Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu und verhindert den Zugriff auf die Sitzung Ihrer Benutzer, selbst wenn jemand ihr Passwort kennt .
Eine Kombination aus zwei verschiedenen Faktoren wird verwendet, um ein höheres Maß an Sicherheit zu erreichen:
-
etwas, das sie wissen ein Passwort .
-
etwas, das sie haben, ein Gerät - wie ein Smartphone - mit einer installierten Authentifizierungs-App. .
Sie können eine der folgenden Authentifizierungs-Apps verwenden, um fortzufahren. Diese Apps sind auf einer Vielzahl von Plattformen verfügbar:
Jedes Mal, wenn sich ein Benutzer in seine Remote-Sitzung anmeldet, benötigt er sein Passwort und einen Verifizierungscode, der auf seinem Mobiltelefon verfügbar ist. Nach der Konfiguration zeigt die Authenticator-App einen Verifizierungscode an, um ihm oder ihr zu ermöglichen, sich jederzeit anzumelden. Es funktioniert sogar, wenn das Gerät offline ist.
ODER Sie können entscheiden, die Bestätigungscodes zu erhalten durch SMS In diesem Fall müssen Sie ein kostenloses Konto bei erstellen Twilio .
Die Zwei-Faktor-Authentifizierung ist verfügbar mit HTML5 und Remoteapp-Verbindungen nur im Remote-Arbeits-Webportal , an Remote-Arbeit Mobile Web und Enterprise Editionen Dieser Authentifizierungsmodus unterstützt kein Login über den Remote Desktop-Client.
Um eine noch sicherere Lösung zu bieten, werden RDP-Verbindungen für Benutzer mit aktivierter Zwei-Faktor-Authentifizierung verweigert.
Als Voraussetzung müssen der Remote-Work-Server und die Geräte rechtzeitig bereitgestellt werden. Sehen Sie die Zeit-Synchronisierung und Einstellungen Abschnitte für weitere Konfigurationsinformationen.
Aktivierung der Lizenz für das Two-Factor Authentication Add-On
Die Funktion der Zwei-Faktor-Authentifizierung ist im Add-On-Tab des AdminTools zu finden:
Um Ihre Lizenz zu aktivieren, kopieren Sie die Seriennummer, die Sie unten auf der Startseite finden können:
Dann verbinden Sie sich mit unserem Lizenzportal und geben Sie Ihre Bestellnummer, Ihre E-Mail-Adresse, die Seriennummer ein und wählen Sie „Two-Factor Authentication“ aus der Dropdown-Liste unten aus:
Sie erhalten Ihre license.lic-Datei. Gehen Sie dann zu der Lizenz Tab und klicken Sie auf die Schaltfläche „Aktivieren Sie Ihre Lizenz“.
Aktivieren Sie die Zwei-Faktor-Authentifizierung
Führen Sie die folgenden Schritte aus, um die Zwei-Faktor-Authentifizierung für Ihren Remote-Arbeitsserver oder Ihre Bereitstellung zu aktivieren. Wenn Ihre Remote-Arbeitsbereitstellung so konfiguriert ist, dass mehrere Server verwendet werden, führen Sie diese Aufgabe auf dem Remote-Arbeitsserver aus, der als einziger Zugangspunkt für Benutzer oder mit der Rolle des Reverse-Proxys exponiert ist.
- Öffnen Sie die Anwendung zur Verwaltung der Zwei-Faktor-Authentifizierung. Der Status der Zwei-Faktor-Authentifizierung und der Lizenzstatus werden angezeigt:
Standardmäßig ist 2FA deaktiviert.
Aktivieren Sie es:
Benutzer und Gruppen hinzufügen
Sobald die Zwei-Faktor-Authentifizierung aktiviert ist, können Sie Benutzer für die Zwei-Faktor-Authentifizierung konfigurieren.
- Von der Verwaltung Anwendung zur Zwei-Faktor-Authentifizierung klicken Sie auf die Benutzer verwalten Tab.
- Dann klicken Sie auf Hinzufügen Benutzern und/oder Benutzergruppen auszuwählen. Die Benutzer oder Gruppen auswählen Box öffnet sich.
- Fügen Sie so viele Benutzer und Gruppen hinzu, wie erforderlich, und klicken Sie dann auf OK Die Benutzer und Gruppen werden zur Liste hinzugefügt und für die Zwei-Faktor-Authentifizierung aktiviert.
Benutzer bearbeiten
Auf demselben Kachel können Sie die Art und Weise bearbeiten, wie Benutzer Verifizierungscodes erhalten, indem Sie einen Benutzer auswählen und auf die Schaltfläche „Bearbeiten“ klicken.
Der Benutzer erhält standardmäßig Verifizierungscodes in der Authentifizierungs-App. Sie können wählen, dass er/sie diese per SMS erhält, indem Sie die Option auswählen und die Telefonnummer des Benutzers im Feld unten hinzufügen.
Benutzer und Gruppen entfernen
Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus und klicken Sie dann auf Entfernen Eine Bestätigungsnachricht wird angezeigt.
Klicken Ja Der Benutzer oder die Gruppe wird aus seiner Liste entfernt und kann sich nicht mehr mit Zwei-Faktor-Authentifizierung verbinden.
Konfiguration für Benutzer zurücksetzen
Im Falle des Verlusts des authentifizierenden Geräts für einen Benutzer oder wenn der Benutzer den geheimen QR-Code erneut anzeigen muss, müssen Sie die Benutzerauthentifizierungseinstellungen zurücksetzen.
-
Von der Verwaltung Anwendung zur Zwei-Faktor-Authentifizierung klicken Sie auf die Benutzer verwalten Tab.
-
Wählen Sie einen oder mehrere aktivierte Benutzer aus und klicken Sie dann auf Zurücksetzen Eine Bestätigungsnachricht wird angezeigt.
- Klicken Ja Die ausgewählten Benutzer erhalten beim nächsten Login einen neuen QR-Code, den sie in der Authentifizierungs-App ihres Geräts scannen müssen.
Sie können auch die Telefonnummer des Benutzers ändern, damit er einen Bestätigungscode auf seinem neuen Gerät erhalten kann.
Benutzer für die Zwei-Faktor-Authentifizierung anmelden
Sobald ein Benutzer für die Verwendung der Zwei-Faktor-Authentifizierung aktiviert wurde, wird bei seinem nächsten erfolgreichen Anmelden über das Remote-Arbeits-Webportal eine Aktivierungsnachricht angezeigt.
Um die erforderlichen Schritte abzuschließen, haben Sie zwei Möglichkeiten: entweder Codes über eine Authenticator-App zu generieren oder den Benutzer Codes per SMS empfangen zu lassen.
Codes mit einer Authenticator-Anwendung empfangen
Der Benutzer muss eine Authentifizierungs-App auf einem tragbaren Gerät, wie seinem Smartphone, installieren.
Sie können eine der folgenden Authentifizierungs-Apps verwenden, um fortzufahren. Diese Apps sind auf einer Vielzahl von Plattformen verfügbar:
Bitte verwenden Sie die Dokumentation jeder App für weitere Details, wie Sie Ihr Remote-Arbeitskonto hinzufügen können.
Um zu gewährleisten, dass der Benutzer Bestätigungscodes per SMS erhält, müssen Sie dies zuerst aktivieren. Klicken Sie auf die SMS konfigurieren Tab:
remote-work nutzt Twilio, um Verifizierungscodes per SMS zu senden. Twilio ist eine Drittanbieter-Cloud-Plattform und nicht mit remote-work verbunden.
- Erstellen Sie einfach ein kostenloses Konto auf Twilio indem Sie auf die Schaltfläche unten „Starten Sie Ihre kostenlose Testversion mit Twilio“ klicken:
- Auf Ihrem Twilio-Konto-Dashboard Sie müssen Ihre Testnummer aktivieren:
- Der nächste Schritt ist nur für Testversionen erforderlich. Er ermöglicht es Twilio, die tatsächliche Telefonnummer zu überprüfen, an die SMS gesendet werden.
Geben Sie diese Nummer unter dem ein “Telefonnummern” Menü - “Verifizierte Anrufer-IDs” Tab :
- Sie können dann Ihre Kontos-ID, Authentifizierungstoken und eingeben Testnummer als die Telefonnummer auf dem SMS konfigurieren Tab der Fernarbeit:
Dann klicken Sie auf Speichern. Die folgende Nachricht wird angezeigt:
Sie können Ihr Twilio-Abonnement auf dem Twilio-Abonnement verwalten Abschnitt, am Ende der SMS konfigurieren Verwalten Sie Ihr Konto, sehen Sie den Service-Status oder erreichen Sie das Twilio Support Center, indem Sie einfach auf die entsprechenden Schaltflächen klicken.
Anmeldung mit Zwei-Faktor-Authentifizierung
Sobald ein Benutzer sein Remote-Arbeitskonto in seiner Authenticator-App konfiguriert hat, kann er sich mit seinem Passwort und dem von seiner Authenticator-App oder per SMS bereitgestellten Code verbinden.
TSplus Remote Work-Server und Geräte müssen rechtzeitig sein. Das bedeutet, dass die Uhrzeit und das Datum des Servers mit einem Zeitserver synchronisiert werden müssen. Geräte müssen ebenfalls eine Zeitsynchronisierung haben, unabhängig von der Zeitzone, in der sie konfiguriert sind.
Wenn eine Authentifizierungsanfrage von einem Gerät kommt, dessen Datum und Uhrzeit nicht synchronisiert sind, oder wenn das Datum und die Uhrzeit des Servers nicht synchronisiert sind, kann diese Anfrage abgelehnt werden.
Die Validierung der Informationen zwischen dem Gerät und dem Server bezieht sich auf die UTC-Zeit.
Im Einstellungen Abschnitt, der Discrepency-Parameter wird verwendet, um den Gültigkeitszeitraum des Codes in Intervallen von 30 Sekunden zu verwalten.
Beispiel für Validierung oder gültige Authentifizierung:
- der Server ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 2, es ist 14:30 Uhr
- Das Gerät ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 1, es ist 13:30 Uhr.
- der Discrepency-Parameter ist auf 60 konfiguriert, d.h. eine Gültigkeitsdauer des Codes von 30 Minuten
- auf UTC-Zeit bezogen sind die Gerätez Zeit und die Serverzeit identisch.
Beispiel für gültige oder ungültige Authentifizierung:
- der Server ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 2, es ist 14:30 Uhr
- Das Gerät ist nicht mit einem Zeitserver synchronisiert, die Zeitzone ist UTC-1, die Uhrzeit ist manuell auf 13:30 Uhr eingestellt.
- der Discrepency-Parameter ist auf 60 konfiguriert, d.h. eine Gültigkeitsdauer des Codes von 30 Minuten
- Die Serverzeit, die sich auf die UTC-Zeit bezieht, ist 12:30 Uhr.
- Die von dem Gerät mitgeteilte Zeit, die auf UTC-Zeit verweist, ist 14:30 Uhr.
- Der Unterschied beträgt 120 Minuten, der Validierungscode wird daher abgelehnt.
Die Registerkarte Einstellungen ermöglicht es Ihnen, Benutzer auf die Whitelist setzen, damit sie sich mit einem RDP-Client verbinden können, ohne einen Zwei-Faktor-Authentifizierungscode eingeben zu müssen.
Klicken Sie auf die Schaltfläche „Hinzufügen“, um einen Benutzer hinzuzufügen, und entfernen Sie einen Benutzer, indem Sie ihn auswählen und auf die Schaltfläche „Entfernen“ klicken.
Der Reiter "Erweitert" ermöglicht es Ihnen, die Einstellungen für die Zwei-Faktor-Authentifizierung im Detail zu konfigurieren.
Abweichung
Sie können den Abweichungswert ändern, mit dem Sie die Validierungszeit eines Bestätigungscodes festlegen können.
Eine Abweichung von 3 bedeutet, dass der gleiche Verifizierungscode 90 Sekunden vor und nach seiner ursprünglichen Gültigkeitsdauer von 30 Sekunden gültig bleibt. Der Standardwert beträgt 480, was bedeutet, dass 480 x 30 Sekunden = 4 Stunden.
Herausgeber
Ein String, der den Namen des Zwei-Faktor-Authentifizierungsdienstes angibt. Der Aussteller wird in der mobilen App des Clients angezeigt und identifiziert den Dienst, der mit dem generierten Bestätigungscode verbunden ist. Standardmäßig besteht er aus dem Namen des Servers mit Remote-Arbeit.
Gültigkeit nach der ersten Sitzung
Zeitraum, in dem ein Benutzer eine Sitzung öffnen kann, ohne einen vorherigen Zwei-Faktor-Authentifizierungscode erneut validieren zu müssen. Diese Einstellung ermöglicht es Benutzern, Anwendungen nacheinander über das Webanwendungsportal zu öffnen. Standardmäßig sind es 480 Minuten.
Gültigkeit vor der ersten Sitzung
Zeitraum, in dem ein Benutzer eine Sitzung öffnen kann, nachdem er einen Code zur Zwei-Faktor-Authentifizierung über das Webportal oder die mobile App validiert hat, in Sekunden. Standardmäßig sind es 3600 Sekunden.
Digits
Die Anzahl der anzuzeigenden Ziffern für den Benutzer. Bitte beachten Sie, dass diese Einstellung möglicherweise nicht von Authentifizierungs-Apps unterstützt wird. Diese Zahl muss größer oder gleich 4 und kleiner oder gleich 12 sein. Standard ist 6.
SMS-Bestätigungscode-Nachricht
Nachricht an Benutzer, die um einen Bestätigungscode gebeten werden, wenn sie so konfiguriert sind, dass sie ihn per SMS erhalten. Diese Nachricht muss den Platzhalter %CODE% enthalten, der durch den tatsächlichen Bestätigungscode ersetzt wird. Standardmäßig lautet: Ihr %ISSUER% Bestätigungscode lautet: %CODE%