2FA Authentifizierung (self-hosted)

<< Klicken um Inhaltsverzeichnis aufzurufen >>

Navigation:  Komponenten > Authentifizierungsserver > Konfiguration >

2FA Authentifizierung (self-hosted)

In diesem Kapitel erfahren Sie, wie Sie die Zwei-Faktor-Authentifizierung in bestzero® konfigurieren können.

 

 

Varianten der Einrichtung

 

Es gibt mehrere Varianten, wie Sie die Zwei-Faktor-Authentifizierung einsetzen können.

 

hmtoggle_arrow1Provider Registrierung mit Zwei-Faktor-Authentifizierung

 

Mit dieser Konfiguration müssen Benutzer, wenn Sie sich bei einem Provider registrieren wollen, einen Zwei-Faktor-Authentifizierungs-Token angeben.

 

Bei der erstmaligen Registrierung zu einem neuen Provider bekommt der Benutzer dabei einen Token beispielsweise per E-Mail oder SMS, dieser ist standardgemäß für 5 Minuten gültig.

Anschließend wird ein QR-Code angezeigt, der mit jeder gängigen OTP-Applikation gescannt bzw. eingelesen werden kann. Mit einem Token dieser Applikation kann der Registrierungsprozess abgeschlossen werden.

 

 

Einrichtung der Zwei-Faktor-Authentifizierung für die Provider Registrierung

 

Öffnen Sie die Konfigurationsdatei "best_local.ini" auf Verzeichnisebene. (Standardverzeichnis: "C:\Program Files\Cordaware\best_srv\etc\best_local.ini")

 

Fügen Sie der Sektion "[best_ext]" folgenden Eintrag hinzu:

 

 

register_need_2fa = true

 

(Sollte ein Eintrag mit dem Schlüssel "register_need_2fa" bereits existieren, ändern Sie lediglich den Wert auf "true".)

 

Speichern Sie die Konfigurationsdatei ab und starten Sie den Serverdienst "Cordaware_bestinformed_best_srv" neu, um die Änderungen anzuwenden.

 

 

hmtoggle_arrow1Provider Verbindung mit Zwei-Faktor-Authentifizierung

 

Mit dieser Konfiguration müssen Benutzer, wenn Sie sich zu einem Provider verbinden wollen, einen Zwei-Faktor-Authentifizierungs-Token angeben.

 

Dieser Token wird von der jeweiligen OTP-Applikation generiert, die bei der Registrierung am Provider eingerichtet wurde.

 

 

Die Provider Registrierung muss ebenfalls mit der Zwei-Faktor-Authentifizierung abgesichert sein, damit Benutzer einen QR-Code erhalten, mit dem sie ihre OTP-Applikation einrichten können.

 

 

Einrichtung der Zwei-Faktor-Authentifizierung für die Provider Verbindung

 

Öffnen Sie die Konfigurationsdatei "best_local.ini" auf Verzeichnisebene. (Standardverzeichnis: "C:\Program Files\Cordaware\best_srv\etc\best_local.ini")

 

Fügen Sie der Sektion "[best_ext]" folgenden Eintrag hinzu:

 

 

client_need_2fa = true

 

(Sollte ein Eintrag mit dem Schlüssel "client_need_2fa" bereits existieren, ändern Sie lediglich den Wert auf "true".)

 

Speichern Sie die Konfigurationsdatei ab und starten Sie den Serverdienst "Cordaware_bestinformed_best_srv" neu, um die Änderungen anzuwenden.

 

 

hmtoggle_arrow1Individuelle Apps mit Zwei-Faktor-Authentifizierung

 

Genaueres hierzu finden Sie im Kapitel Hive Konfigurator > Konfiguration > 2FA Authentifizierung.

 

 

Abfrage eines Zwei-Faktor-Authentifizierungs-Tokens

 

Wird ein Zwei-Faktor-Authentifizierungs-Token abgefragt, erscheint Ihnen folgende Eingabemaske:

 

2fa_token

 

Unter "2FA Token" können Sie den generierten Token Ihrer OTP-Applikation eingeben und mit Hilfe des "Bestätigen" Buttons können Sie diesen absenden.

Der gelbe Fortschrittsbalken unterhalb der Buttons ist die Restzeitanzeige, wie lange noch auf die Eingabe des Zwei-Faktor-Authentifizierungs-Tokens gewartet wird.

 

 

Wartezeit bei Eingabe eines falschen Tokens

 

Ist diese abgelaufen, muss die Aktion zur Authentifizierung neu ausgeführt und damit die Zwei-Faktor-Authentifizierung neu angefordert werden.

 

Wenn ein falscher Token eingegeben und bestätigt wird, dann wird das Tokeneingabefeld für eine gewisse Wartezeit deaktiviert.

Diese Wartezeit erhöht sich je nachdem wie oft in Folge ein Token falsch eingegeben wird.

 

1 falsche Eingabe

1 Sekunde Wartezeit.

2 falsche Eingaben

2 Sekunden Wartezeit.

3 falsche Eingaben

4 Sekunden Wartezeit.

4 falsche Eingaben

8 Sekunden Wartezeit.

5 falsche Eingaben

16 Sekunden Wartezeit.

6 oder mehr falsche Eingaben

32 Sekunden Wartezeit.

 

 

Konfiguration der Lebensdauer des Zwei-Faktor-Authentifizierungs-Tokens

 

Öffnen Sie die Konfigurationsdatei "best_local.ini" auf Verzeichnisebene. (Standardverzeichnis: "C:\Program Files\Cordaware\best_srv\etc\best_local.ini")

Hier können Sie die Zeit in Minuten definieren, wie lange auf die Eingabe eines Zwei-Faktor-Authentifizierungs-Tokens gewartet wird.

 

Fügen Sie hierzu der Sektion "[best_ext]" folgenden Eintrag hinzu:

 

 

client_2fa_wait_timeout = 5 (Standardwert)

 

(Sollte ein Eintrag mit dem Schlüssel "client_2fa_wait_timeout" bereits existieren, ändern Sie lediglich den Wert auf die gewünschte Anzahl an Minuten.)

 

Speichern Sie die Konfigurationsdatei ab und starten Sie den Serverdienst "Cordaware_bestinformed_best_srv" neu, um die Änderungen anzuwenden.

 

 

Konfiguration der Wartezeit bei Eingabe eines falschen Tokens

 

In der Konfigurationsdatei "best_local.ini" können Sie definieren, ob bei der Eingabe eines falschen Tokens eine gewisse Zeit gewartet werden soll, ehe das Tokeneingabefeld wieder freigegeben wird oder nicht.

 

Fügen Sie hierzu der Sektion "[best_ext]" folgenden Eintrag hinzu:

 

 

delayon = true (Standardwert)

 

(Sollte ein Eintrag mit dem Schlüssel "delayon" bereits existieren, ändern Sie lediglich den Wert entsprechend ab, je nachdem ob Sie das Feature aktivieren ("true") oder deaktivieren ("false") wollen.)

 

Speichern Sie auch hier die Konfigurationsdatei ab und starten Sie den Serverdienst "Cordaware_bestinformed_best_srv" neu, um die Änderungen anzuwenden.

 

 

FAQ

 

hmtoggle_arrow1Ich habe den Zugriff auf meine OTP-Applikation verloren, wie bekomme ich einen neuen QR-Code?

 

Löschen Sie sämtliche Referenzen auf Ihre Registration in Ihrer Administrationsweboberfläche und registrieren Sie sich neu zu Ihrem Provider:

 

1.Melden Sie sich zunächst an Ihrer bestzero® Administrations-Weboberfläche an.

2.Navigieren Sie zur App Externe registriert (Clients > Externe registriert).

3.Klicken Sie auf den "2FA" Button (Schlüssel-Symbol).

4.Entfernen Sie nun alle Einträge, die Ihrem Benutzernamen zugeordnet sind.

5.Klicken Sie auf den "zurück" Button (Pfeil-Symbol).

6.Entfernen Sie nun auch hier alle Einträge, die Ihrem Benutzernamen zugeordnet sind.

7.Öffnen Sie nun die bestzero® Appsbox und registrieren Sie sich neu zu Ihrem Provider.

 

Nun sollten Sie einen neuen QR-Code erhalten, den Sie in Ihre neue OTP-Applikation einbinden können.

 

 

hmtoggle_arrow1Verliere ich eine aktive Verbindung, wenn ich eine mit Zwei-Faktor-Authentifizierung gesicherte App wieder sperre?

 

Nein, sobald Sie eine mit Zwei-Faktor-Authentifizierung gesicherte App entsperrt haben und eine Verbindung zu der dahinter stehenden Ressource aufgebaut haben, bleibt diese Verbindung bestehen.

 

Ein konkretes Beispiel wäre die Freigabe eines Verzeichnisses über WebDAV:

 

1.Sie entsperren die App, die Ihnen den Zugriff auf das Verzeichnis gewährt.

2.Sie binden das Verzeichnis als Netzlaufwerk ein und stellen somit eine aktive Verbindung zur Ressource her.

3.Sie sperren nun die App in der Appsbox manuell.

 

Sie behalten nun den Zugriff auf alle Dateien und Ordner innerhalb des Verzeichnisses.

 

 

Sollten Sie dieses Verzeichnis jedoch wieder löschen und neu einbinden wollen, können Sie dies nicht tun, ohne vorher die App wieder zu entsperren!

 

Das bedeutet, dass bestehende Verbindungen erhalten bleiben, jedoch keine neuen Verbindungen aufgebaut werden können.