Homepage
Insight09.03.2023

Multi-factor authentication (MFA): Maggiore sicurezza grazie alla doppia verifica

Cos'è l'autenticazione a più fattori / multi-factor authentication e a cosa serve?

L'autenticazione a più fattori o la multi-factor authentication, o in breve MFA, è un meccanismo di sicurezza che richiede agli utenti di inserire almeno due fattori di verifica indipendenti per identificarsi in modo univoco quando accedono a un'applicazione. L'accesso non autorizzato non è possibile grazie al metodo di autenticazione aggiuntivo; il livello di sicurezza è quindi notevolmente aumentato.

MFA e Relution

Relution MDM consente agli utenti LDAP e locali di attivare i metodi di autenticazione aggiuntivi "E-Mail Token" e "Authenticator App" nel online portale Relution, oltre al nome utente e alla password. La release 5.16 tiene conto del requisito dell'Ufficio federale tedesco per la sicurezza (BSI) che impone ai fornitori di MDM di implementare la fornitura di un livello di sicurezza aggiuntivo.

Come viene configurato l'MFA in Relution?

La nuova funzione MFA deve essere abilitata da un amministratore dell'organizzazione o del sistema "Impostazioni" -> "Criterio del codice di accesso" prima di poter essere utilizzata.

Insight_MFA_01_EN.png

Nel sottomenu "Autenticazione a più fattori" è possibile selezionare "Autenticazione via e-mail" e specificare il periodo di validità del codice una tantum da inviare oppure selezionare l'opzione "App Authenticator". In alternativa, è possibile attivare entrambe le varianti in parallelo.

Forzare l'accesso MFA

Il sistema di permessi di Relution è stato ampliato con l'opzione "Autenticazione a più fattori". È possibile definire per un ruolo se l'accesso MFA è richiesto o meno. Se il ruolo con accesso MFA attivato è assegnato a un utente o a un gruppo, l'accesso MFA è obbligatorio per un LogIn.

Insight_MFA_02_EN.png

Se non è stato ancora impostato alcun metodo MFA, l'utente deve eseguire questa operazione al primo accesso.

Insight_MFA_03_EN.jpg

Metodi di autenticazione a più fattori

Token e-mail

Ogni utente, indipendentemente da un amministratore, ha la possibilità di attivare l'MFA individualmente nel Relution Portal. Nella barra del menu "Profilo", alla voce "Token MFA" è possibile aggiungere nuovi token per l'autenticazione a due fattori. Se si seleziona la prima opzione "E-Mail", si apre una nuova scheda per inserire l'indirizzo e-mail.

Insight_MFA_04_EN.png

Nel sistema possono essere memorizzati indirizzi e-mail privati e indirizzi e-mail diversi da quelli dell'utente, utili nel contesto scolastico.

Insight_MFA_05_EN.png

Dopo l'inserimento, verrà inviato un codice di verifica una tantum all'indirizzo e-mail inserito. Questo codice rimane valido per il periodo specificato dall'amministratore. Non appena viene inserito il pin corretto, costituito da una qualsiasi combinazione numerica, l'autenticazione a più fattori è configurata.

Insight_MFA_06_EN.png

App Autenticatore

Nel Relution Portal è possibile memorizzare un numero qualsiasi di fattori MFA. Oltre alla variante e-mail, è supportato l'uso di diverse "Authenticator App". Se si seleziona la seconda variante "Authenticator App" come nuovo "token MFA" nella barra dei menu "Profilo", si apre una nuova finestra con un codice QR che deve essere scansionato con l'app di autenticazione precedentemente installata sul dispositivo finale. È inoltre possibile tornare a una chiave di configurazione per la verifica.

Insight_MFA_07_EN.png

Se vengono utilizzate diverse app Authenticator su più dispositivi contemporaneamente, viene controllata la validità di almeno un'app per garantire il login corretto.

Se si utilizzano entrambi i metodi di autenticazione a più fattori, viene interrogata principalmente l'app Authenticator; la variante e-mail memorizzata serve come backup.

Insight_MFA_08_EN.png

Se è in uso solo l'app Authenticator, non c'è un fallback per l'e-mail.

Eliminare manualmente i token MFA

I token MFA possono essere eliminati manualmente dall'utente nella barra dei menu "Profilo", alla voce di menu "Token MFA". Se tutte le varianti MFA sono state rimosse manualmente, ma l'applicazione è stata forzata dall'amministratore, l'autenticazione a più fattori deve essere nuovamente memorizzata al successivo accesso dell'utente al Relution Portal.

Cosa succede in caso di perdita dell'MFA?

Se l'utente non ha accesso alla posta elettronica e/o all'app Authenticator quando l'MFA è attivato, l'accesso al portale Relution non è più possibile è obbligatorio rivolgersi all'amministratore. In "Utenti" -> "Utenti", l'amministratore:in ha la possibilità di rimuovere manualmente il token MFA bloccato.

Nella versione 5.16, l'MFA è disponibile per la console Relution. Le applicazioni saranno presto integrate con la nuova procedura e rilasciate.