Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
rz:edumfa:anleitung [05.12.2025 09:38] lim39960rz:edumfa:anleitung [01.07.2026 12:15] (aktuell) kac40082
Zeile 17: Zeile 17:
 === (Variante 1) - Hinzufügen eines Passkeys, wie Windows-Hello=== === (Variante 1) - Hinzufügen eines Passkeys, wie Windows-Hello===
  
-{{ :rz:edumfa:yubikeyenrollment.jpg?direct&1000 |}}+ 
 +{{ :public:sonstiges:yubikeyenrollment.jpg?direct&1000 |}} 
  
 Um einen neuen Passkey hinzuzufügen muss zunächst auf der linken Seite auf **Token ausrollen** geklickt werden (siehe Schritt 1 im Bild oberhalb). Anschließend muss **WebAuthn: Enroll a Web Authentication token** ausgewählt werden (siehe Schritt 2). Unter Beschreibung sollte dann ein sinnvoller Text eingegeben werden, z.B. "Windows-Hello" (Schritt 3). Nach einem Klick auf **Token ausrollen** (Schritt 4), öffnet sich ein Fenster, welches einen auffordert den Hauptschlüssel auszuwählen.  Um einen neuen Passkey hinzuzufügen muss zunächst auf der linken Seite auf **Token ausrollen** geklickt werden (siehe Schritt 1 im Bild oberhalb). Anschließend muss **WebAuthn: Enroll a Web Authentication token** ausgewählt werden (siehe Schritt 2). Unter Beschreibung sollte dann ein sinnvoller Text eingegeben werden, z.B. "Windows-Hello" (Schritt 3). Nach einem Klick auf **Token ausrollen** (Schritt 4), öffnet sich ein Fenster, welches einen auffordert den Hauptschlüssel auszuwählen. 
  
-{{ :rz:edumfa:hauptschlüssel_auszuwählen.png?direct&500 |}}+ 
 +{{ :public:sonstiges:hauptschluessel_auszuwaehlen.png?direct&500 |}} 
  
 <nowiki> <nowiki>
Zeile 29: Zeile 33:
 Danach die Windows-Hello Anmeldeinformationen replizieren, also z.B. den Anweisungen folgen und in die die Kamera blicken. Danach auf Ok klicken und der Passkey ist zur Nutzung mit EduMFA für Shibboleth bereit. Danach die Windows-Hello Anmeldeinformationen replizieren, also z.B. den Anweisungen folgen und in die die Kamera blicken. Danach auf Ok klicken und der Passkey ist zur Nutzung mit EduMFA für Shibboleth bereit.
  
-{{ :rz:edumfa:windows-hello_anmeldeinformationen.png?direct&500 |}}+{{ :public:sonstiges:windows-hello_anmeldeinformationen.png?direct&500 |}}
  
 === (Variante 2) - Hinzufügen einer Authenticator-App === === (Variante 2) - Hinzufügen einer Authenticator-App ===
Zeile 37: Zeile 41:
 Zur Erstellung eines neuen Tokens muss zunächst auf der linken Seite auf **Token ausrollen** geklickt werden (siehe Schritt 1 im Bild unterhalb). Anschließend muss **TOTP: Zeitbasiertes Einmalpasswort** ausgewählt werden (siehe Schritt 2). Unter Beschreibung sollte dann ein sinnvoller Text eingegeben werden, z.B. "TOTP Microsoft Authenticator" (Schritt 3). Nach einem Klick auf **Token ausrollen** (Schritt 4), wird ein QR-Code angezeigt, der mit der Authenticator-App eingelesen werden muss um die Einrichtung abzuschließen. Zur Erstellung eines neuen Tokens muss zunächst auf der linken Seite auf **Token ausrollen** geklickt werden (siehe Schritt 1 im Bild unterhalb). Anschließend muss **TOTP: Zeitbasiertes Einmalpasswort** ausgewählt werden (siehe Schritt 2). Unter Beschreibung sollte dann ein sinnvoller Text eingegeben werden, z.B. "TOTP Microsoft Authenticator" (Schritt 3). Nach einem Klick auf **Token ausrollen** (Schritt 4), wird ein QR-Code angezeigt, der mit der Authenticator-App eingelesen werden muss um die Einrichtung abzuschließen.
  
-{{ :rz:edumfa:totp.jpg?direct&1000 |}}+ 
 +{{ :public:sonstiges:totp.jpg?direct&1000 |}} 
  
  
Zeile 47: Zeile 53:
  
  
-{{ :rz:edumfa:yubikeyenrollment.jpg?direct&1000 |}}+ 
 +{{ :public:sonstiges:yubikeyenrollment_1_.jpg?direct&1000 |}} 
 Authentisierung Authentisierung  Authentisierung Authentisierung 
 ==== Verwalten und Löschen eines MFA-Tokens ==== ==== Verwalten und Löschen eines MFA-Tokens ====
Zeile 53: Zeile 61:
 Um ein MFA-Token zu Verwalten bzw. zu Löschen muss zunächst in der allgemeinen MFA-Verwaltung **Alle Token** ausgewählt werden (siehe Schritt 1 im Bild unterhalb). Anschließend kann im Reiter Seriennummer mit einem Klick auf die Seriennummer des Tokens das entsprechende Token ausgewählt werden (siehe Schritt 2). Um ein MFA-Token zu Verwalten bzw. zu Löschen muss zunächst in der allgemeinen MFA-Verwaltung **Alle Token** ausgewählt werden (siehe Schritt 1 im Bild unterhalb). Anschließend kann im Reiter Seriennummer mit einem Klick auf die Seriennummer des Tokens das entsprechende Token ausgewählt werden (siehe Schritt 2).
  
-{{ :rz:edumfa:tokenverwaltung.jpg?direct&1000 |}}+ 
 +{{ :public:sonstiges:tokenverwaltung.jpg?direct&1000 |}} 
  
 Nachdem ein Token ausgewählt wurde, werden die Details des Tokens dargestellt sowie verschiedene Möglichkeiten zur Bearbeitung angeboten (siehe Bild unterhalb). Hierzu zählen: Nachdem ein Token ausgewählt wurde, werden die Details des Tokens dargestellt sowie verschiedene Möglichkeiten zur Bearbeitung angeboten (siehe Bild unterhalb). Hierzu zählen:
Zeile 62: Zeile 72:
   * **Bearbeiten:** Mit Bearbeiten kann die Beschreibung des Tokens geändert werden.   * **Bearbeiten:** Mit Bearbeiten kann die Beschreibung des Tokens geändert werden.
  
-{{ :rz:edumfa:totp-token-verwaltung.jpg?direct&1000 |}}+ 
 +{{ :public:sonstiges:totp-token-verwaltung.jpg?direct&1000 |}} 
  
 ===== Verwendung von MFA-Tokens bei der Anmeldung ===== ===== Verwendung von MFA-Tokens bei der Anmeldung =====
Zeile 68: Zeile 80:
 Sobald ein MFA-Token hinzugefügt wurde, wird dies bei der nächsten Anmeldung an einem Shibboleth-Dienst abgefragt. Die Abfrage des MFA-Token findet dabei im Anschluss an die Eingabe von Benutzerkennung und Passwort in der bekannten Shibboleth-Anmeldemaske statt und sieht, je nach hinzugefügtem Token, ähnlich dem unstehenden Bild aus. In diesem Beispiel wurde sowohl ein Yubikey als Hardware-Token sowie ein TOTP-Token gekoppelt an einen Microsoft Authenticator hinterlegt. Zur erfolgreichen Authentisierung ist jedoch nur eines der hinterlegten Token notwendig.  Sobald ein MFA-Token hinzugefügt wurde, wird dies bei der nächsten Anmeldung an einem Shibboleth-Dienst abgefragt. Die Abfrage des MFA-Token findet dabei im Anschluss an die Eingabe von Benutzerkennung und Passwort in der bekannten Shibboleth-Anmeldemaske statt und sieht, je nach hinzugefügtem Token, ähnlich dem unstehenden Bild aus. In diesem Beispiel wurde sowohl ein Yubikey als Hardware-Token sowie ein TOTP-Token gekoppelt an einen Microsoft Authenticator hinterlegt. Zur erfolgreichen Authentisierung ist jedoch nur eines der hinterlegten Token notwendig. 
  
-{{ :rz:edumfa:anmeldung-mit-token.jpg?direct&600 |}}+ 
 +{{ :public:sonstiges:anmeldung-mit-token.jpg?direct&600 |}} 
  
 Möchte man beispielhaft den **Yubikey** zur Authentisierung nutzen muss hierzu auf **Validierung WebAuthn-Token** geklickt werden. Anschließen öffnet sich im Browser ein kleines Eingabefenster zur Abfrage der Pin für den Yubikey (siehe unten). Um die Anmeldung abzuschließen muss die Eingabe noch durch eine Berührung des Yubikey bestätigt werden. Möchte man beispielhaft den **Yubikey** zur Authentisierung nutzen muss hierzu auf **Validierung WebAuthn-Token** geklickt werden. Anschließen öffnet sich im Browser ein kleines Eingabefenster zur Abfrage der Pin für den Yubikey (siehe unten). Um die Anmeldung abzuschließen muss die Eingabe noch durch eine Berührung des Yubikey bestätigt werden.
  
-{{ :rz:edumfa:yubikeyabfrage.jpg?direct&600 |}}+ 
 +{{ :public:sonstiges:yubikeyabfrage.jpg?direct&600 |}} 
  
 Soll zur Authentisierung ein TOTP-Token genutzt werden muss das in der Authenticator App angezeigte **One-time Passwort** im Eingabefeld oberhalb des Buttons Überprüfen eingegeben werden. Anschließend kann die Eingabe mit einem Klick auf **Überprüfen** bestätigt und so die Anmeldung abgeschlossen werden..  Soll zur Authentisierung ein TOTP-Token genutzt werden muss das in der Authenticator App angezeigte **One-time Passwort** im Eingabefeld oberhalb des Buttons Überprüfen eingegeben werden. Anschließend kann die Eingabe mit einem Klick auf **Überprüfen** bestätigt und so die Anmeldung abgeschlossen werden.. 
  
 Wurde die Authentisierung erfolgreich durchgeführt ist die Anmeldung an Shibboleth abgeschlossen und der dahinterliegende Dienst kann genutzt werden. Wurde die Authentisierung erfolgreich durchgeführt ist die Anmeldung an Shibboleth abgeschlossen und der dahinterliegende Dienst kann genutzt werden.
 +