Wie ein Administrator die Zwei Faktor Authentifizierung konfiguriert

Unterstützte MFA-Methoden

1. TOTP (Time-based One-Time Password)

  • Beschreibung:
    Ein 6-stelliger Einmalcode, der von einer Authenticator-App auf dem Smartphone generiert wird.
  • Beispiele für Apps: Google Authenticator, Microsoft Authenticator
  • Einrichtung:
    Der Benutzer scannt einen QR-Code und verwendet die App zur Code-Generierung.
  • Sicherheitsstufe: High (empfohlen)
  • Voraussetzungen:
    • Smartphone-Zugang erforderlich

2. E-Mail-Verifizierungscode

  • Beschreibung:
    Ein Einmalcode wird an die registrierte E-Mail-Adresse des Benutzers gesendet.
  • Verwendung:
    Benutzer gibt den per E-Mail erhaltenen Code beim Login ein.
  • Sicherheitsstufe: Low (weniger sicher)
  • Vorteile:
    • Keine App-Installation nötig
    • Einfach für technisch weniger versierte Benutzer
  • Nachteile:
    • Verzögerungen bei E-Mail-Zustellung möglich
    • Weniger sicher als App-basierte Methoden

3. Beide Methoden (TOTP & E-Mail)

  • Wenn beide Methoden aktiviert sind:
    • Benutzer können ihre bevorzugte MFA-Methode wählen
    • Beim Login erscheint eine Auswahlseite für TOTP oder E-Mail
  • Sicherheitsstufe: Low (weniger sicher)

Sicherheitsstufen

Aktivierte Methoden Sicherheitsstufe
Nur TOTP Hoch
Nur E-Mail Niedrig
TOTP + E-Mail Niedrig

In der STP Cloud wird standardmässig TOTP füe die Zwei Faktor Authentifizierung verwendet.
TOTP ist ein Authentifizierungsstandard bei dem der Anwender einen zeitgesteuerten Code aus einer dafür geeigneten App auslesen und als zweiten Faktor beim Anmelden angeben muss. Mögliche Apps hierfür sind z.B. Microsoft Authenticator oder Google Authenticator. Die administrative Konfiguration der Zwei Faktor Authentifizierung erfolgt in der STP Cloud im Identity Administrator.

Aktivierung der Zwei Faktor Authentifizierung

Die Zwei Faktor Authentifizierung wird durch die Lizenz STP.MFA.Policy aktiviert. Mit der Rolle STP.MFA.Policy.Role werden die entsprechenden Berechtigungen vergeben. Beide werden standardmässig zugewiesen.

Wie ein Administrator E-Mail als Zwei-Faktor-Authentifizierung konfiguriert

In der STP Cloud kann alternativ auch E-Mail als Methode für die Zwei-Faktor-Authentifizierung verwendet werden.
In diesem Fall erhält der Benutzer einen Einmal-Code per E-Mail, den er nur einmalig beim Login verwenden kann.

Hinweis:
Die Nutzung der E-Mail-Methode wird nicht empfohlen, da sie ein geringeres Sicherheitsniveau bietet als TOTP.

Aktivierung von E-Mail als Zwei-Faktor-Authentifizierung

  • Die E-Mail-Authentifizierung wird über die Lizenz STP.MFA.EMAIL.Policy aktiviert.
  • Die notwendigen Berechtigungen werden über die Rolle STP.MFA.EMAIL.Policy.Role vergeben.
  • Standardmäßig wird diese Lizenz und Rolle nicht automatisch zugewiesen.
    Sie müssen manuell beide Komponenten dem gewünschten Mandanten zuweisen, um E-Mail-2FA zu aktivieren.

Die Konfiguration auf der Seite Identity Providers im Identity Administrator

Identity Administrator

Wurde die ‘Zwei Faktor Authentifizierung’ per Lizenz aktiviert, gibt es hier den gleichnamigen Bereich. Mit der gezeigten Auswahlliste kann der Administrator einstellen, wie der zweite Faktor genutzt werden soll.

Die möglichen Optionen

Kein zweiter Faktor aktiviert

Hierbei steht kein Zweiter Faktor zur Verfügung. Diese Einstellung wird nicht empfohlen, da sie keinerlei zusätzliche Sicherheit bietet.

Zweiter Faktor für alle optional

Hiermit wird eingestellt, dass jeder Benutzer selbst entscheiden kann, ob er die Zwei Faktor Authentifizierung nutzen möchte. Diese Variante stellt nur wenig zusätzlichen Schutz bereit und wird nicht empfohlen.

Zweiter Faktor für Administratoren verpflichtend

Hiermit wird der zweite Faktor für Administratoren erzwungen. Für alle anderen Benutzer ist er weiterhin optional. Dies ist die empfohlene Mindestanforderung, da sichergestellt wird, dass zumindest die besonders sicherheitsrelevanten Administratorkonten zusätzlich abgesichert sind.

Zweiter Faktor für alle verpflichtend.

Hiermit wird sichergestellt, dass der zweite Faktor für alle Benutzerkonten genutzt wird. Dies ist die empfohlene Variante, da sie die höchste Sicherheit bietet.

Sicherheitsstufe

Identity Administrator

Sie können die passende Sicherheitsstufe basierend auf Ihrer bevorzugten MFA-Methode anzeigen und auswählen.

Wenn Ihrem Mandanten die Lizenz für die E-Mail-basierte MFA zugewiesen wurde, ist die E-Mail-Option sichtbar und auswählbar.

Identity Administrator

Verknüpfung mit