Unterstützte MFA-Methoden
1. TOTP (Time-based One-Time Password)
- Beschreibung:
Ein 6-stelliger Einmalcode, der von einer Authenticator-App auf dem Smartphone generiert wird. - Beispiele für Apps: Google Authenticator, Microsoft Authenticator
- Einrichtung:
Der Benutzer scannt einen QR-Code und verwendet die App zur Code-Generierung. - Sicherheitsstufe:
High(empfohlen) - Voraussetzungen:
- Smartphone-Zugang erforderlich
2. E-Mail-Verifizierungscode
- Beschreibung:
Ein Einmalcode wird an die registrierte E-Mail-Adresse des Benutzers gesendet. - Verwendung:
Benutzer gibt den per E-Mail erhaltenen Code beim Login ein. - Sicherheitsstufe:
Low(weniger sicher) - Vorteile:
- Keine App-Installation nötig
- Einfach für technisch weniger versierte Benutzer
- Nachteile:
- Verzögerungen bei E-Mail-Zustellung möglich
- Weniger sicher als App-basierte Methoden
3. Beide Methoden (TOTP & E-Mail)
- Wenn beide Methoden aktiviert sind:
- Benutzer können ihre bevorzugte MFA-Methode wählen
- Beim Login erscheint eine Auswahlseite für TOTP oder E-Mail
- Sicherheitsstufe:
Low(weniger sicher)
Sicherheitsstufen
| Aktivierte Methoden | Sicherheitsstufe |
|---|---|
| Nur TOTP | Hoch |
| Nur E-Mail | Niedrig |
| TOTP + E-Mail | Niedrig |
In der STP Cloud wird standardmässig TOTP füe die Zwei Faktor
Authentifizierung verwendet.
TOTP ist ein Authentifizierungsstandard bei dem der Anwender einen
zeitgesteuerten Code aus einer dafür geeigneten App auslesen und als
zweiten Faktor beim Anmelden angeben muss. Mögliche Apps hierfür sind
z.B. Microsoft Authenticator oder Google Authenticator. Die
administrative Konfiguration der Zwei Faktor Authentifizierung erfolgt
in der STP Cloud im Identity Administrator.
Aktivierung der Zwei Faktor Authentifizierung
Die Zwei Faktor Authentifizierung wird durch die Lizenz
STP.MFA.Policy aktiviert. Mit der Rolle
STP.MFA.Policy.Role werden die entsprechenden
Berechtigungen vergeben. Beide werden standardmässig zugewiesen.
Wie ein Administrator E-Mail als Zwei-Faktor-Authentifizierung konfiguriert
In der STP Cloud kann alternativ auch
E-Mail als Methode für die
Zwei-Faktor-Authentifizierung verwendet werden.
In diesem Fall erhält der Benutzer einen Einmal-Code per E-Mail, den er
nur einmalig beim Login verwenden kann.
Hinweis:
Die Nutzung der E-Mail-Methode wird nicht empfohlen, da
sie ein geringeres Sicherheitsniveau bietet als TOTP.
Aktivierung von E-Mail als Zwei-Faktor-Authentifizierung
- Die E-Mail-Authentifizierung wird über die Lizenz
STP.MFA.EMAIL.Policyaktiviert. - Die notwendigen Berechtigungen werden über die Rolle
STP.MFA.EMAIL.Policy.Rolevergeben. - Standardmäßig wird diese Lizenz und Rolle
nicht automatisch zugewiesen.
Sie müssen manuell beide Komponenten dem gewünschten Mandanten zuweisen, um E-Mail-2FA zu aktivieren.
Die Konfiguration auf der Seite Identity Providers im Identity Administrator
Wurde die ‘Zwei Faktor Authentifizierung’ per Lizenz aktiviert, gibt es hier den gleichnamigen Bereich. Mit der gezeigten Auswahlliste kann der Administrator einstellen, wie der zweite Faktor genutzt werden soll.
Die möglichen Optionen
Kein zweiter Faktor aktiviert
Hierbei steht kein Zweiter Faktor zur Verfügung. Diese Einstellung wird nicht empfohlen, da sie keinerlei zusätzliche Sicherheit bietet.
Zweiter Faktor für alle optional
Hiermit wird eingestellt, dass jeder Benutzer selbst entscheiden kann, ob er die Zwei Faktor Authentifizierung nutzen möchte. Diese Variante stellt nur wenig zusätzlichen Schutz bereit und wird nicht empfohlen.
Zweiter Faktor für Administratoren verpflichtend
Hiermit wird der zweite Faktor für Administratoren erzwungen. Für alle anderen Benutzer ist er weiterhin optional. Dies ist die empfohlene Mindestanforderung, da sichergestellt wird, dass zumindest die besonders sicherheitsrelevanten Administratorkonten zusätzlich abgesichert sind.
Zweiter Faktor für alle verpflichtend.
Hiermit wird sichergestellt, dass der zweite Faktor für alle Benutzerkonten genutzt wird. Dies ist die empfohlene Variante, da sie die höchste Sicherheit bietet.
Sicherheitsstufe
Sie können die passende Sicherheitsstufe basierend auf Ihrer bevorzugten MFA-Methode anzeigen und auswählen.
Wenn Ihrem Mandanten die Lizenz für die E-Mail-basierte MFA zugewiesen wurde, ist die E-Mail-Option sichtbar und auswählbar.
Verknüpfung mit