Durchsuchbare Dokumentation aufrufen | Zurück zur Dokumentationsübersicht

Navigation: Dokumentationen agorum core > Übersicht tags

Zwei-Faktor-Authentisierung

agorum core bietet bei Verwendung der eingebauten kennwortbasierten Anmeldung optional eine Zwei-Faktor-Authentisierung über zeitbasierte Einmalkennwörter (TOTP) an. Die Zwei-Faktor-Authentisierung ist ab Version 11.11 standardmäßig aktiviert. Sie können einzelne Benutzer davon ausschließen oder die Zwei-Faktor-Authentisierung deaktivieren (nicht empfohlen).

Empfehlungen und Prozesse für die Zwei-Faktor-Authentisierung etablieren

agorum core unterstützt den Einsatz einer Multi-Faktor-Authentisierung (MFA) gemäß aktueller Security-Best-Practices. Die Zwei-Faktor-Authentisierung erhöht die Sicherheit von Benutzerzugriffen signifikant, indem zusätzlich ein Einmalpasswort aus einer Authenticator-App neben dem klassischen Passwort zur Anmeldung in agorum core notwendig wird. Für die Verwendung in der Authenticator-App benötigt der Benutzer einen QR-Code, der bei der ersten Anmeldung angezeigt wird. 

Um die Einführung und Verwendung der Zwei-Faktor-Authentisierung möglichst unkompliziert zu gestalten, empfehlen wir Ihnen, vorab folgende Entscheidungen zu treffen und ggf. Regeln oder Prozesse dafür zu etablieren:

Warum die Aufbewahrung des QR-Codes wichtig ist

Der QR-Code, der bei der erstmaligen Einrichtung der Multi-Faktor-Authentisierung (MFA) angezeigt wird, ist mehr als nur ein Zugangsschlüssel für den Moment – er bildet die Grundlage für den Schutz des Benutzerkontos. Wird das Smartphone gewechselt, verloren, gestohlen oder zurückgesetzt, oder ist die Authenticator-App versehentlich gelöscht worden, benötigt der Anwender den ursprünglichen QR-Code, um MFA erneut einzurichten.

Ohne den gesicherten QR-Code verliert der Benutzer den Zugriff auf die zweite Sicherheitsstufe seines Accounts. In diesem Fall müssen Sie als Administrator die MFA-Einstellungen des Benutzers zurücksetzen. Daher ist die sichere und dauerhafte Aufbewahrung des QR-Codes ein zentraler Bestandteil einer durchdachten Strategie. Sie gewährleistet, dass bei Gerätewechsel der Zugang zur Software jederzeit wiederhergestellt werden kann, ohne unnötige Verzögerungen.

Best Practices für den Umgang mit dem MFA-QR-Code

agorum® empfiehlt Ihnen, verbindliche Prozesse und Richtlinien für die sichere Verwahrung von MFA-QR-Codes zu etablieren. Dabei können die folgenden Überlegungen und Hinweise relevant sein:

MFA in Test- und Projektsystemen

Sofern das Produktivsystem MFA erfordert, sollte auch das Testsystem gleich konfiguriert sein. Nur so lassen sich alle Abläufe, Ausnahmen und Fehler realitätsgetreu prüfen. Falls Sie geteilte Testkonten für automatisierte Tests und Funktionsprüfungen verwenden, empfehlen wir Ihnen, die dazugehörigen QR-Codes unternehmensweit einheitlich abzulegen, etwa in einem zugriffsberechtigten Passwortmanager.

Den Einrichtungsprozess der Zwei-Faktor-Authentisierung bei Benutzern starten

Meldet sich ein Benutzer nach Aktivierung der Zwei-Faktor-Authentisierung erstmalig über die Weboberfläche an, startet für diesen Benutzer automatisch der Einrichtungsprozess und die Login-Maske erweitert sich um das Feld Einmalkennwort.

  1. Öffnen Sie agorum core.

    Ergebnis: Die Login-Maske von agorum core erscheint.
  2. Lassen Sie das Feld Einmalkennwort leer und tragen Sie wie gewohnt Benutzernamen und Passwort ein.
  3. Klicken Sie auf Anmelden.

    Ergebnis: Ein Dialog mit einem QR-Code erscheint.
     
    QR-Code zur Einrichtung der Zwei-Faktor-Authentisierung
  4. Lesen Sie den QR-Code per TOTP-App (Microsoft Authenticator, Google Authenticator, Sophos Authenticator) ein und erzeugen Sie den Code.
  5. Geben Sie den generierten Code in das Feld Einmalkennwort ein.

    Ergebnis: Die Einrichtung für diesen Benutzer ist jetzt abgeschlossen und er wird angemeldet. Bei jeder erneuten Anmeldung muss der Benutzer seine TOTP-App öffnen und das dort angezeigte Einmalkennwort in agorum core eingeben. Ausnahme: Der Benutzer hat zugestimmt, dass die Authentisierung im aktuellen Browser nicht wiederholt werden muss.

An anderen Diensten anmelden

Sobald ein Benutzer die Einrichtung der Zwei-Faktor-Authentisierung abgeschlossen hat, kann er sich wieder über andere geschützte Dienste wie WebDAV anmelden. Bei Anmeldeoberflächen, die kein gesondertes Eingabefeld für das Einmalkennwort besitzen, wird das Einmalkennwort direkt hinter das Passwort gehängt.

Gleichzeitige Verwendung von Single Sign-On (SSO)

Wenn auf der agorum core Instanz zusätzlich SSO eingerichtet wurde, muss ein zusätzlicher Schritt unternommen werden, sonst ist es möglich, dass Benutzer die Eingabe eines Einmalkennworts durch NTLM zur Anmeldung umgehen können. Für weitere Informationen zu SSO siehe SSO über Kerberos einrichten.

Um das zu verhindern, deaktivieren Sie NTLM für Anmeldungen per HTTP.

  1. Öffnen Sie links in der Seitenleiste Administration > MetaDB.
  2. Öffnen Sie den Pfad: 
    MAIN_MODULE_MANAGEMENT/auth/HTTP
  3. Erstellen Sie mit ein neues MetaDB Property-Entry:

    Name
    DisableNtlm

    Datentyp
    Zeichenkette (String)

    Wert (String)
    true
  4. Starten Sie agorum core neu.

    Ergebnis: Die SSO-Anmeldung über HTTP ist ab sofort nur noch per Kerberos möglich.

Benutzer von der Zwei-Faktor-Authentisierung ausschließen (optional)

Sie können einen oder mehrere Benutzer von der Zwei-Faktor-Authentisierung ausschließen. Diese Benutzer können sich dann auch weiterhin mit Angabe von Benutzername und Kennwort ohne ein zusätzliches Einmalkennwort anmelden. Das ist vorwiegend bei technischen Benutzern sinnvoll, die verwendet werden, um eine Verbindung aus einem anderen System herzustellen.

  1. Öffnen Sie links in der Seitenleiste Administration > MetaDB.
  2. Öffnen Sie den Pfad: 
    MAIN_MODULE_MANAGEMENT/mfa
  3. Benennen Sie das MetaDB-Property-Entry #Exceptions um in Exceptions.
  4. Bearbeiten Sie das MetaDB-Property-Entry Exceptions.
  5. Tragen Sie in das Feld Werte (String-Array) die Benutzernamen ein, die Sie von der Zwei-Faktor-Authentisierung ausschließen möchten.
  6. Speichern Sie die Änderungen.

    Ergebnis: Die eingetragenen Benutzer können sich ab sofort weiterhin mit Angabe von Benutzername und Kennwort ohne ein zusätzliches Einmalkennwort anmelden.

     

    Ausnahmen von der Zwei-Faktor-Authentisierung

Benutzerkonten zurücksetzen

Die Zwei-Faktor-Authentisierung für einen Benutzer zurücksetzen

Verliert ein Benutzer den Zugriff auf seine Kennwortgenerator-App, können Sie die Einrichtung der Zwei-Faktor-Authentisierung für diesen Benutzer zurücksetzen.

  1. Öffnen Sie links in der Seitenleiste Administration > MetaDB.
  2. Öffnen Sie den Pfad: 
    MAIN_MODULE_MANAGEMENT/mfa/secrets
  3. Löschen Sie das nach dem Benutzer benannte MetaDB-Property-Entry.

    Ergebnis: Die Zwei-Faktor-Authentisierung startet für diesen Benutzer bei der nächsten Anmeldung neu.

Anmeldedaten von roi zurücksetzen

Wenn Sie sich als roi nicht mehr anmelden können, können Sie das Anmeldeverfahren und das Passwort von roi zurücksetzen, indem Sie Änderungen direkt auf dem Server vornehmen. Sie benötigen also Serverzugriff. Anschließend können Sie die folgenden beiden ZIP-Pakete verwenden, um MFA für roi zu deaktivieren oder das Passwort von roi zurückzusetzen:

Die Zwei-Faktor-Authentisierung deaktivieren

Achtung: In Neuinstallationen von agorum core ist die Zwei-Faktor-Authentisierung standardmäßig aktiviert. agorum® empfiehlt die Verwendung der Zwei-Faktor-Authentisierung.

  1. Öffnen Sie links in der Seitenleiste Administration > MetaDB.
  2. Öffnen Sie den Pfad: 
    MAIN_MODULE_MANAGEMENT/mfa/Required
  3. Benennen Sie das MetaDB-Property-Entry Required um in #Required.

    Ergebnis: Sie haben die Zwei-Faktor-Authentisierung für alle Zugriffswege deaktiviert.