Zwei-Faktor-Authentisierung

agorum core bietet bei Verwendung der eingebauten kennwortbasierten Anmeldung optional eine Zwei-Faktor-Authentisierung über zeitbasierte Einmalkennwörter (TOTP) an.

Die Zwei-Faktor-Authentisierung einrichten

Öffnen Sie links in der Seitenleiste Administration > MetaDB.
Öffnen Sie den Pfad:
```
MAIN_MODULE_MANAGEMENT/mfa/#Required
```
Benennen Sie das MetaDB-Property-Entry #Required um in Required.

Ergebnis: Die Zwei-Faktor-Authentisierung ist jetzt für Zugriffe per API (Weboberfläche) als auch per WebDAV aktiviert.

Den Einrichtungsprozess der Zwei-Faktor-Authentisierung bei Benutzern starten

Meldet sich ein Benutzer nach Aktivierung der Zwei-Faktor-Authentisierung erstmalig über die Weboberfläche an, startet für diesen Benutzer automatisch der Einrichtungsprozess und die Login-Maske erweitert sich um das Feld Einmalkennwort.

Öffnen Sie agorum core.

Ergebnis: Die Login-Maske von agorum core erscheint.
Lassen Sie das Feld Einmalkennwort leer und tragen Sie wie gewohnt Benutzernamen und Passwort ein.
Klicken Sie auf Anmelden.

Ergebnis: Ein Dialog mit einem QR-Code erscheint.

QR-Code zur Einrichtung der Zwei-Faktor-Authentisierung
Lesen Sie den QR-Code per TOTP-App (Microsoft Authenticator, Google Authenticator, Sophos Authenticator) ein und erzeugen Sie den Code.
Geben Sie den generierten Code in das Feld Einmalkennwort ein.

Ergebnis: Die Einrichtung für diesen Benutzer ist jetzt abgeschlossen und er wird angemeldet. Bei jeder erneuten Anmeldung muss der Benutzer seine TOTP-App öffnen und das dort angezeigte Einmalkennwort in agorum core eingeben.

An anderen Diensten anmelden

Sobald ein Benutzer die Einrichtung der Zwei-Faktor-Authentisierung abgeschlossen hat, kann er sich wieder über andere geschützte Dienste wie WebDAV anmelden. Bei Anmeldeoberflächen, die kein gesondertes Eingabefeld für das Einmalkennwort besitzen, wird das Einmalkennwort direkt hinter das Passwort gehängt.

Die Benutzereinrichtung zurücksetzen

Verliert ein Benutzer den Zugriff auf seine Kennwortgenerator-App, können Sie die Einrichtung der Zwei-Faktor-Authentisierung für diesen Benutzer zurücksetzen.

Öffnen Sie links in der Seitenleiste Administration > MetaDB.
Öffnen Sie den Pfad:
```
MAIN_MODULE_MANAGEMENT/mfa/secrets
```
Löschen Sie das nach dem Benutzer benannte MetaDB-Property-Entry.

Ergebnis: Die Zwei-Faktor-Authentisierung startet für diesen Benutzer bei der nächsten Anmeldung neu.

Gleichzeitige Verwendung von Single Sign-On (SSO)

Wenn auf der agorum core-Instanz zusätzlich SSO eingerichtet wurde, muss ein zusätzlicher Schritt unternommen werden, sonst ist es möglich, dass Benutzer die Eingabe eines Einmalkennworts durch NTLM zur Anmeldung umgehen können.

Um das zu verhindern, deaktivieren Sie NTLM für Anmeldungen per HTTP.

Öffnen Sie links in der Seitenleiste Administration > MetaDB.
Öffnen Sie den Pfad:
```
MAIN_MODULE_MANAGEMENT/auth/HTTP
```
Erstellen Sie mit ein neues MetaDB Property-Entry:

Name
DisableNtlm

Datentyp
Zeichenkette (String)

Wert (String)
true
Starten Sie agorum core neu.

Ergebnis: Die SSO-Anmeldung über HTTP ist ab sofort nur noch per Kerberos möglich.

Einen Benutzer von der Zwei-Faktor-Authentisierung ausschließen (optional)

Sie können einen oder mehrere Benutzer von der Zwei-Faktor-Authentisierung ausschließen. Diese Benutzer können sich dann auch weiterhin mit Angabe von Benutzername und Kennwort ohne ein zusätzliches Einmalkennwort anmelden.

Öffnen Sie links in der Seitenleiste Administration > MetaDB.
Öffnen Sie den Pfad:
```
MAIN_MODULE_MANAGEMENT/mfa
```
Benennen Sie das MetaDB-Property-Entry #Exceptions um in Exceptions.
Bearbeiten Sie das MetaDB-Property-Entry Exceptions.
Tragen Sie in das Feld Wert (String) die Benutzernamen ein, die Sie von der Zwei-Faktor-Authentisierung ausschließen möchten.
Speichern Sie.

Ergebnis: Die eingetragenen Benutzer können sich ab sofort weiterhin mit Angabe von Benutzername und Kennwort ohne ein zusätzliches Einmalkennwort anmelden.