Einrichtung der Zwei-Faktor-Authentifizierung mit Google Authenticator¶

Erstellen eines neuen TOTP-Token in der Verwaltungskonsole¶

Öffnen Sie den OTP-Token-Generator über ein Administratorkonto:

Fügen Sie ein neues TOTP-Token hinzu und wählen Sie TOTP (Google authenticator, FreeOTP, ...):

Dann konfigurieren Sie Ihren TOTP-Token:

Einen Namen definieren. Bitte beachten Sie, dass dieser Name dem Benutzer in Google Authenticator angezeigt wird, wenn die QR-Code-Anmeldemethode ausgewählt ist.
Die Felder Expiration Time und Number of Digits sind vom TOTP-Generator abhängig. Für Google Authenticator müssen diese Werte auf 30 Sekunden bzw. 6 Ziffern gesetzt werden.
Der Key size (bits) ist standardmäßig auf 32 eingestellt, was der empfohlene Wert ist, obwohl Einstellungen von 16 oder 64 Bits ebenfalls möglich sind.

Es gibt zwei Methoden zur Speicherung von TOTP-Schlüsseln:

(Empfohlene Methode) Schlüssel speichern in cyberelements.io oder cyberelements Cleanroom, 3 Betriebsarten können verwendet werden:
1. Wenn der Benutzer die Option Display a QR Code on the user portal aktiviert, erhält er beim ersten Authentifizieren einen QR-Code, den er mit Google Authenticator scannen und seinen TOTP registrieren muss.
2. In Kombination mit oder ohne die vorherige Option kann der TOTP-Schlüssel per E-Mail an den Benutzer gesendet werden, der dann eine manuelle Registrierung durchführen muss:
3. Wenn keine Option aktiviert ist, sind die Administratoren für den manuellen Import von TOTP-Schlüsseln und deren Übermittlung an die Benutzer verantwortlich.
Beispiel

Hier ist ein Beispiel für eine TOTP-Token-Konfiguration:

In diesem Beispiel wird der geheime Schlüssel in Internetoder InternetElemente Cleanroom und wird dem Benutzer angezeigt, wenn er sich zum ersten Mal mit einem QR-Code anmelden, um ihn in Google Authenticator zu scannen.
Speicherung des Schlüssels in einem Benutzerattribut: Sie müssen den Namen des Attributs (Schreibschreibschrift-empfindlich) angeben, der den TOTP-Schlüssel enthält.

Warning

Diese Methode ist nur für Benutzer kompatibel, die einer LDAP-Domäne angehören.

Ferner ist der Zugang durch Internetoder InternetElemente Cleanroom Wenn die Angabe, dass ein Attribut auf dem LDAP-Server nur lesbar ist, vom Administrator ausgefüllt wird, muss er den Inhalt des konfigurierten Attributs mit dem TOTP-Schlüssel des Benutzers ausfüllen.
Diese Methode kann daher nicht mit den Optionen konfiguriert werden, die den TOTP-Schlüssel über einen QR-Code anzeigen oder per E-Mail senden.

Einrichtung von TOTP auf einer Authentifizierungsdomäne¶

Bearbeiten Sie in den Authentifizierungsdomänen die Domäne, für die Sie die TOTP MFA aktivieren möchten:

Die Ablaufzeit erlaubt es Ihnen zu definieren, ob der Benutzer nach einer bestimmten Anzahl von Stunden oder Tagen für jede Authentifizierung seine TOTP (Wert bei 0) eingeben muss:

Manuelle Importierung von TOTP-Schlüsseln¶

Der TOTP-Schlüssel basiert auf dem RFC3548 Basis-32-Standard.

Daher:

Die unterstützten Zeichen sind die in RFC3548: Buchstaben von A bis Z und Zahlen von 2 bis 7
Der Schlüssel darf nur Großbuchstaben enthalten
Der Schlüssel muss 32 Zeichen enthalten (wenn er in diesem Fall im TOTP-Token konfiguriert ist)

Beispiel

Ich habe eine Ahnung, dass du hier bist.

Der Import basiert auf einer CSV-Datei mit zwei Spalten:

1	`user,key`

Die erste Spalte muss den Namen des Benutzers und die zweite Spalte den zugehörigen TOTP-Schlüssel enthalten.

Tip

Wenn ein leerer Schlüssel angegeben ist, wird der Schlüssel des Benutzers zurückgesetzt und beim nächsten Anmelden wird ein neuer erzeugt.

Example

Um die Assoziation zwischen dem Benutzer und dem folgenden TOTP-Schlüssel zu haben (der dritte Benutzer hat seinen TOTP-Schlüssel zurückgesetzt):

user1 / AHGXZFGCNWOD2X7YT6KI5JMXCUYKDN6P
user2 / PIHYCEG2374V76523EVXAMZOUT36F3FG
user3 /

Die CSV-Datei muss Folgendes enthalten:

user,key
user1,AHGXZFGCNWOD2X7YT6KI5JMXCUYKDN6P
user2,PIHYCEG2374V76523EVXAMZOUT36F3FG
user3,

Nach der Vorbereitung der CSV-Datei muss sie für eine bestimmte Domain und das TOTP-Token importiert werden: