In diesem Artikel erfahren Sie, wie Sie die Zwei-Faktor-Authentisierung (2FA) verwalten können, um die Sicherheit Ihrer Instanz zu erhöhen.
Inhalt:
- Was ist 2FA?
- 2FA für alle Benutzer als Administrator erzwingen
- Wie kann ich als Administrator das 2FA für einen Benutzer zurücksetzen?
- 2FA für Single Sign On Login (SSO)
Hinweis: Sie sind Nutzer und möchten gerne erfahren, wie Sie 2FA nutzen können? Hier finden Sie weitere Informationen diesbezüglich!
Was ist 2FA?
Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind es bei Webanwendungen nach einem Passwort und E-Mail Kombination (erster Faktor):
- PIN Eingabe, die per SMS versendet wird
- PIN Eingabe, die per E-Mail versendet wird
- TOTP Verfahren
TOTP Verfahren
Anwender installieren eine App auf ihrem mobilen Endgerät, das zur Zwei-Faktor-Authentisierung für einen oder mehrere webbasierten Dienste verwendet wird. Sodann kann ein webbasierter Dienst durch Zwei-Faktor-Authentisierung geschützt werden, indem man die App beim Dienst als zweiten Faktor registriert. Dazu tauschen der Sicherheits-Server des Dienstes und das Endgerät eine Zeichenfolge als Geheimnis oder Token aus – z. B. indem man mit dem Mobilgerät einen QR-Code scannt oder eine entsprechende, vom Sicherheits-Server angezeigte Zeichenfolge händisch eintippt. Nach diesem ersten Schritt ist das Geheimnis im Idealfall nur dem Sicherheits-Server und dem persönlichen Gerät des Nutzers bekannt und sollte diesen Speicher nie verlassen. Nach einem Funktionstest schaltet der Web-Dienst die Zwei-Faktor-Authentisierung für das Benutzerkonto aktiv.
TOTP nutzen
Will der Benutzer den webbasierten Dienst nun nutzen, wird er – nach Eingabe seines Benutzernamens und Passworts – aufgefordert, ein von der App generiertes Einmalpasswort als zweiten Faktor zur Authentisierung einzugeben.
Es gibt mehrere Apps zur Zwei-Faktor-Authentifikation via TOTP:
Google Authenticator, Microsoft Authenticator, andOTP, FreeOTP, FreeOTP+, usw...
2FA (Zwei-Faktor-Authentifikation) ist oft auch als MFA (Multi-Faktor-Authentifikation) genannt.
2FA für alle Benutzer als Administrator erzwingen
Die Einstellungen für 2FA finden Sie als Flexopus Administrator unter Einstellungen > Authentifizierung > Zwei-Faktor-Authentifizierung. Hier können Sie die folgenden Einstellungen für die Benutzer erzwingen:
- Individual
Die Benutzer können individuell selber entscheiden, ob sie 2FA konfigurieren wollen. - Every User
Alle Benutzer sind verpflichtet, 2FA zu konfigurieren. - Only Administrators
Nur die administrativen Benutzer mit Zugriff auf das Dashboard müssen 2FA konfigurieren. Die normalen Benutzer können individuell entscheiden.
NOTE: Ein bei Flexopus eingerichtetes TOTP 2FA Verfahren wird von dem Benutzer nur dann verlangt, wenn er sich direkt mit E-Mail und Passwort registrieren möchte. Bei einem extern angebundenen Single-Sign-On (SSO) Service soll das 2FA von dem externen Identity Provider (IDP) bereitgestellt werden.
Wie kann ich als Administrator das 2FA für einen Benutzer zurücksetzen?
Falls sich ein Benutzer nicht mehr mit 2FA einloggen kann und die Wiederherstellungscodes auch nicht abgespeichert hat, dann kann ein Administrator die 2FA Konfiguration von dem jeweiligen Benutzer zurücksetzen.
Das können Sie wie folgt machen:
- Loggen Sie sich als Administrator bei Flexopus ein und gehen Sie auf das Dashboard > Users > All Users und wählen Sie den betroffenen Benutzer aus (Stift-Symbol).
- Wählen Sie den Tab "Profile Settings" (Profil-Einstellungen) aus und suchen Sie die Einstellungsmöglichkeit "Two-factor authentication" aus. Hier können Sie mit dem "Turn off 2FA" (2FA ausschalten) Button, die 2FA Einstellungen von jeweiligem Benutzer zurücksetzen. Im Anschluss kann der Benutzer 2FA neu einrichten.
2FA für Single Sign On Login (SSO)
Die bereitgestellte 2FA Konfigurationsmöglichkeit von Flexopus greift nur auf die Loginversuche mit E-Mail und Passwort durch Flexopus. Falls Sie bereits einen Single Sign On Anbieter konfiguriert haben, dann muss das 2FA von dem jeweiligen Identity Provider (IdP) bereitgestellt werden. Bitte stellen Sie sicher, dass die 2FA Einstellungen bei ihrem IdP (z.B: Azure AD, ADFS, Google, Okta und Co.) korrekt eingestellt wurden.
Das Authentisierung von Benutzer wird bei Single Sign On extern von dem IdP als Serivce gegenüber unserer Anwendung bereitgestellt. Das 2FA ist ein Authentisierungsschritt und somit der Teil von dem Single Sign On Prozess.
R0097