密码自助服务部署
为了将ADSelfService Plus的自助服务功能带给最终用户,您必须实施以下操作:
配置自助服务动作:
ADSelfService Plus为域用户提供四种自助服务功能(密码重置、帐户解锁、目录自我更新和更改密码)。根据部门和组织层次结构,您可以根据用户的OU和组成员身份选择启用特定功能。因此,他们可以决定哪些用户可以使用这些功能中的任何一个或全部。通过为用户配置自助服务策略并定义用户可以使用ADSelfService Plus的范围,可以在策略配置部分完成此操作。点击创建策略的步骤查看更多信息。
身份验证 :
一旦域用户成为自助服务策略的一部分,就需要验证他们的身份,他们可以通过ADSelfService Plus的最终用户门户、ADSelfService Plus移动应用程序和Windows/MacOS/Linux登录屏幕使用自助密码重置或帐户解锁功能。在以下过程中,您可以使用ADSelfService Plus支持的15种多因素身份验证(MFA)方法中的任何一种对用户身份进行身份验证:
- Windows、MacOS和Linux登录(安装ADSelfService Plus客户端软件时)。
- ADSelfService Plus门户登录。
- 企业应用程序通过单点登录(SSO)登录。
- 通过ADSelfService门户、ADSelfService Plus移动应用程序和本机Windows/MacOS/Linux登录屏幕(如果安装了ADSelfService Plus客户端软件)执行Active Directory自助式密码重置或帐户解锁操作。
多因素身份验证(MFA)使用用户在注册ADSelfService Plus时提供的信息进行身份验证。
通过点击上面的链接,您可以查看每种方法的配置步骤。
您可以为特定的一组用户启用特定的MFA方法,并可以指定用户为验证其身份而必须完成的身份验证次数。他们还可以选择强制用户使用某些MFA方法验证自己的身份。这可以使用
MFA/TFA设置(配置>自助服务>多因素身份验证>MFA/TFA设置)来完成。要了解有关配置MFA的更多信息,请参阅
该链接。
用户登记:
为了进行身份验证,用户需要通过提供某些信息来注册ADSelfService Plus。提供的信息因配置的MFA方法而异。
ADSelfService Plus通过提供多个注册选项简化了注册流程:
无需用户干预的注册
- 从CSV文件中导入登记数据:
您可以导入现有安全问题和答案以及以CSV文件格式存储的用户手机号码和邮件ID。然后,这些导入的信息被用于注册用户。点击查看更多信息。
- 从外部数据库导入注册数据:
使用ADSelfService Plus连接组织的数据源,如MS SQL、PostgreSQL、Oracle和MySQL。一旦ADSelfService Plus被授予访问数据库服务器的足够权限,就可以获取数据并自动注册用户。只需使用再次获取选项点击一下,即可轻松地将数据库服务器上所做的任何更改更新到ADSelfService Plus。
还可以设置计划,以便定期在连接的外部数据源中搜索新添加的用户,并将他们注册到ADSelfService Plus。点击查看有关如何从外部数据库导入注册数据的详细信息。
注意: 对于某些MFA方法,如AD安全问题、邮件验证和SMS验证,您可以选择使用用户的Active Directory属性值(mail、mobile、sAMAccountName等)。用于身份验证。在这种情况下,不需要注册。
用户注册:
用户可以使用ADSelfService Plus客户端门户、ADSelfService Plus移动应用程序和移动Web应用程序注册ADSelfService Plus。为了强制用户注册,您可以实施以下措施:
- 登记通知:
在组织中部署ADSelfService Plus时,管理员可以使用注册通知通知员工该产品,并鼓励他们注册该产品。启用该选项后,会向所有尚未注册ADSelfService Plus的用户发送邮件或推送通知。您还可以设置计划,定期自动向未注册用户发送通知。 点击查看更多信息。
- 强制登记:
这包括搜索选定域或策略中的所有未注册用户,并将其帐户与登录脚本相关联。登录脚本强制他们在登录到域用户帐户时进行注册。可以使用计划程序将未注册用户的帐户与登录脚本相关联。可以将计划程序设置为定期运行,以检查未注册和新添加的用户,并设置其帐户的登录脚本。点击查看有关如何为未注册用户启用强制注册的步骤。
保障自助服务操作的安全
ADSelfService Plus的安全中心列出了指向该产品其他部分的安全设置的链接。这些措施包括:
- 阻止身份验证失败的用户帐户
- 会话超时
- 验证码(文字验证)
- 强制密码强度级别
- 强制用户在下次登录时更改密码
- 防止用户对多个问题提供相同的答案
- 防止用户在其答案中使用问题的任何单词
- 逐一展示安全问题
- 仅显示用户安全问题中的随机子集
- 使安全答案区分大小写
- 在重置/解锁操作期间隐藏答案
- 密码自助服务时发送邮件通知
- 安全连接(SSL/LDAPS/TLS)
- 限制非活动用户
启用这些安全设置可保护域中的用户帐户,并保护ADSelfService Plus服务器与网络中其他组件之间的连接。