Mitarbeiter vergessen ihre Passwörter und brauchen schnelle Hilfe. Am liebsten helfen Sie sich selbst oder lassen sich von einem Kollegen helfen. Das IDM-Portal PasswordReset legt der Fokus immer auf Anwenderorientierung und Sicherheit.
Die richtige Lösung ist für jedes Unternehmen anders.
Passend für Anwender und Organisation
Fast jedes Unternehmen hat das gleiche Problem und muss Passwörter zurücksetzen. Das gleiche Problem — aber eben nicht dasselbe.
Prozesse um Passwörtern zurück zu setzen, dauern lange und überlasten die IT-Abteilung. Das IDM-Portal PasswordReset passt zur Anforderung von Anwendern und Business.
Gemeint ist damit, ob PC oder Smartphone genutzt werden und wie die Gestaltung der Subseiten und Workflows aussieht.
Maximale Freiheitsgrade werden durch die SmartPages-Technologie möglich. Eine für Endbenutzer geschaffene individuelle Lösung passt einfach am besten.
Beispiel eines PasswortReset Workflow mit SmartPages
Active Directory Password Reset und Office 365
Public Cloud Services, wie Office 365 bieten von einen direkten Passwort Self-Service an. An den Vorgaben oder Funktionalitäten können Sie kaum etwas ändern.
Die meisten Unternehmen betreiben aber ein eigenes Active Directory On-Premise. Ein Self Service Portal für AD Password Reset gibt es dabei nicht. In Hybrid-Umgebungen mit der Kombination von AD und O365 hat das IDM-Portal Vorteile.
Die Basis bildet Active Directory und der Sync hält die Kennwörter gleich, wenn es passend konfiguriert ist. Der Reset Prozess kann On-Premise gestaltet werden und hat Effekt in beiden Welten.
Password Reset Delegation
Nicht immer ist der Password Reset Self-Service die gefragte Lösung. Wichtig ist eine schnelle Lösung für den betroffenen Mitarbeiter und geringer Aufwand in der IT. Delegation im Identity Management hat viele Vorteile. Andere Kollegen können Passwörter zurücksetzen.
Dies kann ergänzend oder anstatt eines Kennwort Self-Services eingerichtet werden. Der Personenkreis wird dabei im Benutzerkontext definiert. Sicherheitsaspekte spielen ebenso eine wichtige Rolle. In Kombination mit dem IDM-Portal setzen z.B. der Helpdesk, Abteilungskollegen oder Vorgesetzte das Kennwort von anderen zurück.
Account freischalten ohne Passwortänderung
Reset heißt zunächst einmal nur “Zurücksetzen”. Was ist das Ziel des Self-Service Portals? Geht es darum ein Benutzerkonto wieder freizuschalten, muss nicht unbedingt das Passwort geändert werden.
Das häufige Ändern von Passwörtern stellt nicht unbedingt eine gesteigerte Sicherheit dar. Auch das BSI hat in der Regelung zum Identitäts- und Berechtigungsmanagement von 2020 (BSI ORP.4.A8) die Passage zur Änderung von Passwörter gestrichen.
Ist die Änderung des Kennworts aber essentiell, dann reicht ein “Unlock” nicht aus. In diesem Fall muss das eigentliche Reset um einen Password-Change-Prozess erweitert werden.
Das kann z.B. durch ein automatisch generiertes One Time Password erfolgen. “Passwort ändern” kann auch ein eigener Punkt im Password Manger bzw Reset Portal sein. Dabei spielt neben der Authentifizierung auch die Passwortsicherheit eine große Rolle.
Multi-Faktor-Authentifizierung: 2FA oder MFA
Je nach Organisation unterscheiden sich die Prozesse und Sicherheitsanforderungen. Ist der Fokus auf rein internen Zugriff, reicht manchmal ein einfacher Reset-Button. Je nach Konzept wird sichergestellt, ob der jeweilige Anwender auch der richtige ist, der das Passwort zurücksetzen darf.
Mit 2‑Faktor-Authentifizierung (2FA) kommt neben der Eingabe eines exakten Parameters ein weiteres Sicherheitsmerkmal dazu.
Die Möglichkeiten sind vielfältig: PIN, Geheimfragen, SMS Codes oder spezielle Schlüssel.
Die Multi-Faktor-Authentifizierung (MFA) in einem Password Reset Self-Service ist eine Kombination aus mehreren Sicherheitsmerkmale. Hier gilt es zwischen Nutzbarkeit, Anwenderfreundlichkeit und Sicherheit abzuwägen. Andernfalls landen die Anfragen dann doch bei IT oder Helpdesk.
Workflows beim Passwort Reset
Was passiert, wenn ein Kennwort Reset ausgelöst wurde? Auch hier gibt es viele Möglichkeiten. Es folgen einige Beispiele.
Self Service
Es erfolgt eine E‑Mail an den Benutzer mit einem Reset-Link
Zwei Faktor Authentifizierung
Endanwender soll einen zweiten Faktor eingeben. So kann seine Identität bestätigt werden.
Genehmigung
IT bestätigt, dass der Mitarbeiter sein Passwort zurück setzen kann.
Delegation
Jemand anderes erhält eine Nachricht, dass ein Passwort zurückgesetzt werden muss
Auch ein mehrstufiger Workflow mit Freigaben durch eine autorisierte zweite Person ist möglich. Mit IDM-Portal PasswordReset ist eine organisationsspezifische Passwortlösung möglich.
Active Directory Integration
Wir setzen auf Active Directory Integration, denn ohne dieses Benutzerkonto kann niemand arbeiten. 100% Integration bedeutet dabei, redundante Identity Datenbank wegzulassen — und so die Sicherheit zu erhöhen. Die IDM-Portal Password Reset Webanwendung selbst ist dabei mehrfach gesichert.
Unbefugte haben keine Möglichkeit zum Zugriff auf das AD. Kennwörter können aber auch in anderen Systemen oder Datenbanken hinterlegt werden. Die Vorteile einer geringen Komplexität bei hoher Sicherheit überwiegen aber meist.
Nachvollziehbarkeit
Als IT-Verantwortliche oder Sicherheitsbeauftragter müssen Sie manchmal die nachvollziehen, was passiert ist. Dies ist vor allem dann interessant, wenn es um eine verteilte Lösung mit Password Reset Self-Service und Delegation geht.
Wer hat am Montag 21:35 das Passwort von Herrn Meier zurückgesetzt? Den Wert bzw. Klarwert des Passworts darf vom IDM-Portal nicht geloggt werden — Welche Aktionen wann und durch wen durchgeführt wurden schon — wenn gewünscht.
Immer und überall
IDM-Portal Password Reset kann für die reine interne Anwendung am PC genutzt werden. Es ist aber auch möglich Kennwörter per Smartphone im HomeOffice oder auf Dienstreisen zurückzusetzen.
Das Portal ist als Webanwendung konzipiert und passt sich bei Bedarf an. Die Umsetzung richtet sich nach der Organisation und den Vorstellungen der IT, HR und anderen Verantwortlichen.
Kombinationen mit Onboarding und SelfService
IDM-Portal Password Reset kann für die reine interne Anwendung am PC genutzt werden. Es ist auch möglich weitere Funktionen zu ergänzen. Ein vollwertiger Active Directory Self-Service mit Attributänderungen, Selbstberechtigung und Upload von Profilfoto ist möglich.
Statt eines vollwertiger Self-Service ist auch eine zentrale Deaktivierungsmöglichkeit von Benutzerzugängen für bestimmte Benutzerkreise möglich. Wie viel Funktionen des User Lifecycles berücksichtigt werden, bestimmt immer die Organisation.
Automatisierung
Passwörter zurückzusetzen löst Automatismen aus. Diese können kurz und linear sein, indem z.B. ein Standard-Passwort eingetragen wird. Eine erste Automatisierung ist eine generiertes sicheres Passwort. Im Passwort Self-Service steckt aber weiter mehr Automatisierungspotential.
