用于云应用程序的ADSelfService Plus多重身份验证

云应用程序的不断普及吸引了黑客的关注，他们现在将目光转向云端的数据。黑客们可以通过钓鱼攻击，轻松地用有效的用户名和密码诈骗某人泄露其凭证。用用户名和密码对用户进行身份验证已经不再管用了。

 数据泄露

一、保护云登录的安全

ADSelfService Plus是一款Active Directory自助密码管理和单点登录(SSO)解决方案，用多重身份验证来保护访问云应用程序的安全。通过在ADSelfService Plus与启用了SAML 2.0的云应用程序之间启用SSO，您可轻松地保护用户在云端的身份安全。当启用SSO后，用户必须始终在 ADSelfService Plus中对他们自己进行身份验证 — 首先使用其用户名和密码，然后使用您选择的另一个验证身份方式。只有这样，最终用户才能够访问云应用程序。

 ADSelfService Plus

二、工作原理

• 在可访问云应用程序前，用户必须在启用SSO后，首先用Windows Active Directory域凭证登录至ADSelfService Plus以证明其身份。

• 接下来，用户必须用Duo Security、RSA SecurID、智能卡、RADIUS、基于短信/电子邮件的验证码或Google Authenticator对他们自己进行身份验证。

• 一旦成功登录，用户可以从“应用程序”选项卡访问云应用程序。他们全部要做的只是点击应用程序图标，以在新选项卡中打开它。最大的优势就是，用户能够自动登录至该应用程序。

即使用户直接在浏览器中输入其URL，尝试访问启用了SSO的云应用程序，他们也会重定向到ADSelfService Plus登录页进行身份验证。

 身份验证

三、一组全面的身份验证因素

ADSelfService Plus使用已尝试且经过测试的Windows Active Directory域凭证，作为身份验证的第一个因素。对于第二个因素，ADSelfService Plus支持本机身份。例如，基于短信/电子邮件的验证码，以及第三方身份验证程序（例如，Duo Security、RSA SecurID、RADIUS服务器和Google Authenticator）。

 Active Directory

四、基于策略对云应用程序进行访问

ADSelfService Plus单点登录基于本地Active Directory的OU和组结构，帮助您对云应用程序激活多重身份验证。您可以对不同的用户自定义不同的身份验证因素，甚至通过配置基于OU和组的策略来控制对云应用程序的访问。