Bloggat – Azure Self Service Password Reset (SSPR)
Många undersökningar visar att förvånansvärt hög procent av en IT-helpdesks tid går åt till att återställa användares lösenord, framförallt efter julledigheter, semesterresor och efter sommarledigheterna. Genom åren har det funnit en mängd olika lösningar för att återställa en användares lösenord med olika nivå av användarvänlighet och pris.
Som en följd av att fler och fler organisationer väljer att synkronisera sina AD-användare till Azure AD (oftast drivet av Office 365 projekt) öppnar sig möjligheten att använda tjänsten SSPR i Azure AD för att implementera en enkel och smidig lösning för att återställa lösenord.
Detta blogginlägg handlar om hur en implementaion av SSPR går till samt vad man ska tänka på.
Hur fungerar Azure SSPR?
Azure SSPR innebär att man som administratör aktiverar funktionen SSPR i Azure vilket i princip innebär att en portal blir tillgänglig för slutanvändaren där man kan hantera sitt lösenord. I korta drag fungerar portalen enligt nedan
- Användaren har glömt sitt lösenord
- Användaren surfar till SSRP-portalen från vilken enhet som helst
- Användaren anger sitt användarnamn
- Azure AD verifierar att användaren har behörighet att använda funktionen SSPR (flera olika kontroller görs här, exempelvis om två autenticeringsmetoder behövs samt vart användarens identiditet finns)
- Om användaren blir godkänd för SSPR guidas man igenom processen för att återställa lösenordet där en del naturligtvis är att bekräfta vem man är, se längre ned för tillgängliga metoder
- Användaren kan gå vidare och logga in på sina tjänster som vanligt
Följande metoder kan användas av användaren för att bekräfta sin identitet
- Säkerhetsfrågor
- Mobiltelefon
- Fast telefon
- E-post
- Mobilapp (pre-release)
Konfigurationen av SSPR utförs primärt i Azure portalen och man kan bland annat konfigurera hur många metoder en användare ska bli tvungen att verifiera sig med samt om man som administratör kräver registrering med säkerhetsfrågor vid första inloggningen (se bild nedan)
Att tänka på?
Vad är då viktigt att tänka på när man påbörjar ett projekt kring SSPR
Azure AD with on-premise writeback
För att SSPR ska fungera mellan Azure AD och det lokala AD´t i båda riktningarna krävs antingen Azure AD Premium P1 eller Azure AD Premium P2.
Enrollment
Arbetet med att integrera alla användare i lösningen kan bli omfattande med tanke på att alla användare behöver genomföra en registrering för att kunna använda SSPR. Detta kräver naturligtvis information och struktur i samband med implementationen och naturligtvis också en utbildningsinsats för helpdesk-personalen.
Vår uppfattning är dock att värdet för organisationen med SSPR är så pass stort att arbetet med projektet betalar sig mångfalt på en tids sikt.
Vi på Advitum har lång erfarenhet att arbeta med Microsoft Azure SSPR, tveka inte att kontakta oss för en diskussion hur just ni skulle kunna komma igång med SSPR.
Tillbaka