公司新闻

首页 » 公司新闻

来自卓豪ADSelfService Plus的双重安全体验

1、背景介绍

尽管信息技术在过去几十年中取得了巨大的进步,但用户名和密码仍然是企业普遍采用的身份验证方式。对于员工使用的每个应用程序,都要额外记住一套用户名和密码。根据《卫报》2020年的一项调查显示,999名参与者中有70%以上的人需要记住10个以上的密码。为了能记得住,员工要么对多个应用程序使用相同的密码,要么采用不安全的密码存储方式,而忽略了可能导致的安全漏洞。

来自卓豪ADSelfService Plus的双重安全体验

2、传统身份验证方式的不足

为了不必记住如此多的密码,员工通常会这样做:

① 使用弱密码。

② 多个应用程序使用相同的密码。

③ 跟同事共享密码。

④ 把所有用户名和密码都记录在一个文档里。

IT管理员无法完全阻止以上行为发生,而正是这些危险行为往往会导致密码被窃。

由于传统的登录方式仅使用用户名-密码对用户进行身份验证,因此具有这些凭据的任何人都可以获得访问权限。这种方式不区分员工和黑客,这意味着它不再是一种安全的用户身份验证方式。

跟同事共享密码

3、双因素验证及工作原理

为了区别用户和黑客,需要采用更先进的身份验证方式。一种方式是采用TFA。在此种方法中,用户必须:

① 输入用户名和密码。

② 输入其它有效信息,如短信验证码或者电子邮件验证码。

4、一个常见场景

如今,许多网上银行网站都使用TFA技术来提高身份验证安全性。首先,用户使用用户名和密码登录到他们的银行门户。在大多数情况下,首次成功完成验证后,系统会向用户的注册手机号码或电子邮件发送一个有时间限制的一次性验证码。输入正确后,才能通过第二层身份验证。即当且仅当用户正确输入了第一个和第二个身份验证信息时,才能完成身份验证。

一个常见场景

5、TFA的正确使用方式

虽然实现TFA并不难,但又有一个问题不可避免,当前几乎没有哪家企业只使用一个应用程序,而是会同时使用众多个应用程序,因此他们必须依次在每个应用程序中输入凭证进行身份验证。这样非常容易让人造成记忆混淆,而且还会导致因多次登录失败而造成帐户被锁。很多传统的TFA解决方案都不提供单点登录(SSO)功能。能够让员工只需要一组凭证就能够登录多个应用程序,这对于企业来说确实是一个越来越大的需求。所以一款带有SSO功能的TFA解决方案对于企业来说的确非常重要。

6、正确的选择可以换来双倍的安全

ManageEngine ADSelfService Plus是一款高效的Active Directory(AD)自助密码管理和SSO解决方案,它为众多应用程序提供密码自助服务、密码过期提醒、自助目录更新服务、多平台密码同步、SSO以及双因素身份验证服务。

该解决方案为许多企业应用程序(如Salesforce、M365和Slack)提供TFA。由于TFA是作为服务提供商(SP)发起的SSO(针对SP支持的应用程序)的一部分提供的,因此用户只需执行一个身份验证过程即可访问所有配置的企业应用程序。

7、在ADSSP中实现TFA

ADSelfService Plus 支持登录到Windows和应用程序的TFA,它们功能相似,但是实现过程并不相同。

在ADSSP中实现TFA2

8、用于登录Windows的TFA

使用ADSelfService Plus,您可以为本地交互式登录和远程桌面登录到Windows客户端和服务器计算机启用TFA。

对于登录Windows的常用TFA包括:

① Duo Security

② RSA SecurID RADIUS

③基于邮件和短信的验证码

基于邮件和短信的验证码

先决条件

① 必须启用SSL。

② 必须开启TFA。

③ 必须在客户端主机上安装GINA客户端软件。

登录Windows的TFA介绍

① 首先,用户需要在登录界面输入Windows登录凭证,这里和常规登录Windows没什么区别。

② 然后,进入下一个验证界面,这里的身份验证方式用户可以在ADSelfService Plus产品界面中进行选择和设置。

③ 一旦顺利通过身份验证,用户就可以访问他们的系统或应用程序了。

Windows没什么区别

配置登录Windows TFA

Windows TFA登录

① 点击配置 > 自助服务>多重身份验证>终端MFA->Windows TFA登录。

② 勾选“启用身份验证因素”,并在下拉框中选择身份验证层数。

③ 点击管理>产品设置>配置访问URL,请确保在这里选择了HTTPS协议。

④ 点击保存。

9、登录企业应用程序TFA

先决条件

① 用户需要先在 ADSelfService Plus中登记注册。

② 用户需要在 ADSelfService Plus中配置了正确的短信或邮件地址。

③ 管理员应该在ADSelfService Plus策略中为用户设置了足够的权限,以便用户在SP启动的SSO流方式中能够使用TFA。

10、登录企业应用程序TFA流程图

云应用程序 URL

当用户通过一个浏览器访问一款云应用程序:

① 如果通过ADSelfService Plus为该应用程序启用了TFA,则它们将自动重定向到ADSelfService Plus登录页面进行身份验证。

② 用户需要输入他们的AD域凭证进行身份验证。

③ 然后,用户必须使用第二种身份验证方式对自己的身份进行验证。

④ 现在,他们将直接登录到支持SSO的云应用程序,并且还可以访问他们有权限访问的所有其他云应用程序。

其他云应用程序

11、三个简单步骤配置TFA

① 使用管理员帐户登录 ADSelfService Plus控制台。并点击配置 > 多重身份验证。

② 点击右上方的高级,并点击“应用MFA”标签,并勾选“启用身份验证因素”。

③ 选择“身份验证设置”标签,并进行邮箱、短信以及其它身份验证方式设置。

完成以上步骤之后,所有ADSelfService Plus中的注册用户都将能够使用TFA功能。

12、

① 支持基于OU/组成员的TFA。

② 还可以支持SSO。

③ 内置强大的密码策略强化功能,让身份验证更安全可靠。

ADSelfService Plus是一款高效的AD自助密码管理和SSO解决方案。它提供了密码自助服务,密码过期提醒,自助信息更新,多平台密码同步以及SSO单点登录功能。能够极大程度的节省IT帮助台的密码重置工单,极大的减少了员工的等待时间,从而增加了企业的运行效率。