Wie ein Administrator die Zwei-Faktor-Authentifizierung konfiguriert

Unterstützte MFA-Methoden

1. TOTP (Zeitbasiertes Einmalpasswort)

  • Beschreibung:
    Ein 6-stelliges Einmalpasswort, das von einer Authentifizierungs-App auf dem Mobilgerät des Benutzers generiert wird.
  • Beispiele für Apps: Google Authenticator, Microsoft Authenticator
  • Einrichtung:
    Benutzer scannen während der Einrichtung einen QR-Code und verwenden die App, um Codes für die Anmeldung zu generieren.
  • Sicherheitsstufe: Hoch (empfohlen)
  • Anforderungen:
    • Benutzer muss Zugang zu einem Smartphone haben

2. E-Mail-Bestätigungscode

  • Beschreibung:
    Ein Einmalcode wird an die registrierte E-Mail-Adresse des Benutzers gesendet.
  • Verwendung:
    Benutzer erhält einen Code per E-Mail und gibt ihn ein, um die Anmeldung abzuschließen.
  • Sicherheitsstufe: Niedrig (weniger sicher)
  • Vorteile:
    • Keine App-Installation erforderlich
    • Einfach für weniger technikaffine Benutzer
  • Nachteile:
    • E-Mail-Zustellungsverzögerungen können auftreten
    • Weniger sicher als App-basierte Methoden

3. Sowohl TOTP & E-Mail (Kombinierter Modus)

  • Wenn beide Methoden für den Mandanten aktiviert sind:
    • Benutzer können ihre bevorzugte MFA-Methode wählen
    • Eine Auswahlseite wird beim Login angezeigt, um TOTP oder E-Mail auszuwählen
  • Sicherheitsstufe: Niedrig (weniger sicher)

Zuordnung der Sicherheitsstufe

Aktivierte Methoden Sicherheitsstufe
Nur TOTP Hoch
Nur E-Mail Niedrig
TOTP + E-Mail Niedrig

In STP Cloud wird TOTP als Standard für die Zwei-Faktor-Authentifizierung verwendet.
TOTP (Zeitbasiertes Einmalpasswort) erfordert, dass Benutzer einen zeitbasierten Code aus einer Authentifizierungs-App abrufen und ihn als zweiten Faktor während der Anmeldung eingeben.
Häufig verwendete Apps sind Microsoft Authenticator und Google Authenticator.

Administratoren können die Zwei-Faktor-Authentifizierung für ihre Mandanten mit dem Identity Administrator in STP Cloud konfigurieren.

Aktivierung von TOTP als Zwei-Faktor-Authentifizierung

  • TOTP wird durch Zuweisung der STP.MFA.Policy Lizenz aktiviert.
  • Die entsprechenden Berechtigungen werden über die STP.MFA.Policy.Role Rolle erteilt.
  • Sowohl die Lizenz als auch die Rolle sind standardmäßig zugewiesen.

Wie ein Administrator E-Mail als Zwei-Faktor-Authentifizierung konfiguriert

In STP Cloud können Sie auch E-Mail als Methode der Zwei-Faktor-Authentifizierung verwenden.
Mit dieser Option erhält der Benutzer einen Einmalcode per E-Mail, der nur einmal während der Anmeldung verwendet werden kann.

Hinweis:
Wir empfehlen nicht, E-Mail als Zwei-Faktor-Authentifizierung zu verwenden, da sie im Vergleich zu TOTP ein geringeres Sicherheitsniveau bietet.

Aktivierung von E-Mail als Zwei-Faktor-Authentifizierung

  • E-Mail-Zwei-Faktor-Authentifizierung wird durch Zuweisung der STP.MFA.EMAIL.Policy Lizenz aktiviert.
  • Die entsprechenden Berechtigungen werden über die STP.MFA.EMAIL.Policy.Role Rolle erteilt.
  • Standardmäßig sind diese Lizenz und Rolle nicht zugewiesen an Mandanten.
    Sie müssen beide explizit zuweisen, um die E-Mail-Zwei-Faktor-Authentifizierung für den Zielmandanten zu aktivieren.

Die Konfiguration auf der Seite der Identitätsanbieter im Identity Administrator

Identity Administrator

Wenn die Lizenz für „Zwei-Faktor-Authentifizierung (TOTP)“ aktiviert wurde, ist der gleichnamige Bereich hier verfügbar. Der Administrator kann die angezeigte Dropdown-Liste verwenden, um festzulegen, wie der zweite Faktor verwendet werden soll.

Mögliche Optionen

Kein zweiter Faktor aktiviert

Ein zweiter Faktor steht keinem Benutzer zur Verfügung. Diese Einstellung wird nicht empfohlen, da sie keine zusätzliche Sicherheit bietet.

Zweiter Faktor für alle optional

Dies ist so eingestellt, dass jeder Benutzer selbst entscheiden kann, ob er die Zwei-Faktor-Authentifizierung verwenden möchte. Diese Variante bietet wenig zusätzlichen Schutz und wird nicht empfohlen.

Zweiter Faktor für Administratoren obligatorisch

Dies erzwingt den zweiten Faktor für Administratoren. Für alle anderen Benutzer ist er weiterhin optional. Dies ist die empfohlene Mindestanforderung, da sie sicherstellt, dass zumindest die besonders sicherheitsrelevanten Administratorenkonten zusätzlich gesichert sind.

Zweiter Faktor für alle obligatorisch

Dies stellt sicher, dass der zweite Faktor für alle Benutzerkonten verwendet wird. Dies ist die empfohlene Variante, da sie das höchste Sicherheitsniveau bietet.

Sicherheitsstufe

Identity Administrator

Sie können die entsprechende Sicherheitsstufe basierend auf Ihrer bevorzugten MFA-Methode anzeigen und auswählen.

Wenn Ihrem Mandanten die Lizenz für E-Mail-basierte MFA zugewiesen wurde, wird die E-Mail-Option sichtbar und auswählbar sein.

Identity Administrator
Dieser Artikel wurde automatisch von einer KI übersetzt und kann daher Fehler enthalten.

Verknüpfung mit