INHALTSVERZEICHNIS


Begriffserklärung

Die Zweifstufige Authentifizierung oder Zwei-Faktor-Authentifizierung (2FA) ist ein Sicherheitsverfahren, bei dem Benutzer zwei unterschiedliche Methoden (auch Faktoren genannt) nutzen müssen, um ihre Identität zu bestätigen, bevor sie Zugriff auf das System erhalten. Sie stellt eine zusätzliche Sicherheitsebene über das herkömmliche Passwort hinaus dar.

Die zwei Faktoren können aus folgenden Kategorien stammen:

  • Wissen: Etwas, das der Benutzer weiß (z. B. Passwort oder PIN).
  • Besitz: Etwas, das der Benutzer besitzt (z. B. Smartphone, Hardware-Token).
  • Biometrie: Etwas, das der Benutzer ist (z. B. Fingerabdruck, Gesichtserkennung).

Beispiel: Benutzer melden sich mit ihrem Passwort (Wissen) an und müssen dann einen Code eingeben, der an ihr Smartphone (Besitz) gesendet wurde.


Konfiguration


Verhalten im System

  • Berechtigung
    Personen, welche in einer ihrer Rollen die Berechtigung haben, Grundeinstellungen zu bearbeiten, können die Funktion aktivieren oder deaktivieren. 
  • Benötigtes auf Anwender-/Benutzerseite
    Um die zweistufige Authentifizierung nutzen zu können, brauchen alle Personen, die sich am System anmelden wollen, ein Handy, da dieses bei uns der zweite Faktor ist. Zudem müssen sie sich eine Authentifizierungs-App herunterladen. Welche sie dabei nutzen, ist egal. Bekannt sind zum Beispiel Google Authenticator oder Microsoft Authenticator. 
  • Auswirkung der Aktivierung
    • Geltungsbereich
      Ist die zweistufige Authentifizierung aktiviert, ist dies ausnahmslos für alle Benutzer der Fall, welche als Anmeldemethode Benutzername/Passwort verwenden. Die Funktion kann nicht auf ein im System arbeitendes Unternehmen, eine Organisationseinheit, besondere Benutzergruppen etc. eingeschränkt werden.
    • Hinweise im System
      Wird die Funktion von Administratoren aktiviert, wird allen Benutzern des Systems ein Hinweis mit einem Link zur Seite Mein Benutzer angezeigt.
      Zusätzlich ist ab dem Zeitpunkt auf der Anmeldeseite unter den Eingabefeldern Benutzername und Passwort auch das Feld Zweistufige Authentifizierung zu sehen. 
    • Ablauf für die Benutzer
      • Drücken die Benutzer auf den Link in der Meldung oder auf das Benutzermenü und dann den Eintrag Mein Benutzer, können sie die zweistufige Authentifizierung für sich aktivieren. Siehe: Zweistufige Authentifizierung als Benutzer aktivieren
        Der Hinweis bleibt solange bestehen, bis die Benutzer die Funktion konfiguriert haben.
      • Wurde die zweistufige Authentifizierung durch die Benutzer aktiviert, müssen sie auf der Anmeldeseite Benutzername und Passwort und im Feld Zweistufige Authentifizierung einen 6-stelligen Code eingeben, den sie aus ihrer Authentifizierungs-App auf dem Handy erhalten. 
  • Was passiert, wenn Benutzer die zweistufige Authentifizierung nicht einrichten?
    Diese Benutzer können sich weiterhin mit ihrem Benutzernamen und Passwort anmelden. Falls es euch wichtig ist, dass alle Benutzer die zweistufige Authentifizierung (2FA) nutzen, könnt ihr überprüfen, wer diese bereits aktiviert hat und wer nicht. In der Benutzerübersicht (auf der Seite Benutzer) erkennt ihr dies am Zwei-Schlüssel-Symbol  . Benutzer, die die Funktion noch nicht eingerichtet haben, könnt ihr per E-Mail kontaktieren und sie bitten, die Einrichtung abzuschließen. Siehe: Zweistufige Authentifizierung als Benutzer aktivieren
    Da die Anforderungen unserer Kunden an die zweistufige Authentifizierung sehr vielfältig sind und die Prozesse in den Unternehmen diesbezüglich unterschiedlich gehandhabt werden, wird es keine Funktion geben, die Benutzer dazu zwingt, die zweistufige Authentifizierung einzurichten.
  • Benutzer mit aktivierter zweistufiger Authentifizierung erkennen
    Benutzer, welche die zweistufige Authentifizierung eingerichtet haben, werden in der Benutzerübersicht mit dem Zwei-Schlüssel-Symbol  in der Spalte "Anmeldemethode" gekennzeichnet. Auch im Benutzer selbst, ist das im Kopf der Seite unter dem Namen und der Organisationseinheit zu sehen.
  • Fehler bei der Anmeldung
    Benutzer, welche die zweistufige Authentifizierung eingerichtet haben, jedoch nicht den Code eingeben, erhalten folgende Fehlermeldung auf der Login-Seite, oberhalb von Benutzername und Passwort.
    "Anmeldung fehlgeschlagen. Bitte prüfe deine Anmeldedaten und versuche es erneut. Ansonsten wende dich an deinen Administrator." Sobald sie zusätzlich zu Benutzername und Passwort auch den Code eingeben, können sie sich anmelden. 
  • Zusammenspiel mit Single Sign-on
    Die zweistufige Authentifizierung wird nur für die Benutzer aktiv, welche sich mit Benutzername/Passwort im System anmelden. Personen, die sich per Single Sign-on anmelden, können dies weiterhin tun ohne einen zweiten Faktor nutzen zu müssen.
  • Deaktivierung
    Die Funktion ist jederzeit deaktivierbar. Die Benutzer müssen sich dann wieder wie zuvor mit Benutzername/Passwort oder über Single Sign-on anmelden.

So nutzen dies unsere Kunden

Dies ist eine neue Funktion, deshalb wissen wir nicht, wie ihr sie nutzt. Sie wurde allerdings in der Vergangenheit oft gewünscht, weshalb wir eurem Wunsch nachgekommen sind. Wir hoffen sehr, dass sie euch hilft euer Bedürfnis nach zusätzlicher Sicherheit zu befriedigen.


Weitere Artikel zu diesem Thema