Multi-factor authentication (MFA): Maggiore sicurezza grazie alla doppia verifica
Cos'è l'autenticazione a più fattori / multi-factor authentication e a cosa serve?
L'autenticazione a più fattori o la multi-factor authentication, o in breve MFA, è un meccanismo di sicurezza che richiede agli utenti di inserire almeno due fattori di verifica indipendenti per identificarsi in modo univoco quando accedono a un'applicazione. L'accesso non autorizzato non è possibile grazie al metodo di autenticazione aggiuntivo; il livello di sicurezza è quindi notevolmente aumentato.
MFA e Relution
Relution MDM consente agli utenti LDAP e locali di attivare i metodi di autenticazione aggiuntivi "E-Mail Token" e "Authenticator App" nel online portale Relution, oltre al nome utente e alla password. La release 5.16 tiene conto del requisito dell'Ufficio federale tedesco per la sicurezza (BSI) che impone ai fornitori di MDM di implementare la fornitura di un livello di sicurezza aggiuntivo.
Come viene configurato l'MFA in Relution?
La nuova funzione MFA deve essere abilitata da un amministratore dell'organizzazione o del sistema "Impostazioni" -> "Criterio del codice di accesso" prima di poter essere utilizzata.
Nel sottomenu "Autenticazione a più fattori" è possibile selezionare "Autenticazione via e-mail" e specificare il periodo di validità del codice una tantum da inviare oppure selezionare l'opzione "App Authenticator". In alternativa, è possibile attivare entrambe le varianti in parallelo.
Forzare l'accesso MFA
Il sistema di permessi di Relution è stato ampliato con l'opzione "Autenticazione a più fattori". È possibile definire per un ruolo se l'accesso MFA è richiesto o meno. Se il ruolo con accesso MFA attivato è assegnato a un utente o a un gruppo, l'accesso MFA è obbligatorio per un LogIn.
Se non è stato ancora impostato alcun metodo MFA, l'utente deve eseguire questa operazione al primo accesso.
Metodi di autenticazione a più fattori
Token e-mail
Ogni utente, indipendentemente da un amministratore, ha la possibilità di attivare l'MFA individualmente nel Relution Portal. Nella barra del menu "Profilo", alla voce "Token MFA" è possibile aggiungere nuovi token per l'autenticazione a due fattori. Se si seleziona la prima opzione "E-Mail", si apre una nuova scheda per inserire l'indirizzo e-mail.
Nel sistema possono essere memorizzati indirizzi e-mail privati e indirizzi e-mail diversi da quelli dell'utente, utili nel contesto scolastico.
Dopo l'inserimento, verrà inviato un codice di verifica una tantum all'indirizzo e-mail inserito. Questo codice rimane valido per il periodo specificato dall'amministratore. Non appena viene inserito il pin corretto, costituito da una qualsiasi combinazione numerica, l'autenticazione a più fattori è configurata.
App Autenticatore
Nel Relution Portal è possibile memorizzare un numero qualsiasi di fattori MFA. Oltre alla variante e-mail, è supportato l'uso di diverse "Authenticator App". Se si seleziona la seconda variante "Authenticator App" come nuovo "token MFA" nella barra dei menu "Profilo", si apre una nuova finestra con un codice QR che deve essere scansionato con l'app di autenticazione precedentemente installata sul dispositivo finale. È inoltre possibile tornare a una chiave di configurazione per la verifica.
Se vengono utilizzate diverse app Authenticator su più dispositivi contemporaneamente, viene controllata la validità di almeno un'app per garantire il login corretto.
Se si utilizzano entrambi i metodi di autenticazione a più fattori, viene interrogata principalmente l'app Authenticator; la variante e-mail memorizzata serve come backup.
Se è in uso solo l'app Authenticator, non c'è un fallback per l'e-mail.
Eliminare manualmente i token MFA
I token MFA possono essere eliminati manualmente dall'utente nella barra dei menu "Profilo", alla voce di menu "Token MFA". Se tutte le varianti MFA sono state rimosse manualmente, ma l'applicazione è stata forzata dall'amministratore, l'autenticazione a più fattori deve essere nuovamente memorizzata al successivo accesso dell'utente al Relution Portal.
Cosa succede in caso di perdita dell'MFA?
Se l'utente non ha accesso alla posta elettronica e/o all'app Authenticator quando l'MFA è attivato, l'accesso al portale Relution non è più possibile è obbligatorio rivolgersi all'amministratore. In "Utenti" -> "Utenti", l'amministratore:in ha la possibilità di rimuovere manualmente il token MFA bloccato.
Nella versione 5.16, l'MFA è disponibile per la console Relution. Le applicazioni saranno presto integrate con la nuova procedura e rilasciate.