Zwei-Faktor-Authentifizierung
Inhaltsverzeichnis
- Übersicht
- Anforderungen
- Aktivieren Sie Ihre Lizenz
- Aktivieren Sie die Zwei-Faktor-Authentifizierung
- Benutzer und Gruppen hinzufügen
- Benutzer bearbeiten
- Benutzer und Gruppen entfernen
- Konfiguration für Benutzer zurücksetzen
- Benutzer für die Zwei-Faktor-Authentifizierung anmelden
- Codes mit einer Authentifizierungs-App empfangen
- SMS konfigurieren, um Authentifizierungscodes zu erhalten
- Anmeldung mit Zwei-Faktor-Authentifizierung
- Zeit synchronisation
- Einstellungen
Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu und verhindert den Zugriff auf die Sitzung Ihrer Benutzer, selbst wenn jemand ihr Passwort kennt .
Eine Kombination aus zwei verschiedenen Faktoren wird verwendet, um ein höheres Maß an Sicherheit zu erreichen:
-
etwas, das sie wissen ein Passwort .
-
etwas, das sie haben, ein Gerät - wie ein Smartphone - mit einer installierten Authentifizierungs-App. .
Sie können eine der folgenden Authentifizierungs-Apps verwenden, um fortzufahren. Diese Apps sind auf einer Vielzahl von Plattformen verfügbar:
Jedes Mal, wenn sich ein Benutzer in seine Remote-Sitzung anmeldet, benötigt er sein Passwort und einen Verifizierungscode, der auf seinem Mobiltelefon verfügbar ist. Nach der Konfiguration zeigt die Authenticator-App einen Verifizierungscode an, um ihm oder ihr zu ermöglichen, sich jederzeit anzumelden. Es funktioniert sogar, wenn das Gerät offline ist.
ODER Sie können entscheiden, die Bestätigungscodes zu erhalten durch SMS In diesem Fall müssen Sie ein kostenloses Konto bei erstellen Twilio .
Die 2FA-Codes werden als TOTP generiert (einmaliges zeitbasiertes Passwort), und sind daher für den einmaligen Gebrauch.
Daher ist es nicht möglich, einen bereits verwendeten 2FA-Code erneut zu verwenden. Dies verhindert den Diebstahl und die anschließende Verwendung eines 2FA-Codes, indem der Benutzer beobachtet wird, während er seinen Code eingibt.
Die Zwei-Faktor-Authentifizierung erfordert TSplus Remote Access Mobile-Web oder Unternehmen Editionen.
Die Zwei-Faktor-Authentifizierung wird unterstützt durch:
-
TSplus Remote Access Webportal , sowohl für HTML5- als auch für Remoteapp-Verbindungen
-
TSplus Connection Client, für Clients, die seit Version 15.30.3.15 erstellt wurden, mit 2FA-Unterstützung ausdrücklich aktiviert. Siehe Portable Client Generator Unterstützung für Zwei-Faktor-Authentifizierung
-
2FA bezieht sich auf Windows-Benutzer und nicht auf Web-Anmeldeinformationen
Dieser Authentifizierungsmodus unterstützt kein Login über den standardmäßigen Microsoft Remote Desktop-Client (mstsc.exe).
Um eine noch sicherere Lösung zu bieten, werden RDP-Verbindungen für Benutzer mit aktivierter Zwei-Faktor-Authentifizierung verweigert.
Als Voraussetzung müssen der TSplus-Server und die Geräte rechtzeitig sein. Sehen Sie die Zeit-Synchronisierung und Einstellungen Abschnitte für weitere Konfigurationsinformationen.
Die Funktion der Zwei-Faktor-Authentifizierung ist im Add-On-Tab des AdminTools zu finden:
Führen Sie die folgenden Schritte aus, um die Zwei-Faktor-Authentifizierung für Ihren TSplus-Server oder Ihre Bereitstellung zu aktivieren. Wenn Ihre TSplus-Bereitstellung so konfiguriert ist, dass mehrere Server verwendet werden, führen Sie diese Aufgabe auf dem TSplus-Server aus, der als einziger Zugangspunkt für Benutzer oder mit der Rolle des Reverse-Proxys exponiert ist.
- Öffnen Sie die Anwendung zur Verwaltung der Zwei-Faktor-Authentifizierung. Der Status der Zwei-Faktor-Authentifizierung und der Lizenzstatus werden angezeigt:
Standardmäßig ist 2FA für das TSplus-Gateway und die eigenständigen Anwendungsserver aktiviert.
Sie können es nur für TSplus-Anwendungsserver aktivieren, indem Sie die URL des Authentifizierungsservers eingeben:
Oder deaktivieren Sie es:
Sobald die Zwei-Faktor-Authentifizierung aktiviert ist, können Sie Benutzer für die Zwei-Faktor-Authentifizierung konfigurieren.
-
Von der Verwaltung Anwendung zur Zwei-Faktor-Authentifizierung klicken Sie auf die Benutzer verwalten Tab.
-
Dann klicken Sie auf Hinzufügen Benutzern und/oder Benutzergruppen auszuwählen. Die Benutzer oder Gruppen auswählen Box öffnet sich.
- Fügen Sie so viele Benutzer und Gruppen hinzu, wie erforderlich, und klicken Sie dann auf OK Die Benutzer und Gruppen werden zur Liste hinzugefügt und für die Zwei-Faktor-Authentifizierung aktiviert.
Hier sind Befehle zum Hinzufügen von Benutzern/Gruppen
3 Arten möglicher Argumente:
nur der domainName
TwoFactor.Admin.exe /addusers domainName1
- fügt den Benutzer mit den Standardwerten hinzu (Empfangsmethode = App, E-Mail- und Telefonfelder nicht eingegeben)
der domainName und die Empfangsmethode
TwoFactor.Admin.exe /addusers domainName1;SMS
- fügt den Benutzer mit der gewünschten Empfangsmethode hinzu, versucht jedoch nicht, sie zu aktivieren
der domainName, die Empfangsmethode, das Telefonfeld (auch wenn leer), das E-Mail-Feld (auch wenn leer)
*TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606;
[email protected]
domainName2;E-Mail;;
[email protected]
domainName3;SMS;+33606060607;domainName4
- Das gleiche Verhalten wie im HMI, wenn wir einen Benutzer hinzufügen und dann mit den korrekten Informationen bearbeiten: wir versuchen, den Benutzer zu aktivieren.
Wie im letzten Beispiel gezeigt, können mehrere Benutzer angegeben werden (durch ein Leerzeichen getrennt). Die verschiedenen Felder eines Benutzers sind durch ein Semikolon getrennt.
Für einzelne Gruppen:
TwoFactor.Admin.exe /addgroups gruppe1 gruppe2 gruppe3
Auf demselben Kachel können Sie die Art und Weise bearbeiten, wie Benutzer Verifizierungscodes erhalten, indem Sie einen Benutzer auswählen und auf die Schaltfläche „Bearbeiten“ klicken.
Der Benutzer erhält standardmäßig Verifizierungscodes in der Authentifizierungs-App. Sie können wählen, dass er/sie diese per SMS oder E-MAIL erhält, indem Sie die Option auswählen.
Ausgewählte SMS und die Telefonnummer des Benutzers im Feld hinzugefügt oder E-MAIL ausgewählt und die E-Mail des Benutzers hinzugefügt.
Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus und klicken Sie dann auf Entfernen Eine Bestätigungsnachricht wird angezeigt.
Klicken Ja Der Benutzer oder die Gruppe wird aus seiner Liste entfernt und kann sich nicht mehr mit Zwei-Faktor-Authentifizierung verbinden.
Im Falle des Verlusts des authentifizierenden Geräts für einen Benutzer oder wenn der Benutzer den geheimen QR-Code erneut anzeigen muss, müssen Sie die Benutzerauthentifizierungseinstellungen zurücksetzen.
-
Von der Verwaltung Anwendung zur Zwei-Faktor-Authentifizierung klicken Sie auf die Benutzer verwalten Tab.
-
Wählen Sie einen oder mehrere aktivierte Benutzer aus und klicken Sie dann auf Zurücksetzen Eine Bestätigungsnachricht wird angezeigt.
- Klicken Ja Die ausgewählten Benutzer erhalten beim nächsten Login einen neuen QR-Code, den sie in der Authentifizierungs-App ihres Geräts scannen müssen.
Sie können auch die Telefonnummer des Benutzers ändern, damit er einen Bestätigungscode auf seinem neuen Gerät erhalten kann.
Sobald ein Benutzer für die Verwendung der Zwei-Faktor-Authentifizierung aktiviert wurde, wird bei seiner nächsten erfolgreichen Anmeldung über das TSplus-Webportal eine Aktivierungsnachricht angezeigt.
Um die erforderlichen Schritte abzuschließen, haben Sie zwei Möglichkeiten: entweder Codes über eine Authenticator-App zu generieren oder den Benutzer Codes per SMS empfangen zu lassen.
Der Benutzer muss eine Authentifizierungs-App auf einem tragbaren Gerät, wie seinem Smartphone, installieren.
Sie können eine der folgenden Authentifizierungs-Apps verwenden, um fortzufahren. Diese Apps sind auf einer Vielzahl von Plattformen verfügbar:
Bitte verwenden Sie die Dokumentation jeder App für weitere Details, wie Sie Ihr TSplus-Konto hinzufügen können.
Um zu gewährleisten, dass der Benutzer Bestätigungscodes per SMS erhält, müssen Sie dies zuerst aktivieren. Klicken Sie auf die SMS konfigurieren Tab:
TSplus nutzt Twilio, um Verifizierungscodes per SMS zu senden. Twilio ist eine Drittanbieter-Cloud-Plattform, die nicht mit TSplus verbunden ist.
- Erstellen Sie einfach ein kostenloses Konto auf Twilio indem Sie auf die Schaltfläche unten „Starten Sie Ihre kostenlose Testversion mit Twilio“ klicken:
- Auf Ihrem Twilio-Konto-Dashboard Sie müssen Ihre Testnummer aktivieren:
- Der nächste Schritt ist nur für Testversionen erforderlich. Er ermöglicht es Twilio, die tatsächliche Telefonnummer zu überprüfen, an die SMS gesendet werden.
Geben Sie diese Nummer unter dem ein “Telefonnummern” Menü - “Verifizierte Anrufer-IDs” Tab :
- Sie können dann Ihre Kontos-ID, Authentifizierungstoken und eingeben Testnummer als die Telefonnummer auf dem SMS konfigurieren Tab von TSplus:
Dann klicken Sie auf Speichern. Die folgende Nachricht wird angezeigt:
Sie können Ihr Twilio-Abonnement auf dem Twilio-Abonnement verwalten Abschnitt, am Ende der SMS konfigurieren Verwalten Sie Ihr Konto, sehen Sie den Service-Status oder erreichen Sie das Twilio Support Center, indem Sie einfach auf die entsprechenden Schaltflächen klicken.
Damit der Benutzer Bestätigungscodes per E-MAIL erhält, müssen Sie zuerst Ihr SMTP-E-Mail konfigurieren.
Sobald ein Benutzer sein TSplus-Konto in seiner Authentifizierungs-App konfiguriert hat, kann er sich mit seinem Passwort und dem von seiner Authentifizierungs-App, per SMS oder E-Mail bereitgestellten Code verbinden.
Vom TSplus Remote Access Webportal:
Vom TSplus generierten Client:
TSplus-Anwendungsserver und Client-Geräte müssen die gleiche Zeit teilen. Das bedeutet, dass die Uhrzeit und das Datum des Servers mit einem Zeitserver synchronisiert werden müssen. Client-Geräte müssen ebenfalls eine Zeit-Synchronisierung haben, unabhängig von der Zeitzone, in der sie konfiguriert sind.
Wenn eine Authentifizierungsanfrage von einem Gerät kommt, dessen Datum und Uhrzeit nicht synchronisiert sind, oder wenn das Datum und die Uhrzeit des Servers nicht synchronisiert sind, kann diese Anfrage abgelehnt werden.
Die Validierung der Informationen zwischen dem Gerät und dem Server bezieht sich auf die UTC-Zeit.
Im Einstellungen Abschnitt, der Discrepency-Parameter wird verwendet, um den Gültigkeitszeitraum des Codes in Intervallen von 30 Sekunden zu verwalten.
Beispiel für Validierung oder gültige Authentifizierung:
- der Server ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 2, es ist 14:30 Uhr
- Das Gerät ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 1, es ist 13:30 Uhr.
- der Discrepency-Parameter ist auf 60 konfiguriert, d.h. eine Gültigkeitsdauer des Codes von 30 Minuten
- auf UTC-Zeit bezogen sind die Gerätez Zeit und die Serverzeit identisch.
Beispiel für gültige oder ungültige Authentifizierung:
- der Server ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 2, es ist 14:30 Uhr
- Das Gerät ist nicht mit einem Zeitserver synchronisiert, die Zeitzone ist UTC-1, die Uhrzeit ist manuell auf 13:30 Uhr eingestellt.
- der Discrepency-Parameter ist auf 60 konfiguriert, d.h. eine Gültigkeitsdauer des Codes von 30 Minuten
- Die Serverzeit, die sich auf die UTC-Zeit bezieht, ist 12:30 Uhr.
- Die von dem Gerät mitgeteilte Zeit, die auf UTC-Zeit verweist, ist 14:30 Uhr.
- Der Unterschied beträgt 120 Minuten, der Validierungscode wird daher abgelehnt.
Die Registerkarte Einstellungen ermöglicht es Ihnen, Benutzer auf die Whitelist setzen, damit sie sich mit einem RDP-Client verbinden können, ohne einen Zwei-Faktor-Authentifizierungscode eingeben zu müssen.
Klicken Sie auf die Schaltfläche „Hinzufügen“, um einen Benutzer hinzuzufügen, und entfernen Sie einen Benutzer, indem Sie ihn auswählen und auf die Schaltfläche „Entfernen“ klicken.
Der Reiter "Erweitert" ermöglicht es Ihnen, die Einstellungen für die Zwei-Faktor-Authentifizierung im Detail zu konfigurieren.
Abweichung
Sie können den Abweichungswert ändern, mit dem Sie die Validierungszeit eines Bestätigungscodes festlegen können.
Eine Abweichung von 3 bedeutet, dass der gleiche Verifizierungscode 90 Sekunden vor und nach seiner ursprünglichen Gültigkeitsdauer von 30 Sekunden gültig bleibt. Der Standardwert beträgt 480, was bedeutet, dass 480 x 30 Sekunden = 4 Stunden.
Herausgeber
Ein String, der den Namen des Zwei-Faktor-Authentifizierungsdienstes angibt. Der Aussteller wird in der mobilen App des Clients angezeigt und identifiziert den Dienst, der mit dem generierten Bestätigungscode verbunden ist. Standardmäßig besteht er aus dem Namen des Servers mit TSplus.
Gültigkeit nach der ersten Sitzung
Zeitraum, in dem ein Benutzer eine Sitzung öffnen kann, ohne einen vorherigen Zwei-Faktor-Authentifizierungscode erneut validieren zu müssen. Diese Einstellung ermöglicht es Benutzern, Anwendungen nacheinander über das Webanwendungsportal zu öffnen. Standardmäßig sind es 480 Minuten.
Gültigkeit vor der ersten Sitzung
Zeitraum, in dem ein Benutzer eine Sitzung öffnen kann, nachdem er einen Code zur Zwei-Faktor-Authentifizierung über das Webportal oder die mobile App validiert hat, in Sekunden. Standardmäßig sind es 3600 Sekunden.
Digits
Die Anzahl der anzuzeigenden Ziffern für den Benutzer. Bitte beachten Sie, dass diese Einstellung möglicherweise nicht von Authentifizierungs-Apps unterstützt wird. Diese Zahl muss größer oder gleich 4 und kleiner oder gleich 12 sein. Standard ist 6.
SMS-Bestätigungscode-Nachricht
Nachricht an Benutzer, die um einen Bestätigungscode gebeten werden, wenn sie so konfiguriert sind, dass sie ihn per SMS erhalten. Diese Nachricht muss den Platzhalter %CODE% enthalten, der durch den tatsächlichen Bestätigungscode ersetzt wird. Standardmäßig lautet: Ihr %ISSUER% Bestätigungscode lautet: %CODE%
SMS-Sicherheitszeitraum
Der Zeitraum beginnt, wenn ein Benutzer einen Authentifizierungscode per SMS anfordert. Während dieses Zeitraums kann der Benutzer einen neuen Authentifizierungscode per SMS anfordern, bis die Anzahl der angeforderten SMS den Schwellenwert (in Stunden, Standard ist 24 Stunden) erreicht.
SMS-Sicherheitsgrenze
Der Schwellenwert definiert die maximale Anzahl von SMS-Authentifizierungscodes, die jeder Benutzer während eines bestimmten Zeitraums anfordern kann (Standard ist 6).