Unterstützte MFA-Methoden
1. TOTP (Zeitbasiertes Einmalpasswort)
-
Beschreibung:
Ein 6-stelliges Einmalpasswort, das von einer Authentifizierungs-App auf dem Mobilgerät des Benutzers generiert wird. - Beispiele für Apps: Google Authenticator, Microsoft Authenticator
-
Einrichtung:
Benutzer scannen während der Einrichtung einen QR-Code und verwenden die App, um Codes für die Anmeldung zu generieren. -
Sicherheitsstufe:
Hoch(empfohlen) -
Anforderungen:
- Benutzer muss Zugang zu einem Smartphone haben
2. E-Mail-Bestätigungscode
-
Beschreibung:
Ein Einmalcode wird an die registrierte E-Mail-Adresse des Benutzers gesendet. -
Verwendung:
Benutzer erhält einen Code per E-Mail und gibt ihn ein, um die Anmeldung abzuschließen. -
Sicherheitsstufe:
Niedrig(weniger sicher) -
Vorteile:
- Keine App-Installation erforderlich
- Einfach für weniger technikaffine Benutzer
-
Nachteile:
- E-Mail-Zustellungsverzögerungen können auftreten
- Weniger sicher als App-basierte Methoden
3. Sowohl TOTP & E-Mail (Kombinierter Modus)
- Wenn beide Methoden für den Mandanten aktiviert sind:
- Benutzer können ihre bevorzugte MFA-Methode wählen
- Eine Auswahlseite wird beim Login angezeigt, um TOTP oder E-Mail auszuwählen
-
Sicherheitsstufe:
Niedrig(weniger sicher)
Zuordnung der Sicherheitsstufe
| Aktivierte Methoden | Sicherheitsstufe |
|---|---|
| Nur TOTP | Hoch |
| Nur E-Mail | Niedrig |
| TOTP + E-Mail | Niedrig |
In STP Cloud wird TOTP als Standard für die Zwei-Faktor-Authentifizierung verwendet.
TOTP (Zeitbasiertes Einmalpasswort) erfordert, dass Benutzer einen zeitbasierten Code aus einer Authentifizierungs-App abrufen und ihn als zweiten Faktor während der Anmeldung eingeben.
Häufig verwendete Apps sind Microsoft Authenticator und Google Authenticator.
Administratoren können die Zwei-Faktor-Authentifizierung für ihre Mandanten mit dem Identity Administrator in STP Cloud konfigurieren.
Aktivierung von TOTP als Zwei-Faktor-Authentifizierung
- TOTP wird durch Zuweisung der
STP.MFA.PolicyLizenz aktiviert. - Die entsprechenden Berechtigungen werden über die
STP.MFA.Policy.RoleRolle erteilt. - Sowohl die Lizenz als auch die Rolle sind standardmäßig zugewiesen.
Wie ein Administrator E-Mail als Zwei-Faktor-Authentifizierung konfiguriert
In STP Cloud können Sie auch E-Mail als Methode der Zwei-Faktor-Authentifizierung verwenden.
Mit dieser Option erhält der Benutzer einen Einmalcode per E-Mail, der nur einmal während der Anmeldung verwendet werden kann.
Hinweis:
Wir empfehlen nicht, E-Mail als Zwei-Faktor-Authentifizierung zu verwenden, da sie im Vergleich zu TOTP ein geringeres Sicherheitsniveau bietet.
Aktivierung von E-Mail als Zwei-Faktor-Authentifizierung
- E-Mail-Zwei-Faktor-Authentifizierung wird durch Zuweisung der
STP.MFA.EMAIL.PolicyLizenz aktiviert. - Die entsprechenden Berechtigungen werden über die
STP.MFA.EMAIL.Policy.RoleRolle erteilt. - Standardmäßig sind diese Lizenz und Rolle nicht zugewiesen an Mandanten.
Sie müssen beide explizit zuweisen, um die E-Mail-Zwei-Faktor-Authentifizierung für den Zielmandanten zu aktivieren.
Die Konfiguration auf der Seite der Identitätsanbieter im Identity Administrator
Wenn die Lizenz für „Zwei-Faktor-Authentifizierung (TOTP)“ aktiviert wurde, ist der gleichnamige Bereich hier verfügbar. Der Administrator kann die angezeigte Dropdown-Liste verwenden, um festzulegen, wie der zweite Faktor verwendet werden soll.
Mögliche Optionen
Kein zweiter Faktor aktiviert
Ein zweiter Faktor steht keinem Benutzer zur Verfügung. Diese Einstellung wird nicht empfohlen, da sie keine zusätzliche Sicherheit bietet.
Zweiter Faktor für alle optional
Dies ist so eingestellt, dass jeder Benutzer selbst entscheiden kann, ob er die Zwei-Faktor-Authentifizierung verwenden möchte. Diese Variante bietet wenig zusätzlichen Schutz und wird nicht empfohlen.
Zweiter Faktor für Administratoren obligatorisch
Dies erzwingt den zweiten Faktor für Administratoren. Für alle anderen Benutzer ist er weiterhin optional. Dies ist die empfohlene Mindestanforderung, da sie sicherstellt, dass zumindest die besonders sicherheitsrelevanten Administratorenkonten zusätzlich gesichert sind.
Zweiter Faktor für alle obligatorisch
Dies stellt sicher, dass der zweite Faktor für alle Benutzerkonten verwendet wird. Dies ist die empfohlene Variante, da sie das höchste Sicherheitsniveau bietet.
Sicherheitsstufe
Sie können die entsprechende Sicherheitsstufe basierend auf Ihrer bevorzugten MFA-Methode anzeigen und auswählen.
Wenn Ihrem Mandanten die Lizenz für E-Mail-basierte MFA zugewiesen wurde, wird die E-Mail-Option sichtbar und auswählbar sein.
Verknüpfung mit