====== 2-Faktor-Authentifizierung mit kdvtfa verwalten ====== Wird Ihnen nach der Anmeldung an HISinOne mit Benutzername und Passwort die folgende Ansicht angezeigt, so besitzen Sie mindestens eine Rolle, für die eine 2-Faktor-Authentifizierung vorgeschrieben ist. {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.44.49.png?700}} Derzeit unterstützt die Umgebung der KDV zwei grundlegende Mechanismen: * **Timebased OTP** (TOTP) – bevorzugt unter Verwendung einer geeigneten Smartphone-APP und * **YubiOTP** unter Verwendung eines geeigneten YubiKey. OTP steht dabei grundsätzlich für **O**ne-**T**ime-**P**assword. Wenn Sie diese Anleitung lesen haben Sie vermutlich noch kein OTP-Token für Ihr HISinOne-System registriert. In diesem Fall können Sie einfach auf das fett hervorgehobene und unterstrichene hier im Beschreibungstext //„Sollten Sie noch kein OTP-Token besitzen ...“// klicken. Auf Ihren Klick hin öffnet sich in einem neuen Browser-Tab die Login-Maske für die OTP-Token- Verwaltung (kdvtfa), die die KDV für Ihr HISinOne-System bereitgestellt hat. {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.46.47.png?700}} Wenn Sie dort noch kein Token hinterlegt haben können Sie sich einfach mit Ihrem Benutzernamen und Passwort aus HISinOne anmelden. Haben Sie bereits ein Token hinterlegt müssen Sie zusätzlich ein damit generiertes One-Time-Password (OTP) angeben. Haben Sie in HISinOne keine Administratorrechte, so wird ihnen nun direkt die Maske zur Verwaltung ihrer OTP-Tokens angezeigt (siehe Bild). {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.47.45.png?700}} Haben Sie Administratorrechte in HISinOne so wird Ihnen eine Liste der Benutzer angezeigt, die Rollen besitzen für die eine 2-Faktor-Authentifizierung erforderlich ist oder die bereits mindestens ein Token konfiguriert haben. In diesem Fall klicken Sie oben links auf Ihren Benutzernamen (hier im Bild wiw) und Sie landen in der gleichen Ansicht wie Nutzer ohne Administratorrechte. Mit den beiden Buttons TOTP und Yubikey können Sie Tokens für Ihren Account konfigurieren. ===== TOTP mit dem Smartphone ===== Wenn Sie keinen YubiKey besitzen bietet sich die Verwendung von TOTP in Verbindung mit einer geeigneten Smartphone-App an. Getestet wurde die Anwendung mit den Apps //__Google Authenticator__// (von Google) und //__FreeOTP__// (von RedHat). Beide Apps sind sowohl für __Android__ als auch für __iOS__ verfügbar. Installieren Sie sich (falls nicht bereits vorhanden) eines der beiden Apps auf Ihrem Smartphone und klicken Sie auf den Button TOTP in der oben abgebildeten Maske der kdvtfa. Danach sollte Ihnen die folgende Darstellung angezeigt werden. {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.50.08.png?700}} Geben Sie bei Beschreibung einen kurzen Text an, der für Sie erkennbar macht, auf welchem mobilen Gerät Sie das Token hinterlegen werden (z. B. iPhone wenn Sie das Token auf Ihr iPhone speichern). Öffnen Sie nun Ihr OTP-App (Google Authenticator oder FreeOTP) auf dem Smartphone und scannen Sie damit den angezeigten QR-Code. {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.50.30.png?700}} Bei FreeOTP verwenden Sie hierzu den in dieser Abbildung rot umrandeten Button. Anschließend lassen Sie sich das erste One-Time-Passwort anzeigen und geben es in der Maske der kdvtfa in das Feld OTP ein, um zu bestätigen, dass Sie den QR-Code korrekt gescannt haben. Anschließend sollten Sie die folgende Ansicht erhalten. {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.50.58.png?700}} Nun haben Sie Ihr erstes OTP-Token für HISinOne registriert und können es fortan bei der Anmeldung an HISinOne benutzen. Prinzipiell ist es immer möglich, dass ein SmartPhone verloren geht oder zerstört wird. Aus diesem Grund empfehlen wir insbesondere für die Administratoren der Hochschulen, mehr als ein Token zu registrieren (z. B. ein YubiKey + ein TOTP-Token auf dem SmartPhone oder ein TOTP-Token auf dem Smartphone und eins auf dem Tablet). Administratoren können Benutzern im Notfall verlorene Tokens entfernen, so dass diese wieder nur mit dem Benutzernamen und dem Passwort ein neues Token hinterlege können. ===== Registrieren eines YubiKeys ===== Deutlich einfacher gestaltet sich die Registrierung eins YubiKeys. Hier ist keine Installation einer App auf dem Handy etc. erforderlich. Stattdessen brauchen Sie nur den YubiKey in eine USB-Schnittstelle Ihres Rechners zu stecken. Wenn Sie den Key das erste Mal mit Ihrem Rechner verbinden sollten Sie kurz abwarten bis Windows ihn erkannt und eventuell fehlende Treiber automatisch nachinstalliert hat. Das sollte nach maximal einer Minute sicher erledigt sein. Danach Klicken Sie in der kdvtfa auf den Button YubiKey. Danach sehen Sie die folgende Ansicht. {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.52.10.png?700}} Eine Beschreibung ist hier nur dann sinnvoll, wenn Sie mehrere YubiKeys besitzen. Klicken Sie mit der Maus in das Feld OTP und drücken Sie einmal auf den Button Ihres YubiKeys und klicken Sie, falls erforderlich, auf den Button Anlegen. Anschließend ist der Key mit Ihrem Account verbunden und kann für die Anmeldung an HISinOne verwendet werden. ===== Welche YubiKeys werden unterstützt?===== Getestet wurde die Anwendung mit zwei Yubico YubiKey 5 NFC. Grundsätzlich unterstützt werden alle Keys der YubiKey 5 Serie1 (YubiKey 5 NFC, YubiKey 5 NANO, YubiKey 5C, YubiKey 5C NANO und YubiKey 5Ci) und der YubiKey FIPS Serie2 (YubiKey FIPS, YubiKey NANO FIPS, YubiKey C FIPS und YubiKey C NANO FIPS). [[https://www.yubico.com/products/compare-yubikey-5-series/]] [[https://www.yubico.com/products/compare-yubikey-fips/]] {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.52.54.png?700}} Ebenfalls kompatibel aber nicht mehr beim Hersteller erhältlich sind die YubiKeys der YubiKey 4 Serie. {{enduser:kdvtfa:bildschirmfoto_2021-07-13_um_14.53.22.png?700}} __**Nicht geeignet**__ sind der **Yubico Security Key** und der **Yubico Security Key NFC**. Sie unterstützen kein OTP. Beide sind gut am blauen Gehäuse erkennbar.