DRACOON Cloud-Status:

Neu bei DRACOON? Jetzt 14 Tage kostenlos testen!Mehr Infos

Beiträge in diesem Abschnitt

Zweistufige Authentifizierung

  • Aktualisiert
Folgen
 
 

Themen dieses Artikels

 Was ist die zweistufige Authentifizierung in DRACOON?

  • Die zweistufige Authentifizierung (auch bekannt als Zweifaktor- oder Multifaktor-Authentifizierung) erhöht die Sicherheit bei der Anmeldung von Benutzern bei DRACOON.
  • Die erhöhte Sicherheit wird erreicht, indem die Benutzer bei jeder Anmeldung zusätzlich zu ihrem Benutzernamen und Kennwort in einem zweiten Schritt einen 6-stelligen Bestätigungscode eingeben müssen, der auf dem mobilen Endgerät (Smartphone oder Tablet) des jeweiligen Benutzers erzeugt wurde.
  • Da bei zweistufiger Authentifizierung zur erfolgreichen Anmeldung ein zusätzlicher Gegenstand (das mobile Endgerät) unbedingt benötigt wird, ist eine unberechtigte Anmeldung durch andere Personen allein mit gestohlenen Zugangsdaten (Benutzername und Kennwort) nicht länger möglich.
  • Der zusätzliche Bestätigungscode – auch Einmalkennwort genannt – wird durch eine Authentifizierungs-App (z.B. Google Authenticator oder Microsoft Authenticator) erzeugt, die auf dem mobilen Endgerät des Benutzers installiert ist und die bei der Einrichtung der zweistufigen Authentifizierung mit dem DRACOON-Konto des Benutzers verknüpft wurde (durch Scannen eines QR-Codes mit der App).
  • Der Bestätigungscode ist zeitgebunden – er ändert sich alle 30 Sekunden – und muss innerhalb dieses Zeitfensters bei der Anmeldung eingegeben werden. So wird verhindert, dass ein gestohlener Bestätigungscode nachträglich missbraucht werden könnte – er würde nach 30 Sekunden nicht mehr funktionieren.
  • Die zweistufige Authentifizierung kann vom Konfigurations- bzw. Benutzermanager für alle oder nur bestimmte Benutzer verpflichtend vorgegeben werden. Andernfalls können Benutzer selbst entscheiden, ob sie diese nutzen möchten.
  • Wenn aktiviert, gilt die zweistufige Authentifizierung für alle Authentifizierungsmethoden in DRACOON – also die Anmeldung mit DRACOON-Benutzernamen, über Active Directory oder OpenID Connect.
  • Indem Sie den Benutzermanager darüber informieren, dass Sie eine Rücksetzung ihrer MFA-Konfiguration benötigen, können Benutzer ihre zweistufige Authentifizierung zurücksetzen lassen - zum Beispiel, wenn sie ein neues Mobilgerät zur Authentifizierung verwenden möchten..

Einschränkungen bei Verwendung der zweistufigen Authentifizierung

Bitte beachten Sie die folgenden Einschränkungen, bevor Sie in DRACOON die zweistufige Authentifizierung bei Benutzern aktivieren:

  • Benutzer, welche die zweistufige Authentifizierung in DRACOON nutzen, können nicht mehr per WebDAV auf DRACOON zugreifen (als Alternative zu WebDAV wird ohnehin generell das leistungsfähigere DRACOON für Windows/Mac empfohlen).
  • Außerdem kann mit dem Konto des Benutzers nicht mehr vollautomatisiert (z.B. per Skript) auf DRACOON zugegriffen werden, da der Authentifizierungsvorgang eine manuelle Benutzerinteraktion mit einem mobilen Endgerät erfordert.

Erforderliche Schritte bis zur Nutzung der zweistufigen Authentifizierung

1 Zweistufige Authentifizierung aktivieren

Die zweistufige Authentifizierung wird dem Benutzer entweder vom Konfigurations- bzw. Benutzermanager verpflichtend vorgegeben, oder er aktiviert sie selbst in seinem Benutzerkonto.

 

2 Zweistufige Authentifizierung zur Verwendung einrichten

Der Benutzer richtet die zweistufige Authentifizierung ein, indem er mit einer Authentifizierungs-App auf seinem mobilen Endgerät einen von DRACOON angezeigten QR-Code scannt und abschließend in DRACOON einen Bestätigungscode eingibt. Das mobile Endgerät und die Authentifizierungs-App werden dadurch mit dem DRACOON-Konto des Benutzers verknüpft.

 

  Mit zweistufiger Authentifizierung bei DRACOON anmelden

Bei jeder Anmeldung des Benutzers an DRACOON greift nun die zweistufige Authentifizierung: Neben Benutzernamen und Kennwort muss der Benutzer auch einen Bestätigungscode eingeben, der alle 30 Sekunden in der Authentifizierungs-App auf dem mobilen Endgerät des Benutzers neu erzeugt wird.

Zweistufige Authentifizierung aktivieren

DRACOON bietet drei Möglichkeiten zur Aktivierung der zweistufigen Authentifizierung bei Benutzern:

  • Möglichkeit 1: Allen Benutzern wird vorgegeben, die zweistufige Authentifizierung verwenden zu müssen (DRACOON-weite Richtlinie)
  • Möglichkeit 2: Nur bestimmten Benutzern wird vorgegeben, die zweistufige Authentifizierung verwenden zu müssen (benutzerbezogene Richtlinie)
  • Möglichkeit 3: Benutzern, denen die zweistufige Authentifizierung nicht vorgegeben wird, können selbst entscheiden, ob sie diese verwenden möchten

Wer darf die zweistufige Authentifizierung allen Benutzern vorgeben?

Nur Benutzer, die die Rolle Konfigurationsmanager innehaben, dürfen die zweistufige Authentifizierung allen Benutzern vorgeben.

Beachten Sie: Wenn Sie die zweistufige Authentifizierung allen Benutzern vorgeben, gilt dies für tatsächlich alle Benutzer Ihrer DRACOON-Umgebung, unabhängig davon, welche Authentifizierungsmethode (z.B. via Active Directory oder DRACOON-Benutzername) diese verwenden – Ausnahmen für einzelne Benutzer sind nicht möglich.
Dies bedeutet auch, dass WebDAV von allen Benutzern Ihrer DRACOON-Umgebung nicht mehr verwendet werden kann.
Außerdem ist es dann nicht mehr möglich, ein bestimmtes Benutzerkonto vollautomatisiert (z.B. per Skript) auf DRACOON zugreifen zu lassen, da der Authentifizierungsvorgang eine manuelle Benutzerinteraktion mit einem mobilen Endgerät erfordert.
Wenn Sie sich diesbezüglich nicht sicher sind, geben Sie daher die zweistufige Authentifizierung nicht allen Benutzern vor, sondern nur bestimmten Benutzern (siehe Möglichkeit 2 unten).
  1. Klicken Sie in der DRACOON Web App in der linken Seitenleiste auf Einstellungen und dann auf Sicherheit.
  2. Aktivieren Sie im Abschnitt "Zweistufige Benutzerauthentifizierung" den Schalter Zweistufige Authentifizierung für alle Benutzer erforderlich.
  3. Sie haben auch die Möglichkeit zu wählen, ob diese Funktion für alle Benutzer, nur für interne Benutzer oder nur für externe Benutzer (Gastbenutzer) gelten soll. Dies ist ein Massenvorgang, der auf alle ausgewählten Benutzergruppen angewendet wird.

Wer darf die zweistufige Authentifizierung für bestimmte Benutzer vorgeben?

Nur Benutzer, die die Rolle Benutzermanager innehaben, dürfen die zweistufige Authentifizierung für bestimmte Benutzer vorgeben.
Dies ist nur möglich, wenn die zweistufige Authentifizierung nicht bereits vom Konfigurationsmanager für alle Benutzer verpflichtend vorgegeben wurde (Möglichkeit 1 oben).

  1. Klicken Sie in der DRACOON Web App in der linken Seitenleiste auf Einstellungen.
  2. Die Benutzerliste wird angezeigt. Markieren Sie den Benutzer, der stets die zweistufige Authentifizierung verwenden muss, und klicken Sie in der rechten Seitenleiste oder im Kontextmenü auf Benutzer bearbeiten.

    Möchten Sie hingegen einen neuen Benutzer anlegen und bei diesem die zweistufige Authentifizierung vorgeben, klicken Sie in der rechten Seitenleiste auf Benutzer anlegen (der Befehl ist nur sichtbar, solange Sie keinen vorhandenen Benutzer markiert haben).

  3. Aktivieren Sie das Kontrollkästchen Zweistufige Benutzerauthentifizierung erforderlich.
  4. Klicken Sie auf Speichern.

Wer darf die zweistufige Authentifizierung für sein Benutzerkonto aktivieren?

Jeder DRACOON-Benutzer kann selbst entscheiden, ob er die die zweistufige Authentifizierung nutzen möchte – außer diese wurde vom Konfigurationsmanager für alle Benutzer (Möglichkeit 1 oben) oder vom Benutzermanager für sein Benutzerkonto (Möglichkeit 2 oben) zwingend vorgegeben.

  1. Klicken Sie in der DRACOON Web App rechts oben auf Ihr Profilbild und danach im Menü auf Benutzerkonto verwalten.
  2. Klicken Sie auf das Register Sicherheit.
  3. Klicken Sie im Abschnitt "Zweistufige Authentifizierung" auf die Schaltfläche Aktivieren.
  4. Das Dialogfeld zur Einrichtung der zweistufigen Authentifizierung wird angezeigt (siehe nächster Abschnitt).

Zweistufige Authentifizierung zur Verwendung einrichten

Wenn die zweistufige Authentifizierung für Ihr Benutzerkonto aktiviert wurde, muss diese einmalig eingerichtet werden. Dabei wird Ihr mobiles Endgerät (Smartphone oder Tablet), auf dem eine sog. Authentifizierungs-App (z.B. Google Authenticator) installiert ist, mit Ihrem DRACOON-Benutzerkonto verknüpft.

Wurde die zweistufige Authentifizierung für Ihr Benutzerkonto zwingend vorgegeben, aber von Ihnen noch nicht eingerichtet, erhalten Sie folgenden Hinweis, wenn Sie sich bei DRACOON anmelden:

Klicken Sie auf Zweistufige Authentifizierung einrichten, um mit der Einrichtung zu beginnen.

Das Dialogfeld zur Einrichtung der zweistufigen Authentifizierung wird angezeigt und besteht aus drei Schritten:

  1. Authentifizierungs-App installieren: Wenn Sie auf Ihrem mobilen Endgerät noch keine Authentifizierungs-App installiert haben, laden Sie eine aus dem App Store (für iPhone) bzw. Play Store (für Android) herunter. Bekannte Authentifizierungs-Apps sind z.B. Authy, Google Authenticator oder Microsoft Authenticator. Sie können selbst entscheiden, welche Sie verwenden möchten.
  2. QR-Code scannen: Starten Sie auf Ihrem mobilen Endgerät die installierte Authentifizierungs-App, und scannen Sie damit den im Dialogfeld "Zweistufige Authentifizierung einrichten" angezeigten QR-Code. Wenn dies nicht möglich ist, geben Sie in der App den unter dem QR-Code angezeigten geheimen Schlüssel ein.
  3. Bestätigungscode eingeben: In der Authentifizierungs-App auf Ihrem mobilen Endgerät erscheint ein 6-stelliger Bestätigungscode. Sie haben 30 Sekunden Zeit, diesen Bestätigungscode im DRACOON-Dialogfeld im Feld 6-stelliger Bestätigungscode einzugeben und auf die Schaltfläche Speichern zu klicken.

    Wenn die 30 Sekunden verstrichen sind und Sie mit der Eingabe noch nicht fertig sind, wird automatisch ein neuer Bestätigungscode angezeigt, den Sie innerhalb von 30 Sekunden eingeben müssen.

  Ihr mobiles Endgerät und Ihre verwendete Authentifizierungs-App sind nun mit Ihrem DRACOON-Benutzerkonto verknüpft, und die zweistufige Authentifizierung wird ab der nächsten Anmeldung bei DRACOON verwendet.
Sie erhalten darüber eine Bestätigung per E-Mail.

Mit zweistufiger Authentifizierung bei DRACOON anmelden (einloggen)

Wenn Sie die zweistufige Authentifizierung für Ihr Benutzerkonto eingerichtet haben, müssen Sie bei jeder Anmeldung an DRACOON nicht nur Ihren Benutzernamen und Ihr Kennwort eingeben, sondern in einem zweiten Schritt einen zusätzlichen Zahlencode – das sogenannte "Einmalkennwort". Dieses wird Ihnen in der mit DRACOON verknüpften Authentifizierungs-App auf Ihrem mobilen Endgerät angezeigt und ist zeitlich begrenzt (30 Sekunden lang) gültig.

  1. Geben Sie zur Anmeldung bei DRACOON zunächst Ihren Benutzernamen und Ihr Kennwort ein, und klicken Sie auf Anmelden.
  2. Öffnen Sie auf Ihrem mobilen Endgerät die Authentifizierungs-App, die Sie zur Einrichtung mit DRACOON verwendet hatten. Je nach verwendeter App müssen Sie darin dann das gewünschte Benutzerkonto auswählen (Ihr DRACOON-Konto).
  3. In der App wird Ihnen ein Bestätigungscode (auch "Einmalkennwort" genannt – eine 6-stellige Ziffernkombination, dies sich alle 30 Sekunden ändert) angezeigt. Sie haben 30 Sekunden Zeit, das in der App angezeigte Einmalkennwort in DRACOON im Dialogfeld "Bestätigungscode eingeben" einzugeben und auf die Schaltfläche Bestätigen zu klicken.

    Wenn die 30 Sekunden verstrichen sind und Sie mit der Eingabe noch nicht fertig sind, wird in der App automatisch ein neuer Bestätigungscode angezeigt, den Sie innerhalb von 30 Sekunden eingeben müssen.

  Wenn Sie den Bestätigungscode übereinstimmend und rechtzeitig eingegeben haben, sind Sie nun erfolgreich bei DRACOON angemeldet und können auf Ihre dortigen Datenräume zugreifen.

MFA zurücksetzen(bei Wechsel/Verlust des mobilen Endgerätes oder der Authentifizierungs-App)

Bei der Einrichtung der zweistufigen Authentifizierung wurde Ihr Benutzerkonto mit Ihrem mobilen Endgerät und einer bestimmten darauf installierten Authentifizierungs-App verknüpft. Dies bedeutet, dass Sie sich bei DRACOON nicht mehr anmelden können, wenn Sie darauf nicht mehr zugreifen können –  z.B., weil Sie ein neues Smartphone bekommen, Ihr bisheriges Smartphone verloren oder die verwendete Authentifizierungs-App versehentlich deinstalliert haben.

Für diese Fälle bietet DRACOON an, durch Beantragung einer speziellen Rücksetzung der MFA-Funktionalität bei Ihrem Benutzermanager, wodurch die Verknüpfung zum bisherigen mobilen Endgerät und zur bisher verwendeten Authentifizierungs-App gelöst wird. Danach können Sie die zweistufige Authentifizierung mit dem gewünschten Endgerät und der gewünschten App neu einrichten. 

  1. Teilen Sie Ihrem DRACOON-Benutzermanager mit, dass Sie über die bisherige zweistufige Authentifizierung nicht mehr auf DRACOON zugreifen können (z.B., weil Sie ein neues Smartphone erhalten haben) und dass Sie von ihm eine Rücksetzung der MFA-Funktionalität brauchen.
  2. Wenn Sie von Ihrem Benutzermanager die Information erhalten haben, dass ihre MFA-Konfiguration zurückgesetzt worden ist, können sie eine Neukonfiguration durchführen.

  Die zweistufige Authentifizierung wurde zurückgesetzt, und Sie können diese nun mit Ihrem gewünschten mobilen Endgerät und der gewünschten Authentifizierungs-App neu einrichten.

Für Benutzermanager: Neukonfiguration von MFA anfordern (zum Zurücksetzen der zweistufigen Authentifizierung)

Sicherheits-Hinweis: Wenn Sie von einem Benutzer schriftlich um eine Zurücksetzung gebeten werden, rückversichern Sie sich bei diesem persönlich, ob er tatsächlich diese angefordert hat – eine andere Person könnte sich in betrügerischer Absicht als der Benutzer ausgegeben haben, um an die Neukonfiguration zu gelangen.

  1. Klicken Sie in der DRACOON Web App in der linken Seitenleiste auf Einstellungen.
  2. Die Benutzerliste wird angezeigt. Markieren Sie den Benutzer, der eine Zurücksetzung der MFA benötigt, und klicken Sie in der rechten Seitenleiste oder im Kontextmenü auf Zweistufige Authentifizierung zurücksetzen.
  3. Der Benutzer wird per E-Mail informiert, dass seine MFA zurückgesetzt worden ist und kann eine neue Konfiguration durchführen.

Zweistufige Authentifizierung deaktivieren

Wenn Sie die zweistufige Authentifizierung für Ihr Benutzerkonto nicht länger verwenden möchten, können Sie diese wieder abschalten – allerdings nur dann, wenn Sie diese selbst aktiviert hatten und sie Ihnen nicht verpflichtend vom Konfigurations- oder Benutzermanager vorgegeben wurde.

Aus Sicherheitsgründen muss auch zum Deaktivieren der zweistufigen Authentifizierung ein Bestätigungscode (Einmalkennwort) eingegeben werden, der von der Authentifizierungs-App auf Ihrem mobilen Endgerät erzeugt wurde.

  1. Klicken Sie in der DRACOON Web App rechts oben auf Ihr Profilbild und danach im Menü auf Benutzerkonto verwalten.
  2. Klicken Sie auf das Register Sicherheit.
  3. Klicken Sie im Abschnitt "Zweistufige Authentifizierung" auf den Link Deaktivieren.

    Der Link Deaktivieren kann nicht angeklickt werden, wenn Sie die zweistufige Authentifizierung nicht deaktivieren dürfen, weil diese verpflichtend vorgegeben wurde.

  4. Öffnen Sie auf Ihrem mobilen Endgerät die Authentifizierungs-App, die Sie zur Einrichtung mit DRACOON verwendet hatten. Je nach verwendeter App müssen Sie darin dann das gewünschte Benutzerkonto auswählen (Ihr DRACOON-Konto).
  5. In der Authentifizierungs-App auf Ihrem mobilen Endgerät erscheint ein 6-stelliger Bestätigungscode (auch "Einmalkennwort" genannt). Sie haben 30 Sekunden Zeit, diesen Bestätigungscode im DRACOON-Dialogfeld im Feld 6-stelliger Bestätigungscode einzugeben und auf die Schaltfläche Deaktivieren zu klicken:

    Wenn die 30 Sekunden verstrichen sind und Sie mit der Eingabe noch nicht fertig sind, wird automatisch ein neuer Bestätigungscode angezeigt, den Sie innerhalb von 30 Sekunden eingeben müssen.

  Wenn Sie den Bestätigungscode übereinstimmend und rechtzeitig eingegeben haben, ist die zweistufige Authentifizierung für Ihr DRACOON-Benutzerkonto deaktiviert, und Sie müssen zukünftig zur Anmeldung bei DRACOON lediglich Ihren Benutzernamen und Ihr Kennwort eingeben.
Sie erhalten darüber eine Bestätigung per E-Mail.

Deaktivieren der Benutzervorgabe zur verpflichtenden Verwendung der zweistufigen Authentifizierung

  • Wenn Sie als DRACOON-Benutzermanager für bestimmte Benutzer die Verwendung der zweistufigen Authentifizierung nicht mehr verpflichtend vorgeben (durch Deaktivieren des Kontrollkästchens Zweistufige Benutzerauthentifizierung beim Benutzer in der Benutzerverwaltung), steht es dem betreffenden Benutzer frei, ob er die zweistufige Authentifizierung weiter nutzen möchte. Zwar bleibt die zweistufige Authentifizierung für den Benutzer nach Deaktivieren der Vorgabe weiterhin aktiv, der Benutzer kann sie danach jedoch jederzeit in seinem Benutzerkonto deaktivieren.
  • Analog gilt: Wenn Sie als Konfigurationsmanager für alle DRACOON-Benutzer die Verwendung der zweistufigen Authentifizierung nicht mehr verpflichtend vorgeben (durch Deaktivieren des Schalters Zweistufige Authentifizierung für alle Benutzer erforderlich unter Einstellungen > Sicherheit), steht es allen Benutzern frei, ob sie die zweistufige Authentifizierung weiter nutzen möchten.

    Wenn Sie die Vorgabe zur Nutzung der zweistufigen Authentifizierung für alle Benutzer unter Einstellungen > Sicherheit deaktivieren, wird die Vorgabe bei allen DRACOON-Benutzern entfernt – selbst bei jenen, denen der Benutzermanager zuvor explizit vorgegeben hatte, dass sie die zweistufige Authentifizierung verwenden müssen.

Verwandte Beiträge

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.