Mehr-Faktor-Authentifizierung (MFA)

Genereller Aufbau

Um 2FA zu aktivieren, gibt es den Bereich Multi-Faktor-Authentifizierung in den Benutzereinstellungen, in dem zwei verschiedene Arten der Authentifizierung eingestellt werden können:

IDP-Benutzer können diesen Abschnitt in den Benutzereinstellungen nicht sehen, da dieser Benutzertyp außerhalb von OMN verwaltet wird. Er ist nur für OMN-Benutzer verfügbar.

Jede Methode hat ihren eigenen Bereich mit einer Tabelle, in der alle eingestellten Apps und Schlüssel angezeigt werden.
Der Benutzer kann dort die gewünschte Authentifizierungsmethode einstellen und sie per Toggle-Button aktivieren oder deaktivieren.

user settings mfa
Figure 1. Mehr-Faktor-Authentifizierung
Der Benutzer braucht für Änderungen in diesem Abschnitt nicht auf „Speichern“ zu klicken, da eine direkte Kommunikation mit dem Keycloak-Server besteht.

Authentifizierung über die Authentifizierungs-App

Bei der Zwei-Faktor-Authentifizierung über eine Authentifizierungs-App werden Einmal-Passwörter (OTP) verwendet, um den Benutzer zu verifizieren.

Daher benötigt der Benutzer ein Gerät, z. B. ein Smartphone, auf dem eine Authentifizierungs-App installiert ist.

Die folgenden Apps werden offiziell unterstützt:

  • Google Authenticator

  • Microsoft Authenticator

  • FreeOTP

Es gibt eine Reihe anderer Apps, die in der Regel ebenfalls in der Lage wären, die Aufgabe zu erfüllen. Dafür gibt es aber keine Garantie.
Die oben genannten Apps werden daher für die Verwendung empfohlen.

Um eine App einzurichten, muss der Benutzer auf den Button „Authentifizierungs-App hinzufügen“ in der Tabelle klicken.
Danach wird dem Benutzer die Seite „Einrichtung der Authentifizierungs-App“ angezeigt.

user settings auth setup
Figure 2. Authentifizierungs-App Einrichtung

Wie die Login-Seite ist die Setup-Seite in zwei Hauptbereiche gegliedert, einen Einrichtungsbereich auf der linken Seite und einen benutzerdefinierten Bereich auf der rechten Seite.

Der Einrichtungsbereich verfügt über einen Sprachwechsler in der oberen linken Ecke. Derzeit sind „Englisch“ und „Deutsch“ verfügbar.
In der Mitte dieses Bereichs befinden sich das OMN-Logo, eine Willkommensnachricht und Anweisungen zur Installation der Authentifizierungs-App:

  1. Installieren der Authentifizierungs-App.

  2. Scannen des Barcodes mit der App.
    Alternativ kann ein Schlüssel durch Klick auf den Link „Sie können den Barcode nicht scannen?“ eingegeben werden.

  3. Es wird ein einmaliger Code generiert, der in das Eingabefeld eingetragen werden muss.
    Es ist möglich, einen Gerätenamen einzugeben, um die registrierte App später in der Tabelle in den Benutzereinstellungen besser zu unterscheiden.

    user settings auth2

  4. Mit einem Klick auf den Button „Abschicken“ wird die App registriert.
    Mit einem Klick auf den Button „Abbrechen“ kehrt der Benutzer zu den Benutzereinstellungen zurück und verwirft alle Eingaben.

Es ist möglich, mehrere Authentifizierungs-Apps einzurichten.

Wenn die Einrichtung erfolgreich war, wird der Benutzer wieder auf die Seite mit den Benutzereinstellungen weitergeleitet und findet die registrierte Authentifizierungs-App in der Tabelle.

user settings mfa auth
Figure 3. Registrierte App

Die Tabelle bietet die Möglichkeit, eine registrierte Authentifizierungs-App zu löschen. Dazu muss der Benutzer den Mauszeiger über die Tabellenzeile bewegen, woraufhin ein Löschen-Icon erscheint. Wenn er auf dieses Icon klickt, wird die App entfernt.

user settings auth delete
Figure 4. App aus der Tabelle löschen

Achtung! Sie kann nicht wiederhergestellt werden und muss von Anfang an neu registriert werden.

user settings auth delete2
Figure 5. Löschen Warnmeldung

Wenn eine Authentifizierungs-App aktiviert ist, wird der Benutzer bei der nächsten Anmeldung nach der 2FA-Verifizierung gefragt.

Manchmal schlägt das OTP bei der Registrierung oder Anmeldung fehl.
In den meisten Fällen liegt dies an einer Zeitdifferenz zwischen dem Smart Device und dem Server, da das OTP zeitbasiert ist.
In diesem Fall sollte der Benutzer die Zeiteinstellungen überprüfen.

Authentifizierung über Sicherheitsschlüssel

Die zweite Zwei-Faktor-Authentifizierungsmethode „Sicherheitsschlüssel“ basiert auf dem FIDO2-Standard, der biometrische Authentifizierung unterstützt. Der Nutzer muss über einen Hardware-Sicherheitsschlüssel (z.B. YubiKey) oder ein Endgerät verfügen, das Sicherheitstechnologie auf Hardwareebene unterstützt (z.B. MacOS Touch ID, Fingerabdruck, etc.).

Nicht jeder Sicherheitsschlüssel wird von allen Browsern und Betriebssystemen unterstützt. Um Sicherheitsprobleme und Zugriffsprobleme zu vermeiden, sollte der Benutzer immer mit demselben Browser und Betriebssystem arbeiten.
Alternativ ist es empfehlenswert, mehrere Sicherheitsschlüssel einzurichten.

Um einen Sicherheitsschlüssel zu registrieren, muss der Benutzer auf den Button „Sicherheitsschlüssel hinzufügen“ in der Tabelle klicken.
Danach wird er auf die Seite „Sicherheitsschlüssel Registrierung“ weitergeleitet.

user settings security key setup
Figure 6. Sicherheitsschlüssel Registrierung

Diese Seite ist im Allgemeinen wie die Seite „Einrichtung der Authentifizierungs-App“ aufgebaut, mit dem Unterschied, dass die linke Seite nur das OMN-Logo, eine Willkommensnachricht und einen Button zum „Registrieren“ oder „Abbrechen“ enthält.

Durch Klicken auf den Button „Registrieren“ erscheint ein Browser-Pop-up. Wie bereits erläutert, kann jeder Browser unterschiedliche Sicherheitsschlüsseloptionen haben.
Der Benutzer muss die Anweisungen befolgen, um den gewünschten Sicherheitsschlüssel zu registrieren.

Weitere Informationen gibt es unter Passkey-Konfiguration.

user settings passkey
Figure 7. Sicherheitsschlüssel Passkey Registrierung
Es ist möglich, mehrere Sicherheitsschlüssel einzurichten.

Wenn die Registrierung erfolgreich war, wird der Benutzer wieder auf die Seite mit den Benutzereinstellungen weitergeleitet und findet den registrierten Sicherheitsschlüssel in der Tabelle.

user settings mfa key
Figure 8. Sicherheitsschlüssel

Die Tabelle bietet die Möglichkeit, einen registrierten Sicherheitsschlüssel zu löschen. Dazu muss der Benutzer den Mauszeiger über die Tabellenzeile bewegen, woraufhin ein Löschen- Icon erscheint. Wenn er auf dieses Symbol klickt, wird der Schlüssel entfernt.
Achtung! Er kann nicht wiederhergestellt werden und muss von Anfang an neu registriert werden.

Wenn der Bereich Sicherheitsschlüssel aktiviert ist, wird der Benutzer bei der nächsten Anmeldung zur 2FA-Verifizierung aufgefordert.

Einrichtung mehrerer Authentifizierungs-Apps und Sicherheitsschlüssel

Grundsätzlich ist es möglich, gleichzeitig mehrere Apps und Sicherheitsschlüssel zu registrieren.
Im Login kann dann zwischen einer dieser Optionen gewählt werden.

user settings mfa multi
Figure 9. Mehrere registrierte Apps und Sicherheitsschlüssel

Re-Authentifizierung

Wenn sich der Benutzer im MFA-Bereich oder in einem Registrierungsprozess befindet und längere Zeit nichts tut, kann bei der nächsten Aktion (z. B. Hinzufügen eines Sicherheitsschlüssels) eine Seite zur erneuten Authentifizierung mit einer Fehlermeldung erscheinen.
In diesem Fall soll sichergestellt werden, dass kein unberechtigter Dritter Änderungen an der Authentifizierungsmethode vornehmen kann.
Der Benutzer muss sein Passwort eingeben und kann dann wie gewohnt weiterarbeiten.

user settings re auth
Figure 10. Re-Authentifizierungsaufforderung

MFA zurücksetzen

Aus bestimmten Gründen (z. B. wenn der Nutzer sein Smart Device oder den Sicherheitsschlüssel verloren hat) möchte der Nutzer die 2FA zurücksetzen.
Wenn der Benutzer noch in der Lage ist, die Seite mit den Benutzereinstellungen zu erreichen, kann er einfach die Authentifizierungsmethode löschen und eine neue erstellen.
Wenn nicht, muss der Benutzer den Administrator kontaktieren, um sie von der Keycloak-Administrationskonsole aus zurückzusetzen.

Welcome to the AI Chat!

Write a prompt to get started...