Startseite
Insight09.03.2023

Multi-Faktor-Authentifizierung

Was ist eine Multi-Faktor-Authentifizierung und wofür wird sie benötigt?

Die Multi-Faktor-Authentifizierung, kurz MFA, ist ein Sicherheitsmechanismus, bei dem Benutzer:innen für den Zugang zu einer Anwendung mindestens zwei unabhängige Verifizierungsfaktoren angeben müssen, um sich eindeutig zu identifizieren. Unbefugter Zugriff ist durch die zusätzliche Authentifizierungsmethode nicht möglich; das Sicherheitsniveau wird somit maßgeblich erhöht.

MFA und Relution

Relution ermöglicht den LDAP- und lokalen Benutzer:innen, im Relution Portal zusätzlich zur Angabe von Benutzernamen und Kennwort, die weiteren Authentifizierungsmethoden „E-Mail Token“ und „Authenticator App“ zu aktivieren. Mit dem Release 5.16 wird der Forderung des Bundesamts für Sicherheit (BSI) an MDM-Anbieter Rechnung getragen, die Bereitstellung einer zusätzlichen Sicherheitsstufe bei umzusetzen.

Wie wird die MFA in Relution konfiguriert?

Das neue MFA-Feature muss vor dem Einsatz von einem Organisations- oder System-Adminstrator:in unter „Einstellungen“ -> „Passwortrichtlinien” freigeschalten werden.

Insight_MFA_01_DE.png

Im Untermenüpunkt “Multi-Faktor-Authentifizierung" lässt sich entweder die “E-Mail-Authentifizierung" auswählen und die Gültigkeitsdauer des zu versendeten Einmal-Codes bestimmen oder die Möglichkeit “Authentificator Apps” selektieren. Alternativ können beide Varianten parallel aktiviert werden.

MFA-Anmeldung erzwingen

Das Relution Permission-System wurde um die Möglichkeit „Multi-Faktor-Authentifizierung” erweitert. Dabei kann für eine Rolle definiert werden, ob die MFA-Anmeldung vorausgesetzt wird oder nicht. Ist die Rolle mit aktivierter MFA-Anmeldung einem Benutzer:in oder einer Gruppe zugeordnet, wird bei einem LogIn eine MFA-Anmeldung zwingend benötigt.

Insight_MFA_02_DE.png

Wurde noch keine MFA-Methode eingerichtet, dann muss der Benutzer:in dies bei der ersten Anmeldung durchführen.

Insight_MFA_03_DE.jpg

Multi-Faktor-Authentifizierungsmethoden

E-Mail-Token

Jeder Benutzer:in hat, unabhängig von einem Administrator:in, die Möglichkeit, im Relution Portal, die MFA individuell zu aktivieren. In der Menübar “Profil” ausgewählt, lassen sich unter "MFA-Tokens" neue Tokens zur Zwei-Faktor-Authentifizierung hinzufügen. Wird die erste Variante “E-Mail” ausgewählt, öffnet sich danach ein neuer Tab, um die E-Mail-Adresse zu hinterlegen.

Insight_MFA_04_DE.png

Private wie auch vom Benutzer:in abweichende E-Mail-Adressen lassen sich im System hinterlegen – im Schulkontext sinnvoll.

Insight_MFA_05_DE.png

Nach Eingabe wird ein Einmal Code zur Verifizierung an die hinterlegt Emailadresse versandt. Dieser behält über die Dauer Gültigkeit, die vom Administrator:in festgelegt wurde. Sobald der korrekte Pin, bestehend aus einer beliebigen numerischen Zahlenkombination eingegeben, ist die Multi-Faktor-Authentifizierung konfiguriert.

Insight_MFA_06_DE.png

Authenticator App(s)

Im Relution Portal lassen sich beliebig viele MFA-Faktoren hinterlegen. Zusätzlich zur E-Mail-Variante wird die Verwendung diverser „Authenticator-Apps“ unterstützt. Wird in der Menübar “Profil” als neuer "MFA-Token" die zweite Variante „Authenticator App“ ausgewählt, öffnet sich ein neues Fenster mit QR-Code, der mit zuvor auf dem Endgerät installierter Authentifizierungs-App gescannt werden muss. Es besteht auch die Möglichkeit, auf einen Einrichtungsschlüssel zur Verifizierung zurückzugreifen.

Insight_MFA_07_DE.png

Sind diverse Authenticator-Apps bei mehreren Geräten gleichzeitig in Verwendung, wird für eine korrekte Anmeldung die Gültigkeit von mindestens einer App überprüft.

Bei Verwendung beider Multi-Faktor-Authentifizierungsmethoden wird primär die Authenticator-App abgefragt; die hinterlegte Emailvariante dient als Absicherung.

Insight_MFA_08_DE.png

Ist lediglich die Authenticator-App in Verwendung, gibt es keinen E-Mail-Fallback.

MFA-Tokens manuell löschen

MFA-Tokens können in der Menübar “Profil” unter dem Menüpunkt "MFA-Token" manuell vom Nutzer:in gelöscht werden. Wurden alle MFA-Varianten händisch entfernt, die Anwendung aber vom Administrator:in forciert, muss bei der nächsten Anmeldung im Relutionportal erneut eine Multi-Faktor-Authentifizierung hinterlegt werden.

Was passiert im Verlustfall des MFAs?

Hat der Nutzer:in bei aktivierter MFA keinen Zugriff auf E-Mail und/oder Authenticator-App, ist eine Anmeldung im Relution Portal nicht mehr möglich – der Gang zum Administrator:in ist Pflicht. Unter „Benutzer“ -> „Benutzer“ hat der Administrator:in die Möglichkeit, den blockierten MFA-Token manuell zu entfernen.

In dem Versionsrelease 5.16 steht MFA für die Relution Konsole zur Verfügung. Die Apps werden in Kürze mit dem neuen Verfahren ergänzt und released.