ManageEngine ADSelfService Plus: Passwort-Reset als Self-Service, MFA für Active Directory


    Tags: , ,

    ADSelfService PlusPasswörter sind oft das schwächste Glied in der IT-Sicherheit vieler Unternehmen. Hinzu kommt, dass Anwender auch Kennwörter für Cloud-Dienste nutzen. ManageEngine ADSelfService Plus ist eine Lösung für die Zurücksetzung von Passwörtern, SSO, Kennwort­synchronisierung, MFA und zur Durch­setzung strenger Passwortrichtlinien.

    ADSelfService Plus geht über das Zurücksetzen von Kennwörtern per Selbstbedienung hinaus und umfasst eine Reihe von Funktionen, welche der Verbesserung der IT-Sicherheit dienen. Dazu zählen:

    • Zurücksetzen von Passwörtern per Selbstbedienung
    • Passwort-Synchronisation
    • Single sign-on
    • Erzwingen starker Passwörter
    • Multifaktor-Authentifizierung (MFA)
    • Suche im Unternehmens- und Mitarbeiterverzeichnis

    Passwort-Reset als Self-Service

    Eine der häufigsten Anfragen an Helpdesk-Mitarbeiter betrifft das Zurücksetzen von Kennwörtern für Endbenutzer. Während Cloud-Umgebungen durchwegs Self-Service-Funktionen für diesen Zweck bieten, lässt Active Directory diese leider immer noch vermissen.

    ADSelfService Plus schließt diese Lücke und bietet Benutzern diese Möglichkeit direkt von ihrem Windows-, Linux- oder macOS-Anmeldebildschirm aus.

    Für den Passwort-Reset und das Entsperren von Konten blendet ADSelfService Plus einen Link auf dem Logon-Bildschirm ein.

    Die größte Herausforderung für eine solche Lösung besteht darin, den Benutzer, der (angeblich) sein Passwort vergessen hat, verlässlich zu authentifizieren. ADSelfService Plus bietet dafür mehrere Verfahren an, etwa mittels Sicherheits­fragen, SMS, biometrischer Identifizierung oder einer Authenticator-App.

    Authentifizierungsoptionen für das Zurücksetzen von Passwörtern mittels Self Service

    ManageEngine bietet auch mobile Apps für die ADSelfService Plus an, mit denen Benutzer ihre Identität von einem mobilen Gerät aus bestätigen können. Zu ihren Funktionen gehört neben dem Zurücksetzen der Kennwörter das Entsperren von Konten.

    Passwörter synchronisieren

    Mitarbeiter in Unternehmen besitzen heutzutage mehrere Konten, unter anderem für diverse Cloud-Dienste. Dies erhöht die Chance, dass Benutzer die Kennwörter vergessen oder auf unsichere Weise verwalten, um die Anmeldung komfortabler zu gestalten.

    Diesem Zustand ist eine zentrale Identitäts- und Zugriffsverwaltung vorzuziehen, die Passwörter von einer Stelle aus verwalten kann. Da die meisten Unternehmen ein Active Directory nutzen, bietet es sich an, dieses als zentrale Identitätsquelle zu verwenden.

    ADSelfService Plus kann zu diesem Zweck Anmeldedaten zwischen Active Directory und 18 vorkonfigurierten Cloud-Diensten synchronisieren.

    Externe Systeme, mit denen ADSelfService Plus die AD-Anmeldedaten synchronisieren kann

    Single sign-on

    Das Einrichten von Single Sign-On (SSO) zwischen mehreren heterogenen Systemen kann ziemlich aufwändig sein. Microsoft bietet zum Beispiel eine Lösung für Active Directory, Microsoft 365 und Azure. Sie erfordert jedoch die Konfiguration eines hybriden Verzeichnisses.

    ADSelfService Plus hingegen unterstützt aus der Box ein SSO zwischen Active Directory und über 100 Diensten bzw. Systemen. Dabei müssen sich Admins nicht mit einer komplexen Konfiguration herumschlagen, da ADSelfService Plus diese Aufgabe übernimmt.

    Das Tool unterstützt dazu SAML, OAuth und OpenID Connect, erlaubt aber auch die Anbindung individueller Anwendungen.

    ADSelfService enthält SSO-Konnektoren für zahlreiche Cloud-Services und Dienste.

    Passwortrichtlinien durchsetzen

    Viele Benutzer verwenden überall die gleichen Passwörter, ändern diese bei einem erzwungenen Wechsel nur geringfügig, wählen triviale Kennwörter oder setzen ihre Konten durch andere unbedachte Aktionen unnötigen Risiken aus.

    ADSelfService Plus erweitert die Passwortrichtlinien von Active Directory um folgende Regeln:

    • Ausschluss bestimmter Textmuster
    • Einschränkungen der Passwortlänge
    • Ausschluss von Wiederholungen
    • Bannen kompromittierter Kennwörter

    ADSelfService Plus erleichtert zudem die Verwendung von Passphrasen, beispielsweise durch die Option, alle Komplexitäts­regeln außer Kraft zu setzen, wenn das Passwort mindestens eine gewisse Länge hat.

    Darüber hinaus liefern vorgefertigte Berichte den Admins alle relevanten Passwort­informationen. Sie geben Aufschluss darüber, bei welchen Benutzern das Kennwort abgelaufen ist, welche Konten aufgrund ungültiger Anmeldeversuche gesperrt wurden oder über unzulässige Self-Service-Aktivitäten.

    Regeln zur Durchsetzung von Password Policies

    Multifaktor-Authentifizierung (MFA)

    Active Directory bietet selbst keine modernen Verfahren für die Multifaktor-Authentifizierung, aber mit ADSelfService Plus kann man es um diese Fähigkeit ergänzen. Es unterstützt sowohl Cloud- als auch lokale Anwendungen mit Hilfe eines Endpoint MFA-Zusatzpakets.

    Administratoren haben dann die Möglichkeit, verschiedene Authentifizierungs-Workflows zu konfigurieren, abhängig vom Benutzer, den Gruppen oder der OU, denen er angehört.

    Konfiguration von MFA für verschiedene Arten der Anmeldung auf den Endgeräten

    Suche nach Mitarbeitern im Verzeichnis

    ADSelfService Plus bietet auch eine Suchfunktion für das Unternehmens­verzeichnis, das den Anwendern ebenfalls als Self-Service zur Verfügung steht. Die Eingabemaske enthält eine Reihe von Filteroptionen, mit denen die Benutzer das Ergebnis mittels gängiger Suchfelder wie der E-Mail-Adresse eingrenzen können.

    Administratoren können dabei festlegen, welche Optionen für Benutzer verfügbar sind und welche spezifischen Suchkriterien sie auswählen können.

    Suche im Mitarbeiterverzeichnis konfigurieren

    Editionen und Preise

    ADSelfService Plus ist in zwei Editionen erhältlich: Standard und Professional. Diese können als Jahresabonnements gestaffelt nach der Anzahl an Benutzern erworben werden. Details zu den Preisen und einen Funktions­vergleich der beiden Editionen finden Sie auf der Website von ManageEngine.

    Der Hersteller bietet zudem eine Free Edition an, die sämtliche Funktionen enthält, aber auf 50 Benutzer beschränkt ist.

    Fazit

    ADSelfService von ManageEngine Plus bietet eine breite Palette an Funktionen, um die Sicherheit und den Komfort bei der Benutzer­authentifizierung zu erhöhen. Wie sein Name vermuten lässt, handelt es sich beim Self-Service für das Zurücksetzen von Passwörtern um die zentrale Komponente der Lösung.

    Nicht minder nützlich sind ihre weiteren Features, insbesondere die Synchronisierung von Passwörtern zwischen Active Directory und diversen heterogenen Systemen sowie zahlreiche Konnektoren für eine einfache Realisierung von SSO.

    Nicht zu vergessen sind schließlich die erweiterten Passwort­richtlinien für Active Directory sowie mehrere Optionen für die Multifaktor-Authentifizierung sowie eine Suchfunktion im Mitarbeiterverzeichnis.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.

    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links