Zwei Faktor Authentifizierung (2FA)

Konfiguration zur «Zwei-Faktor-Authentifizierung» (2FA)

Dokumentation > Konfiguration > Zwei Faktor Authentifizierung (2FA)

Zur Risikominimierung missbräuchlich verwendeter Benutzerzugänge kann eine sogenannte «Zwei-Faktor-Authentifizierung» aktiviert werden.

Dabei wird die anmeldende Person nach der Eingabe von Benutzername und Passwort zur Eingabe eines weiteren ‘Codes’, dem zweiten Faktor, aufgefordert. Dieser Code wird vom System auf einem separaten Kanal, über eine TOTP fähige mobile App, per E-Mail oder SMS, zugestellt.

Es können zwei Methoden aktiviert und priorisiert werden. Fehlt auf dem entsprechenden Benutzerkonto beispielsweise die Aktivierung für das TOTP verfahren, so wird der Code per SMS oder E-Mail versandt.

Die 2FA Authentifizierung kann an Ihre Bedürfnisse angepasst werden.
Die Funktionen stehen auch zur Verfügung, wenn sich Benutzer aus dem ‘Active Directory’ oder einem per Schnittstellen integrierten ‘ERP System’ anmelden.

Die 2FA Authentifizierung kann pro Benutzer aktiviert, oder für alle Benutzer durchgesetzt werden.

Ausnahmen

Authentifizierung über die «OCI Methode» sind von der 2FA befreit.

Authentifizierung über die «Integrierte Windows-Anmeldung» sind von der 2FA befreit.

Allgemeine Einstellungen

2FA Konfiguration

(1) Aktivierung/Deaktivierung der Funktion
(2) Festlegen Länge des zu erzeugenden Codes
Nur für die methoden SMS und E-Mail
(3) Gültikeitsdauer des zu erzeugenden Codes
Nur für die methoden SMS und E-Mail
(4) Erzwingt 2FA für alle Benutzer
Auf Ebene der Konten kann die Funktion aktiviert werden (Opt-In)
(5) Auswahl und Priorisierung der zur Verfügung stehenden 2FA Methoden
(6) Fallback ohne 2FA
Falls aktiviert, ist die Anmeldung auch dann möglich, wenn ein 2FA Code wegen fehlender Informationen nicht zugestellt werden kann. Nützlich in der Einführungsphase, falls noch nicht bei allen Konten die für 2FA notwendigen Informationen verfügbar sein sollten
(7) Issuer bei der Verwendung der TOTP Methode über eine Authenticator APP auf einem mobilen Gerät
In der APP wird dieser Text als auch der Anzeigename des Kontos angezeigt
(8) Standardmässig kann TOTP auf dem eigenen Konto lediglich aktiviert werden.
Für die Deaktivierung ist die Berechtigung für «Konfiguration ändern (edtcfg-001)» erforderlich. Mit diesem Schalter lassen Sie die Deaktivierung von TOTP für alle Personen am eigenen Konto zu. Sollten Sie dies zulassen, sollte eine Fallback Methode (5) konfiguriert sein oder der Fallback ohne 2FA (6) zugelassen sein. Andernfalls kann sich ein Benutzer nicht mehr anmelden.
(9) Ab August '23: Konfiguration des Zeitfensters für die Überprüfung.
Ein Wert grösser als 0 bewirkt, dass generierte Codes aus dieser Anzahl vergangenen, beziehungsweise zukünftigen Intervallen zu 30 Sekunden akzeptiert werden. Dies mindert die Schwierigkeiten, wenn die Zeit nicht auf allen Endgeräten zu 100% synchron sein sollte. Werte grösser als 1 sind nur zu Testzwecken ratsam.

Ausnahmen

2FA Konfiguration

Authentifizierung über die «OCI Methode» oder über die «Integrierte Windows-Anmeldung» sind grundsätzlich von der 2FA ausgenommen. Für die restlichen Authentifizierungsmethoden lassen sich einige Ausnahmen definieren.

(1) Mitglieder dieser Benutzergruppe sind von der 2FA ausgenommen
(2) Befreit Konten im Testmodus von der 2FA
(3) Verzicht auf den zweiten Faktor, falls die IP Adresse der Verbindung identisch ist mit derjenigen der letzten Anmeldung per 2FA
Für regelmässige Anmeldungen vom selben Standort erhöht dies möglicherweise die Akzeptanz bei Ihren Kunden, wenn der zweite Faktor nicht bei jeder Anmeldung erzwungen wird.
(4) Erzwingen des zweiten Faktors trotzdem nach n Tagen, falls (3) aktiviert ist
Falls (3) aktiviert ist, können Sie der zweiten Faktor trotzdem nach einen gewissen Anzahl Tagen erzwingen.
(5) Befreiung von Nutzern aus bestimmten Netzwerken, beispielsweise dem lokalen Netz am Firmenstandort, komplett von der 2FA
(6) Testfunktion zur Überprüfung der Daten in (5)