'avec des domaines associés à Specops Authentication.
  • : l'adresse e-mail de l'utilisateur est utilisée comme service d'identité en envoyant un code à l'adresse e-mail enregistrée que l'utilisateur doit ensuite saisir dans le champ à l'écran. doit être enregistrée lors de l'inscription par l'utilisateur et celui-ci peut utiliser l'adresse e-mail de son choix.
  • Emplacements réseau approuvés : Emplacements réseau approuvés est un service d'identité qui permet aux administrateurs de désigner certaines plages d'adresses IP en tant que Emplacements réseau approuvés.
  • Identification du gestionnaire : Lorsqu'un utilisateur s'authentifie à l'aide de Identification du gestionnaire, un e-mail ou un SMS est envoyé à son responsable. Son responsable doit alors approuver la demande d'authentification. Les administrateurs peuvent personnaliser la notification envoyée en ajoutant des informations personnalisées à la notification de la demande. Afin d'utiliser Identification du gestionnaire, chaque utilisateur doit avoir un responsable attribué dans Active Directory, et les comptes de responsable doivent avoir une adresse e-mail/numéro de téléphone portable associé à leur profil afin de recevoir les demandes d'authentification des utilisateurs.
  • Questions secrètes : Les utilisateurs peuvent choisir des questions dans une liste prédéterminée et indiquer les réponses à celles-ci. Ils doivent ensuite répondre à ces questions afin de s'authentifier.

Tiers

REMARQUE
Dans la plupart des cas, l'inscription à des services d'identité tiers doit être gérée individuellement par les utilisateurs.
  • PingID : Avec PingID, les utilisateurs peuvent s'authentifier à l'aide de l'application mobile PingID.
  • Duo Security : Avec Duo Security, les utilisateurs peuvent s'authentifier à l'aide de l'application mobile Duo Security.
  • Freja : Avec Freja, les utilisateurs peuvent s'authentifier à l'aide de l'application mobile Freja.
  • Les utilisateurs de Okta peuvent s'inscrire et s'authentifier à l'aide des informations d'identification de leur compte Okta. Ceci peut être effectué via l'application Okta et en envoyant des codes par SMS.
  • Symantec VIP : Les utilisateurs peuvent s'authentifier avec l'application mobile Symantec VIP.
  • Google Authenticator : Google Authenticator est une application qui génère des mots de passe à usage unique. Un secret est généré et présenté sous la forme d'un code QR que l'utilisateur scanne. Google Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique de 6 à 8 chiffres, qui doit être saisi pour s'authentifier.
  • Microsoft Authenticator : Microsoft Authenticator est une application qui génère des mots de passe à usage unique. Un secret est généré et présenté sous la forme d'un code QR que l'utilisateur scanne. Microsoft Authenticator fournit ensuite aux utilisateurs un mot de passe à usage unique de 6 à 8 chiffres, qui doit être saisi pour s'authentifier.
  • EFOS/SITHS (Suède) : EFOS/SITHS est un service d'authentification basé sur une carte à puce, qui permet aux employés (tels que les professionnels de la santé) des autorités, des municipalités et des conseils de comté en Suède de s'identifier électroniquement.
  • Mobile BankID (Suède) : Si les utilisateurs disposent de l'application Mobile BankID, ils peuvent l'utiliser pour vérifier leur identité.
    REMARQUE
    Les utilisateurs devront scanner un code QR dans l'application Mobile BankID afin de s'authentifier avec ce service d'identité.
  • YubiKey : YubiKey est un dispositif matériel d'authentification. Les utilisateurs peuvent s'authentifier en générant des mots de passe à usage unique (OTP) avec leur YubiKey (uniquement si la YubiKey prend en charge Yubico OTP en tant que fonction de sécurité). Pour plus d'informations concernant YubiKey, veuillez consulter la page YubiKey.

Fédéré

  • Google : les utilisateurs peuvent s'inscrire et s'authentifier à l'aide des informations d'identification de leur compte Google.
  • Microsoft Live : les utilisateurs peuvent s'inscrire et s'authentifier à l'aide des informations d'identification de leur compte Microsoft Live. Les informations d'identification Microsoft Live sont utilisées pour se connecter à Microsoft Cloud, notamment : Outlook, Office Online, OneDrive, Skype, Xbox Live, et Microsoft Store.
  • LinkedIn : les utilisateurs peuvent s'inscrire et s'authentifier à l'aide des informations d'identification de leur compte LinkedIn.

S’inscrire

Les utilisateurs doivent s’inscrire auprès du service uReset. La procédure d’inscription sera différente pour chaque type de service d’identité. Afin de s’inscrire auprès d’un service d’identité personnelle tel que Google, l’utilisateur devra utiliser le lien de l’application Web Specops uReset vers la page Web Google, et se connecter avec l’adresse e-mail et le mot de passe associés à son compte Google. Lorsqu’un utilisateur affecté par une stratégie uReset utilisant Google s’inscrit au service, un identifiant unique est stocké dans l’objet utilisateur dans Active Directory.

Stratégie

Une stratégie contient les règles requises pour l’inscription et l’authentification multifacteur. Une stratégie contrôle les services d’identité qui peuvent être utilisés et combien doivent être utilisés pour vérifier l’identité d’un utilisateur. Le propriétaire du système est chargé de configurer les règles dans les stratégies.

Architecture et conception

Specops uReset est nativement intégré à Active Directory. La configuration du système est effectuée à l’aide de la stratégie de groupe, sans ajouter de complexité supplémentaire dans votre environnement. Cela signifie qu’aucune base de données externe n’est requise pour stocker les informations relatives au mot de passe. Les données utilisateur sont stockées directement dans les objets utilisateur de la stratégie de groupe, ce qui minimise les risques de sécurité tout en garantissant l’attribution de mots de passe en temps réel inhérente.

Specops uReset inclut les composants suivants et ne nécessite aucune ressource supplémentaire dans votre environnement. Les services d’authentification, Web et d’identité sont hébergés sur le cloud. Vous n’aurez qu’à installer le composant Gatekeeper.

Texte de remplacement pour cette image

Cloud d’authentification : Le composant cloud global de uReset, le cloud d’authentification, contient les services Web (l’interface pour les utilisateurs finaux) et les services back-end.

Authentication Web: Contient l’interface pour les utilisateurs finaux, ainsi que pour les administrateurs. Authentication Web peut être utilisé pour afficher les informations système et gérer divers aspects du produit, dont les configurations à l’échelle du système et les stratégies d’authentification multifacteur pour diverses ressources, dont uReset.

Serveur principal d’authentification : Afin de lire les informations utilisateur à partir d’Active Directory, le serveur principal communique avec le Gatekeeper. Les services Web et d’identité communiquent également avec le serveur principal. Le serveur principal d’authentification valide l’identité d’un utilisateur en fonction des jetons des services d’identité individuels.

Gatekeeper : Le Gatekeeper doit être installé sur un serveur de votre domaine. Le Gatekeeper lit les informations utilisateur à partir d’Active Directory et gère toutes les opérations par rapport à Active Directory, telles que la lecture/l’écriture des données d’inscription.

Services d’identité : Une entité pouvant valider l’identité d’un utilisateur dans uReset. Les jetons des services d’identité individuels sont utilisés par le serveur principal pour valider l’identité d’un utilisateur.

Certains des services d’identité utilisés lors de l’authentification, tels que Facebook ou Google, sont externes. Lorsqu’un service d’identité externe est utilisé, l’utilisateur est redirigé vers le service d’identité et invité à donner à Specops son consentement pour accéder à ses informations personnelles, telles que son nom d’utilisateur. Les informations du consentement permettent la création du jeton utilisé pour l’authentification.

Jeton : Un jeton ou un jeton de sécurité est un support d’informations concernant un utilisateur et l’émetteur du jeton. Les informations concernant un utilisateur consistent en un ensemble de déclarations. Les revendications concernant un utilisateur peuvent par exemple être le nom de l’utilisateur, l’identifiant du client auquel il appartient et les rôles d’un utilisateur au sein de son organisation.

Remarque : Aucune information d’identification personnelle ou mot de passe ne sont inclus dans les jetons.

Fonctionnalités et capacités

Rapports

La fonctionnalité de Création de rapports de uReset vous permet de suivre votre processus d’inscription et fournit plusieurs rapports sur les inscriptions, les événements et l’utilisation des services d’identité.

Personnalisations

L’application Web uReset contient plusieurs fonctionnalités de personnalisation qui vous permettent de contrôler l’interface utilisateur final de Specops uReset. Vous pouvez personnaliser divers éléments graphiques de l’application Web Specops uReset, dont le logo principal et le style principal (vous permettant de définir vos propres styles en utilisant un CSS bootstrap personnalisé). Vous pouvez également personnaliser le texte affiché à l’utilisateur final, pour toutes les langues prises en charge.

Gestion utilisateur

Le menu Gestion des utilisateurs peut être utilisé pour vérifier les comptes des utilisateurs, avec l’un des services d’identité auxquels ils sont inscrits, ou en envoyant un SMS, contenant un code, au téléphone portable de l’utilisateur. Une fois qu’un utilisateur a été vérifié, le service d’assistance peut définir un nouveau mot de passe et demander à l’utilisateur de changer son mot de passe lors de la prochaine ouverture de session.

Notifications d’événements

Specops uReset présente plusieurs options de notification pour rappeler aux utilisateurs de s’inscrire et encourager le libre-service. La méthode de notification est contrôlée via les paramètres d’objet de stratégie de groupe. Specops uReset prend en charge les notifications par e-mail et SMS lorsque certains événements système se produisent, tels qu’un utilisateur s’inscrivant au système. Specops uReset dispose de la possibilité de générer et d’envoyer des e-mails aux utilisateurs finaux pour confirmer que l’opération a réussi.

Services d’identité pondérés

Le moteur d’authentification multifacteur de uReset permet à l’administrateur d’attribuer une pondération spécifique à chaque service d’identité, décidant finalement qu’un service d’identité vaut deux fois plus qu’un autre lors de l’authentification. Sur les interfaces utilisateur, tant pour les utilisateurs finaux que pour l’administrateur, les pondérations sont représentées par des étoiles.

Authentification multifacteur pour les administrateurs et les utilisateurs du service d’assistance

Les utilisateurs faisant partie du groupe Administrateurs et service d’assistance peuvent utiliser l’authentification multifacteur pour vérifier leur identité lorsqu’ils accèdent aux pages Administrateur/Gestion des utilisateurs sur Authentication Web.

Informations d’identification mises en cache : Réinitialiser un mot de passe à distance

Si un utilisateur n’est pas au bureau et oublie son mot de passe, il doit être en mesure de le réinitialiser sans revenir au bureau.

Dans des circonstances ordinaires, lorsqu’un utilisateur se connecte à un ordinateur joint à un domaine alors qu’il est au bureau, une copie en cache de son hachage de mot de passe est stockée localement. Ceci permet à l’ordinateur de vérifier l’utilisateur, même si un contrôleur de domaine n’est pas accessible pour l’authentification.

Toutefois, si l’utilisateur n’est pas au bureau, qu’il réinitialise son mot de passe Active Directory et qu’un contrôleur de domaine est injoignable, le nouveau mot de passe ne sera pas présent dans le cache de l’ordinateur local. Dans ce scénario, un utilisateur ayant oublié son ancien mot de passe verra son ordinateur verrouillé.

Specops uReset et Specops Password Reset peuvent mettre à jour les informations d’identification mises en cache même lorsqu’un contrôleur de domaine est inaccessible. Ceci peut être effectué à partir du lien Réinitialiser le mot de passe sur l’écran de connexion d’une machine sur laquelle Specops Authentication Client est installé.

Applications mobiles

Specops Authenticator

L’application Specops Authenticator est un service d’identité à haut niveau de fiabilité, qui transforme l’appareil mobile en un dispositif de jeton sécurisé. L’application génère un code secret que les utilisateurs doivent fournir en plus de leur nom d’utilisateur lors de l’authentification de leur identité lors d’une réinitialisation de mot de passe. Les codes générés sont basés sur les jetons de sécurité de l’algorithme de mot de passe à usage unique basés sur le temps standard du secteur, car Specops Authenticator peut fonctionner avec Google Authenticator et Microsoft Authenticator.

Specops Password Reset

uReset inclut une application mobile, disponible sur Windows Store, Google Play et App Store, qui peut être utilisée comme alternative sécurisée pour réinitialiser les mots de passe et déverrouiller les comptes. L’application mobile est disponible pour toute organisation permettant aux utilisateurs de réinitialiser leur mot de passe à distance.

Specops Fingerprint Authenticator

L’application Specops Fingerprint Authenticator vous permet de vous authentifier auprès du service de réinitialisation de mot de passe uReset en utilisant soit la fonction de reconnaissance d’empreintes digitales Touch ID intégrée à votre iOS, soit la fonction d’analyse de l’API d’empreintes digitales intégrée à votre système d’exploitation Android 6.0 ou plus récent.