Einrichtung der Zwei-Faktor-Authentifizierung

Um für einen Benutzer die Zwei-Faktor-Authentifizierung einzurichten, wechseln Sie bitte in der Administrations-Applikation in den Bereich „Benutzer“. Wählen Sie einen Benutzer aus und klicken Sie auf „Benutzer bearbeiten“. Standardmäßig ist die Anmeldung mit einem Passwort eingestellt, um dies zu ändern, setzen Sie im Bereich „Zweiter Faktor“ einen Haken bei „Aktiviert“.

../_images/2fa-benutzer-bearbeiten.png

Nun können Sie die 2FA konfigurieren. Zuerst müssen Sie wählen, welche Möglichkeit (App oder Hardware-Schlüssel) Sie als zweiten Faktor nutzen möchten. Je nach Wahl ändert sich der weitere Einrichtungsvorgang.

../_images/2fa-auswahl.png

Möchten Sie, dass der jeweilige Benutzer direkt bei der nächsten Anmeldung die 2FA nutzt, können Sie bei „Einrichtung bei der nächsten Anmeldung notwendig“ einen Haken setzen. In diesem Fall wird der Benutzer nach der Passwort-Anmeldung zur Einrichtung der Zwei-Faktor-Authentifizierung weitergeleitet, um diese selbst durchführen zu können (dies ist nur bei der Nutzung einer App möglich). So ist sichergestellt, dass eine Anmeldung durch den Benutzer nur mit eingerichteter 2FA erfolgen kann.

../_images/2fa-abfrage-einstellen.png

Ebenso können Sie auch „Vertrauenswürdige Geräte zulassen“. So muss der Nutzer nur bei der ersten Anmeldung an einem Computer einen Code eingeben.

2FA mit dem YubiKey

Haben Sie sich für Faktortyp Hardwareschlüssel (YubiKey) entschieden, muss dieser bei der ersten Inbetriebnahme für jeden Benutzer eingerichtet werden. Dies übernimmt der Administrator, da die Einrichtung für den Benutzer meist zu technisch ist.

../_images/2fa-yubikey.jpg

Um den YubiKey für einen Benutzer zu personalisieren, muss er mit dem Anmeldevorgang bei docs365 documents verknüpft werden. Diese Einrichtung starten Sie mit dem Button „Einrichten“, vorher müssen Sie die vorgenommenen Einstellungen einmal speichern.

Nun ist es notwendig, einen vom YubiKey erzeugten privaten Schlüssel („Secret Key“) in den Anmeldedaten zu hinterlegen. Um diesen Secret Key zu bekommen, stecken Sie den jeweiligen YubiKey in einen USB-Slot. Nun sollte er erkannt werden und die Personalisierung kann starten (Achtung – wird er nicht erkannt, prüfen Sie, ob der YubiKey richtig im Slot steckt. Es ist auch möglich, ihn falschherum einzustecken!).

Wird er erkannt, können Sie den YubiKey einrichten. Dazu laden Sie bitte das YubiKey Personalization Tool von der yubico-Homepage herunter, öffnen es und folgen diesen Vorgaben:

  • Wählen Sie den „OATH-HOTP-Modus“ aus.

  • Wählen Sie „Quick“ aus.

In dem danach folgenden Dialog müssen die Einstellungen wie folgt vorgenommen werden:

  • Ein Configuration Slot muss ausgewählt werden. Wenn der YubiKey nicht noch gleichzeitig für ein anderes System verwendet wird, sollte hier der Slot 1 verwendet werden.

  • Die Checkbox „OATH Token Identifier“ darf nicht aktiviert sein.

  • „HOTP Length“ muss auf „8 Digits“ eingestellt werden.

  • Die Checkbox „Hide secret“ muss ausgeschaltet werden, damit der Secret Key angezeigt wird.

Am Ende sollte der Dialog wie folgt aussehen:

../_images/2fa-yubikey-dialog.png

Klicken Sie nun auf „Regenerate“, um einen neuen Schlüssel zu erzeugen, und anschließend auf „Write Configuration“, um den YubiKey mit diesem Schlüssel zu programmieren. Falls das Tool Sie auffordert, eine Logdatei zu speichern, sichern Sie diese an einem beliebigen Ort.

Im letzten Schritt müssen Sie den im Textfeld „Secret Key“ angezeigten Text auswählen und kopieren, um ihn dann im Einrichtungsdialog von docs365 documents einzufügen und mit dem ersten vom YubiKey erzeugten Code zu verifizieren.

../_images/2fa-secret-code.png

Bei der Einrichtung bekommen Sie zusätzlich eine Liste mit Sicherheits-Codes, die Sie als Backup speichern können, um im Notfall Zugang zu docs365 documents haben (falls der Benutzer seinen Hardwareschlüssel vergessen oder verloren hat). Diese Liste können Sie dem Benutzer zusammen mit dem YubiKey aushändigen.

../_images/2fa-backup-codes.png

Nach einem Klick auf Weiter ist die Einrichtung erfolgreich abgeschlossen:

../_images/2fa-abschluss.png

Nun können Sie den YubiKey dem zugehörigen Nutzer übergeben. Dieser kann sich ab jetzt mit seinem Passwort und einem Code des YubiKeys in seinem Documents-Account anmelden.

../_images/2fa-anmeldung.png

2FA mit einer Authentifizierung-App

Neben einem Hardwareschlüssel gibt es für jedes Smartphone diverse Apps, mit denen ein Authentifizierungscode für eine 2FA erzeugt werden kann. Für dieses Dokument wurde die App Google Authenticator genutzt, welche sowohl für IOS als auch Android erhältlich ist.

Um die 2FA mit einer App als zweitem Faktor einzurichten, wählen Sie bitte im Benutzerprofil im Bereich Zweiter Faktor als Faktortyp die Authentifizierungs-App (TOTP):

../_images/2fa-app.png

Hier können Sie einen Haken bei „Einrichtung bei nächster Anmeldung notwendig“ setzen, so dass der Benutzer bei der nächsten Anmeldung zum Einrichtungsdialog weitergeleitet wird. Die Einrichtung ist um einiges unkomplizierter als die Einrichtung eines Hardware-Schlüssels und wird in der Regel vom Benutzer selbstständig mit dem eigenen Smartphone durchgeführt.