Konfiguration zur «Zwei-Faktor-Authentifizierung» (2FA)

Dokumentation > Konfiguration > Zwei Faktor Authentifizierung (2FA)

Zur Risikominimierung missbräuchlich verwendeter Benutzerzugänge kann eine so­ge­nann­te­ «Zwei-Faktor-Au­then­ti­fi­zie­rung­» aktiviert wer­den­.

Dabei wird die anmeldende Person nach der Eingabe von Be­nut­zer­na­me­ und Passwort zur Eingabe eines weiteren ‘Codes’, dem zweiten Faktor, aufgefordert. Die­ser­ Code wird vom System auf einem separaten Kanal, per E-Mail oder SMS, zugestellt.

Beide Methoden kön­nen­ aktiviert und priorisiert wer­den­. Fehlt auf dem entsprechenden Benutzerkonto bei­spiels­wei­se­ die Mobiltelefonnummer, so wird der Code per Email versandt.

Die 2FA Au­then­ti­fi­zie­rung­ kann an Ihre Be­dürf­nis­se­ angepasst wer­den­.
Die Funktionen stehen auch zur Ver­fü­gung­, wenn sich Be­nut­zer­ aus dem ‘Active Directory’ oder einem per Schnitt­stel­len­ integrierten ‘ERP System’ anmelden.

Die 2FA Au­then­ti­fi­zie­rung­ kann pro Be­nut­zer­ aktiviert, oder für alle Be­nut­zer­ durchgesetzt wer­den­.

Ausnahmen

  • Au­then­ti­fi­zie­rung­ über die «OCI Methode» sind von der 2FA befreit.
  • Au­then­ti­fi­zie­rung­ über die «Integrierte Windows-Anmeldung» sind von der 2FA befreit.

Allgemeine Einstellungen

  • (1) Aktivierung/Deaktivierung der Funktion
  • (2) Festlegen Länge des zu erzeugenden Codes
  • (3) Gültikeitsdauer des zu erzeugenden Codes
  • (4) Erzwingt 2FA für alle Be­nut­zer­
    Auf Ebene der Konten kann die Funktion aktiviert wer­den­ (Opt-In)
  • (5) Reihenfolge der Methoden zur Zustellung des zweiten Faktors
  • (6) Fallback ohne 2FA
    Falls aktiviert, ist die Anmeldung auch dann mög­lich­, wenn ein 2FA Code wegen fehlender In­for­ma­tio­nen­ nicht zugestellt wer­den­ kann. Nützlich in der Einführungsphase, falls noch nicht bei allen Konten die für 2FA notwendigen In­for­ma­tio­nen­ verfügbar sein sollten
Allgemeine Einstellungen

Ausnahmen

Au­then­ti­fi­zie­rung­ über die «OCI Methode» oder über die «Integrierte Windows-Anmeldung» sind grundsätzlich ausgenommen. Für die restlichen Authentifizierungsmethoden lassen sich einige Ausnahmen definieren.

  • (1) Mitglieder die­ser­ Benutzergruppe sind von der 2FA ausgenommen
  • (2) Befreit Konten im Testmodus von der 2FA
  • (3) Verzicht auf den zweiten Faktor, falls die IP Adres­se­ der Verbindung identisch ist mit derjenigen der letzten Anmeldung per 2FA
    Für regelmässige Anmeldungen vom selben Standort erhöht dies möglicherweise die Akzeptanz bei Ihren Kun­den­, wenn der zweite Faktor nicht bei jeder Anmeldung erzwungen wird.
  • (4) Erzwingen des zweiten Faktors trotzdem nach n Tagen, falls (3) aktiviert ist
    Falls (3) aktiviert ist, kön­nen­ Sie der zweiten Faktor trotzdem nach einen gewissen Anzahl Tagen erzwingen.
  • (5) Befreiung von Nutzern aus bestimmten Netzwerken, bei­spiels­wei­se­ dem lokalen Netz am Firmenstandort, komplett von der 2FA
  • (6) Testfunktion zur Überprüfung der Da­ten­ in (5)
Ausnahmen