Multi-Faktor-Authentifizierung

Einleitung

Die Multi-Faktor-Authentifizierung, kurz MFA, ist ein Sicherheitsmechanismus, bei dem Benutzer:innen für den Zugang zu einer Anwendung mindestens zwei unabhängige Verifizierungsfaktoren angeben müssen, um sich eindeutig zu identifizieren.

Unbefugter Zugriff ist durch die zusätzliche Authentifizierungsmethode nicht möglich; das Sicherheitsniveau wird somit maßgeblich erhöht.

MFA und Relution

Relution ermöglicht den LDAP- und lokalen Benutzer:innen, im Relution Portal zusätzlich zur Angabe von Benutzernamen und Kennwort, die weiteren Authentifizierungsmethoden E-Mail Token und Authenticator App zu aktivieren.

Mit dem Release 5.16 wird der Forderung des Bundesamts für Sicherheit (BSI) an MDM-Anbieter Rechnung getragen, die Bereitstellung einer zusätzlichen Sicherheitsstufe bei umzusetzen.

Wie wird die MFA in Relution konfiguriert?

Das neue MFA-Feature muss vor dem Einsatz von einem Organisations- oder System-Adminstrator:in unter Einstellungen -> Passwortrichtlinien freigeschalten werden.

MFA Konfiguration

Im Untermenüpunkt Multi-Faktor-Authentifizierung lässt sich entweder die E-Mail-Authentifizierung auswählen und die Gültigkeitsdauer des zu versendeten Einmal-Codes bestimmen oder die Möglichkeit Authentificator Apps selektieren. Alternativ können beide Varianten parallel aktiviert werden.

MFA-Anmeldung erzwingen

Das Relution Permission-System wurde um die Möglichkeit Multi-Faktor-Authentifizierung erweitert. Dabei kann für eine Rolle definiert werden, ob die MFA-Anmeldung vorausgesetzt wird oder nicht.

Ist die Rolle mit aktivierter MFA-Anmeldung einem Benutzer:in oder einer Gruppe zugeordnet, wird bei einem LogIn eine MFA-Anmeldung zwingend benötigt.

MFA Anmeldung erzwingen

Wurde noch keine MFA-Methode eingerichtet, dann muss der Benutzer:in dies bei der ersten Anmeldung durchführen.

MFA Methode einrichten

Multi-Faktor-Authentifizierungsmethoden

E-Mail-Token

Jeder Benutzer:in hat, unabhängig von einem Administrator:in, die Möglichkeit, im Relution Portal, die MFA individuell zu aktivieren. In der Menübar Profil ausgewählt, lassen sich unter MFA-Tokens neue Tokens zur Zwei-Faktor-Authentifizierung hinzufügen. Wird die erste Variante E-Mail ausgewählt, öffnet sich danach ein neuer Tab, um die E-Mail-Adresse zu hinterlegen.

E-Mail-Token aktivieren

Private wie auch vom Benutzer:in abweichende E-Mail-Adressen lassen sich im System hinterlegen – im Schulkontext sinnvoll.

MFA E-Mail-Adressen

Nach Eingabe wird ein Einmal Code zur Verifizierung an die hinterlegte Emailadresse versandt. Dieser behält über die Dauer Gültigkeit, die vom Administrator:in festgelegt wurde. Sobald der korrekte Pin, bestehend aus einer beliebigen numerischen Zahlenkombination eingegeben ist, ist die Multi-Faktor-Authentifizierung konfiguriert.

Authenticator App

Im Relution Portal lassen sich beliebig viele MFA-Faktoren hinterlegen. Zusätzlich zur E-Mail-Variante wird die Verwendung diverser Authenticator-Apps unterstützt.

Wird in der Menübar Profil als neuer MFA-Token die zweite Variante Authenticator App ausgewählt, öffnet sich ein neues Fenster mit QR-Code, der mit zuvor auf dem Endgerät installierter Authentifizierungs-App gescannt werden muss.

Es besteht auch die Möglichkeit, auf einen Einrichtungsschlüssel zur Verifizierung zurückzugreifen.

Authenticator Apps

Sind diverse Authenticator-Apps bei mehreren Geräten gleichzeitig in Verwendung, wird für eine korrekte Anmeldung die Gültigkeit von mindestens einer App überprüft.

Bei Verwendung beider Multi-Faktor-Authentifizierungsmethoden wird primär die Authenticator-App abgefragt; die hinterlegte E-Mail-Variante dient als Absicherung.

Authenticator App in Verwendung

Ist lediglich die Authenticator-App in Verwendung, gibt es keinen E-Mail-Fallback.

MFA-Tokens manuell löschen

MFA-Tokens können in der Menübar Profil unter dem Menüpunkt MFA-Token manuell vom Nutzer:in gelöscht werden.

Wurden alle MFA-Varianten händisch entfernt, die Anwendung aber vom Administrator:in forciert, muss bei der nächsten Anmeldung im Relution Portal erneut eine Multi-Faktor-Authentifizierung hinterlegt werden.

Was passiert im Verlustfall des MFAs?

Hat der Nutzer:in bei aktivierter MFA keinen Zugriff auf E-Mail und/oder Authenticator-App, ist eine Anmeldung im Relution Portal nicht mehr möglich – der Gang zum Administrator:in ist Pflicht.

Unter Benutzer -> Benutzer hat der Administrator:in die Möglichkeit, den blockierten MFA-Token manuell zu entfernen.