Multi-Faktor-Authentifizierung
Was ist eine Multi-Faktor-Authentifizierung und wofür wird sie benötigt?
Die Multi-Faktor-Authentifizierung, kurz MFA, ist ein Sicherheitsmechanismus, bei dem Benutzer:innen für den Zugang zu einer Anwendung mindestens zwei unabhängige Verifizierungsfaktoren angeben müssen, um sich eindeutig zu identifizieren. Unbefugter Zugriff ist durch die zusätzliche Authentifizierungsmethode nicht möglich; das Sicherheitsniveau wird somit maßgeblich erhöht.
MFA und Relution
Relution ermöglicht den LDAP- und lokalen Benutzer:innen, im Relution Portal zusätzlich zur Angabe von Benutzernamen und Kennwort, die weiteren Authentifizierungsmethoden „E-Mail Token“ und „Authenticator App“ zu aktivieren. Mit dem Release 5.16 wird der Forderung des Bundesamts für Sicherheit (BSI) an MDM-Anbieter Rechnung getragen, die Bereitstellung einer zusätzlichen Sicherheitsstufe bei umzusetzen.
Wie wird die MFA in Relution konfiguriert?
Das neue MFA-Feature muss vor dem Einsatz von einem Organisations- oder System-Adminstrator:in unter „Einstellungen“ -> „Passwortrichtlinien” freigeschalten werden.
![Insight_MFA_01_DE.png](/static/301f29efb98a0eb45213df06000bd9ad/e2f05/Insight_MFA_01_DE_dfeefe4ac6.jpg)
Im Untermenüpunkt “Multi-Faktor-Authentifizierung" lässt sich entweder die “E-Mail-Authentifizierung" auswählen und die Gültigkeitsdauer des zu versendeten Einmal-Codes bestimmen oder die Möglichkeit “Authentificator Apps” selektieren. Alternativ können beide Varianten parallel aktiviert werden.
MFA-Anmeldung erzwingen
Das Relution Permission-System wurde um die Möglichkeit „Multi-Faktor-Authentifizierung” erweitert. Dabei kann für eine Rolle definiert werden, ob die MFA-Anmeldung vorausgesetzt wird oder nicht. Ist die Rolle mit aktivierter MFA-Anmeldung einem Benutzer:in oder einer Gruppe zugeordnet, wird bei einem LogIn eine MFA-Anmeldung zwingend benötigt.
![Insight_MFA_02_DE.png](/static/2b02255afc527dc3058a179c912a0735/65fbd/Insight_MFA_02_DE_7f141c5422.jpg)
Wurde noch keine MFA-Methode eingerichtet, dann muss der Benutzer:in dies bei der ersten Anmeldung durchführen.
![Insight_MFA_03_DE.jpg](/static/025f8bb0dbb612d6c00ff13d4634545d/5e1e4/Insight_MFA_03_DE_0197a68a58.jpg)
Multi-Faktor-Authentifizierungsmethoden
E-Mail-Token
Jeder Benutzer:in hat, unabhängig von einem Administrator:in, die Möglichkeit, im Relution Portal, die MFA individuell zu aktivieren. In der Menübar “Profil” ausgewählt, lassen sich unter "MFA-Tokens" neue Tokens zur Zwei-Faktor-Authentifizierung hinzufügen. Wird die erste Variante “E-Mail” ausgewählt, öffnet sich danach ein neuer Tab, um die E-Mail-Adresse zu hinterlegen.
![Insight_MFA_04_DE.png](/static/ebc9ab14be7d7c1682382f6077ae6bfb/0be5f/Insight_MFA_04_DE_d26f9c006e.jpg)
Private wie auch vom Benutzer:in abweichende E-Mail-Adressen lassen sich im System hinterlegen – im Schulkontext sinnvoll.
![Insight_MFA_05_DE.png](/static/8c0c1904bc46e2633174c42ed6de7355/372e5/Insight_MFA_05_DE_3ee917c410.jpg)
Nach Eingabe wird ein Einmal Code zur Verifizierung an die hinterlegt Emailadresse versandt. Dieser behält über die Dauer Gültigkeit, die vom Administrator:in festgelegt wurde. Sobald der korrekte Pin, bestehend aus einer beliebigen numerischen Zahlenkombination eingegeben, ist die Multi-Faktor-Authentifizierung konfiguriert.
![Insight_MFA_06_DE.png](/static/b5474f34e1f562ca9b1024facd9256e4/eba9c/Insight_MFA_06_DE_f788429f86.jpg)
Authenticator App(s)
Im Relution Portal lassen sich beliebig viele MFA-Faktoren hinterlegen. Zusätzlich zur E-Mail-Variante wird die Verwendung diverser „Authenticator-Apps“ unterstützt. Wird in der Menübar “Profil” als neuer "MFA-Token" die zweite Variante „Authenticator App“ ausgewählt, öffnet sich ein neues Fenster mit QR-Code, der mit zuvor auf dem Endgerät installierter Authentifizierungs-App gescannt werden muss. Es besteht auch die Möglichkeit, auf einen Einrichtungsschlüssel zur Verifizierung zurückzugreifen.
![Insight_MFA_07_DE.png](/static/f42b907e1500ca95099471956eb13365/adb4a/Insight_MFA_07_DE_3fb95f1b06.jpg)
Sind diverse Authenticator-Apps bei mehreren Geräten gleichzeitig in Verwendung, wird für eine korrekte Anmeldung die Gültigkeit von mindestens einer App überprüft.
Bei Verwendung beider Multi-Faktor-Authentifizierungsmethoden wird primär die Authenticator-App abgefragt; die hinterlegte Emailvariante dient als Absicherung.
![Insight_MFA_08_DE.png](/static/fef28fc433a0fe793d2f06e2158e3777/33909/Insight_MFA_08_DE_735f26801f.png)
Ist lediglich die Authenticator-App in Verwendung, gibt es keinen E-Mail-Fallback.
MFA-Tokens manuell löschen
MFA-Tokens können in der Menübar “Profil” unter dem Menüpunkt "MFA-Token" manuell vom Nutzer:in gelöscht werden. Wurden alle MFA-Varianten händisch entfernt, die Anwendung aber vom Administrator:in forciert, muss bei der nächsten Anmeldung im Relutionportal erneut eine Multi-Faktor-Authentifizierung hinterlegt werden.
Was passiert im Verlustfall des MFAs?
Hat der Nutzer:in bei aktivierter MFA keinen Zugriff auf E-Mail und/oder Authenticator-App, ist eine Anmeldung im Relution Portal nicht mehr möglich – der Gang zum Administrator:in ist Pflicht. Unter „Benutzer“ -> „Benutzer“ hat der Administrator:in die Möglichkeit, den blockierten MFA-Token manuell zu entfernen.
In dem Versionsrelease 5.16 steht MFA für die Relution Konsole zur Verfügung. Die Apps werden in Kürze mit dem neuen Verfahren ergänzt und released.