adselfservice configuration

ADSelfService Plus kurulum sonrası kullanılması için bazı ayarlar yapılması gerekmektedir. Yönetici olarak ADSelfService Plus, kullanıcılara parola self-servis özelliklerini sunmanıza olanak tanır:

  • Self servis parola sıfırlama: ADSelfService Plus'ın self servis parola sıfırlama özelliği, kullanıcıların BT yardımı olmadan parolalarını kendi başlarına sıfırlamalarını sağlar. Bu özelliğin avantajları hakkında bilgi edinmek için buraya tıklayın.
  • Self servis hesap kilidi açma: Self servis hesap kilidi açma özelliği, kilitlenen kullanıcıların BT yardım masasına başvurmadan kendi başlarına hesaplarının kilidini açmalarını sağlayarak zamandan ve genel giderlerden tasarruf sağlar. Bu özelliğin size nasıl yardımcı olabileceğini öğrenmek için buraya tıklayın.
  • Active Directory kendi kendini güncelleme: Active Directory kendi kendini güncelleme özelliği, kullanıcıların AD'deki profil bilgilerini kendi başlarına güncellemelerini sağlar. Avantajları hakkında buradan bilgi edinin .
  • Şifreleri değiştir: Kullanıcılar şifrelerini kendileri değiştirmek için şifreleri değiştir özelliğini kullanabilirler. Sizin için nasıl faydalı olabileceğini öğrenmek için buraya tıklayın.

Daha fazla bilgi için bakınız: https://www.manageengine.com/products/self-service-password/help/admin-guide/Configuration/Self-Service/Policy-Configuration-Steps.html

STEP -1 Policy Configuration

Her üründe olduğu gibi kuruma özel bir politika oluşturarak işleme başlayalım.

  • ADSelfService Plus, belirli bir etki alanında istediğiniz sayıda "self-servis politikası" tanımlamanıza olanak tanır.
  • Politikalarda OU tekrarı olması durumunda, ilk öncelikli politika, kullanıcılara atanmış politika olarak değerlendirilecektir.

Kullanıcıların etki alanlarına, OU'larına ve grup üyeliklerine göre birden fazla self servis politikası yapılandırabilir ve hangi kullanıcı grubunun hangi ADSelfService Plus özelliklerine erişebileceğine karar verebilirsiniz.

Self-servis politikası yapılandırmak için, ADSelfservice üzerinde Yapılandırma sekmesine gidin ve Yeni Politika Ekle butonuna tıklayın.

Açılan pencerede aşağıdaki kısımları doldurun.

  • Bir Politika Adı girin.
  • Sağlanan self-servis özellikleri listesinden kullanıcı tabanınıza uygun özellikleri seçin. En az bir self-servis özelliği seçmeniz gerekir. (Parola Sıfırla, Değiştir vb.)
  • OU/Grupları Seç'e tıklayın. Politikanın uygulanacağı etki alanını seçin. Burada bir seçeneğiniz var; politikayı seçili etki alanındaki tüm kullanıcılara veya yalnızca OU veya Grup üyeliklerine göre belirli kullanıcılara uygulayabilirsiniz. (Canlı sisteme almadan test kullanıcısı ile işlemi gerçekleştirin.) İlkeyi Kaydet butonuna basarak işlemi tamamlayın.

Web sayfasının alt kısmındaki Kullanılabilir Politikalar listesinde, ek yapılandırma gerektiren self servis politikasına gidin ve  Gelişmiş Politika Yapılandırması simgesini tıklayın.

Gelişmiş Politika Yapılandırması simgesine tıklandığında, gelişmiş özelliklerin bulunduğu bir pencere açılır. Sırasıyla bunları inceleyelim.

Kullanıcıyı Engelle

Gelişmiş güvenlik için ADSelfService Plus, yöneticilerin yapılandırılmış çok faktörlü kimlik doğrulama (MFA) teknikleri aracılığıyla kimliklerini doğrulayamayan kullanıcıları engellemesine olanak tanır. Bir parolayı sıfırlamak veya hesaplarının kilidini açmak için çok fazla başarısız girişim olduğunda, yöneticiler kullanıcının hesabını belirli bir süre boyunca engelleyebilir.

  • Belirli bir zaman aralığında gerçekleşebilecek maksimum geçersiz kullanıcı girişimi sayısını girin, ardından kullanıcı engellenecektir.
  • Kullanıcının bloke kalacağı dakika sayısını belirtin.
  • Ayrıca kullanıcıların gerçekleştirdiği self-servis işlemlerini de kısıtlayabilirsiniz.
    • Kullanıcıların belirli bir gün sayısı  içerisinde şifrelerini  kaç kez sıfırlayabileceklerini girin.
    • Kullanıcıların belirli bir gün sayısı  içerisinde hesaplarının kilidini açabilecekleri sefer sayısını girin.

Engellenen Kullanıcılar raporundaki engellenen kullanıcılar listesinden engellemesini kaldırmak istediğiniz kullanıcıları seçin ve Engellemeyi Kaldır'a tıklayın.

Sıfırla ve kilidini aç

Bu kısımda ise aşağıdaki işlemleri gerçekleştirebilirsiniz.

  • Şifre sıfırlama işlemi tamamlandığında kilitli hesapların kilidini açın.
  • Kullanıcıların bir sonraki oturum açışlarında şifrelerini değiştirmelerini zorunlu kılın.
  • Kimlik doğrulaması başarılı olduktan sonra kullanıcılara otomatik oluşturulan şifreleri SMS veya e-posta yoluyla gönderin.
  • Kullanıcıların kimlik doğrulaması sırasında doğrulama kodlarını almak istedikleri bir e-posta adresi veya cep telefonu numarası seçmelerini sağlayın. Bu seçenek etkinleştirildiğinde, kullanıcı bir parola self-servis işlemi denediğinde e-posta/cep telefonu açılır listesinde bir E-posta Kimliği/Cep Telefonu Numarası Seç mesajı görünecektir.
  • Kimlik doğrulama sırasında Doğrulama Kodu sayfasında kullanıcıların e-posta adreslerini veya cep telefonu numaralarını kısmen gizleyin.
  • Kullanıcıların şifre alanında kopyala-yapıştır işlemlerini yapmasını önleyin.
  • Kullanıcıların kimlik doğrulama sürecini tekrarlamak zorunda kalmadan parolalarını sıfırlamalarını sağlayın.
  • Kullanıcıların parolalarını sıfırladığı veya değiştirdiği durumlarda parola gücü analiz aracından yararlanın.
  • Son kullanıcı sayfalarında kullanıcı adının yanında alan adı görüntüleme adlarının gösterilmesine izin verin.
  • Kullanıcıların parola sıfırlamaları sırasında parolalarını yeniden kullanmalarını önlemek için AD geçmiş kuralını uygulayın.

Şifre Senkronizatörü

Parola Eşitleyici altında şunları yapabilirsiniz:

  • Gerçekleştirilen self-servis eylemi (şifre sıfırlama veya şifre değişikliği) AD'ye yansıdıktan sonra kullanıcıların bağlı hesaplarıyla şifre senkronizasyonunu otomatikleştirin.
  • Gerçekleştirilen kilit açma eylemi AD'ye yansıdıktan sonra kullanıcıların bağlı hesaplarına ait hesapların kilidinin otomatik olarak açılmasını sağlayın.
  • Kullanıcıların bağlı hesaplarıyla parola senkronizasyonunu zorla. Parola senkronizasyonu sırasında bağlı hesaplarından hiçbirinin seçimini kaldıramazlar.
  • Kullanıcıların AD hesaplarını parola senkronizasyonundan muaf tutmalarını sağlayın.
  • Kullanıcıların, self servis eylemleri (şifre sıfırlama, hesap kilidi açma ve şifre değiştirme) gerçekleştirirken hesapların varsayılan olarak seçili olmamasını sağlayarak şifre senkronizasyonu için gerekli bağlantılı hesapları seçmelerine izin verin.
  • Kullanıcının SSO için herhangi bir kurumsal uygulamaya erişimi olmadığında ve parola senkronizasyonu için hesap bağlama etkinleştirildiğinde uygulama sekmesini kullanıcının self servis portalından kaldırmak için Otomatik hesap bağlama seçeneği etkinleştirildiğinde Uygulama sekmesini gizle seçeneğinin yanındaki kutuyu işaretleyin .

Gönderi Eylemi altında şunları yapabilirsiniz:

  • Özel bir betik çalıştırarak kullanıcıların şifrelerini diğer sağlayıcılarla senkronize edin.
  • Özel bir betik çalıştırarak hesap kilitleme durumlarını diğer sağlayıcılarla senkronize edin.

 Bildiri

Aşağıda listelenen eylemlerden herhangi birini gerçekleştirdikleri zaman, kullanıcılara ve yöneticilere e-posta, SMS veya anlık bildirimler yoluyla onay bildirimleri gönderilecektir:

  1. Self servis şifre sıfırlama.
  2. Self servis hesap kilidi açma.
  3. Şifre değiştir.
  4. ADSelfService Plus'a kaydolun.
  5. Kendi kendine dizin güncellemesi
  6. Hesap ADSelfService Plus ile bloke edildi.

Bildirim özelliği, doğrudan kullanıcıyla iletişim kurarak aracı saldırıları gibi güvenlik tehditlerini ortadan kaldırır.

Not: Bu özelliği kullanmadan önce e-posta sunucusunun veya mobil sunucunun yapılandırıldığından emin olun.

Bir tanesi için örnek yapalım. Kullanıcı Parola sıfırladığı zaman bildirim göndermek için aşağıdaki adımları izleyerek kullanıcılara bildirim gönderebilirsiniz:

Kullanıcılar altı eylemden herhangi birini gerçekleştirdiğinde yöneticilere bildirim göndermeyi seçebilirsiniz.

Otomatik Parola Sıfırlama ve Hesap Kilidi Açma

Bu bölümde şunları yapabilirsiniz:

  1. Süresi dolan parolaların otomatik olarak sıfırlanması için bir program oluşturun.
  2. Kilitli hesapların otomatik olarak açılmasını sağlayacak bir program oluşturun.
  3. Tüm etki alanı denetleyicilerindeki (DC) kullanıcılar için parola sıfırlama ve hesap kilidi açma durumunu güncelleyin.

Genel

Bu bölümde CAPTCHA doğrulaması, kişiselleştirme bağlantısı ve sekme özelleştirmesiyle ilgili ayarlar yer almaktadır. CAPTCHA, bot saldırılarına karşı savunmak için kullanılan bir güvenlik önlemidir. Bu ayarı, parola self-servis işlemleri sırasında CAPTCHA'nın görünmesini etkinleştirmek veya devre dışı bırakmak için kullanabilirsiniz.

Son kullanıcıların ADSelfService Plus kullanıcı portalında renk, dil, yazı tipi ayarları vb. değiştirmesini engellemek için bu seçeneği etkinleştirin.

Step-2 MFA

İlke ayarlarından sonra artık Çok Faktörlü Kimlik Doğrulama (MFA) aşamasına geçebiliriz. ADSelfService Plus'ın MFA'sı, bir kullanıcının kimliğini doğrulamak için geleneksel kullanıcı adı ve parola tabanlı kimlik doğrulamayı ek bir kimlik doğrulama katmanıyla (örneğin biyometri, TOTP kodları veya FIDO geçiş anahtarları) zenginleştirir. MFA, erişim istekleri için yüksek düzeyde kimlik güvencesi sağlar.

  • ADSelfService Plus'ta aşağıdaki olaylar için MFA'yı etkinleştirebilirsiniz:
  • Windows, macOS ve Linux için uç nokta MFA, Windows ve macOS makineleri için çevrimdışı MFA dahil.
  • Kurumsal uygulamalar için SSO.
  • Kurumsal uygulamalar için parola senkronizasyonu.
  • VPN'ler ve Citrix Gateway, VMWare Horizon ve Microsoft Remote Desktop Gateway gibi RADIUS kimlik doğrulamasını destekleyen tüm uç noktalar için MFA.
  • OWA ve Exchange yönetim merkezi için MFA.
  • Self-servis şifre sıfırlamaları, hesap kilit açmaları ve ADSelfService Plus portalına girişler.

Daha fazla bilgi için bakınız: https://www.manageengine.com/products/self-service-password/help/admin-guide/Configuration/Self-Service/Identity-Verification-Steps.html

  • Bu bölüm politika ayarlarını yapılandırdığını varsayar.
  • Seçtiğiniz MFA yöntemine göre kullanıcıları sisteme kayıt olması zorunlu tutulur.
  • Seçtiğiniz MFA yöntemine göre tek doğrulama yöntemini sistem kabul etmeyebilir. Örneğin, sadece Active Directory Güvenlik Soruları yöntemi tek başına kabul edilmez.

Yapılandırma → Self-Servis → Çok Faktörlü Kimlik Doğrulama → Kimlik Doğrulayıcı Kurulumu'na gidin ve Politika Seç açılır menüsünden bir politika seçin.

Seçili politika için etkinleştirmek istediğiniz kimlik doğrulama yöntemlerini yapılandırın. Kimlik doğrulama yöntemleri şirketin ihtiyacına veya personellerinize göre değişebilir. Biz bu kılavuzda SMS doğrulaması üzerinden devam edeceğiz. 

SMS Doğrulaması kısmını açtıktan sonra.

  • Tür Seçin kısmından hangi alanlarda sms doğrulaması kullanacağınızı seçiniz.
  • Mesaj kısmından kullanıcıya gidecek mesajları düzenleyin ve kayıt edin. Ek olarak makrolar kullanarak değişkenler ekleyebilirsiniz.

Not kısmında 2 tane alanı yapılandırmamız zorunludur. 1. alan sms sağlayıcınız verdiği bilgileri doldurmak bu alan değişkenlik göstereceği için sms firmanız ile görüşebilirsiniz. Bu alanı geçip ikinci alandan devam edelim.

Açılan pencerede Doğrulama Kodu kısmında çok önemli ayarlar bulunmaktadır. 

  • Tür seçin: Bu kısımdan Cep Telefonu olmalıdır.
  • Ekleme Öznitelikleri: Cep numaranız Active Directory üzerinde farklı attributes üzerinde ise bu alandan ekleyip Posta/Mobil Öznitelikleri kısmından aktif edebilirsiniz.

Diğerleri kısmında önemli alanları incelemek faydalı olacaktır. 

  • Doğrulama kodu uzunluğu kullanıcıya gidecek sms rakam sayısıdır. Minumum 6 hane olabilir.
  • MFA sayfalarında E-Posta Kimliği/Cep Telefonu Numarası bilgilerini kısmen gizleyin. Bu alanı aktif etmeniz faydalı olacaktır. Aksi halde diğer kullanıcılar başka personellerin kullanıcı adını girerek cep numaralarını öğrenebilir.
  • E-Posta/Cep numarası seçin kısmını atlayın. Eğer kullanıcılarda tek cep numarası varsa bu adımı atlatmak faydalı olacaktır.

Genel kısmından MFA alanlarında CAPTCHA ayarlarını değiştirebilir veya kapatabilirsiniz.

MFA'yı Sıfırlama/Kilit Açma kısmından ise kullanıcıların ne kadar sürede bu işlemi gerçekleştirebileceğini belirleyebilirsiniz.

Bitiş Noktası MFA kısmında ise, Bilgisayar, OWA, VPN kısımlar yapılandırılabilir. Benim önerim kullanıcıları alıştırmak için ilk başta tek MFA açarak kademeli olarak 2 tane MFA yöntemi ile devam edebilirsiniz. Başka bir makalede görüşmek üzere.

Blog'a Dön