Verwendung von EduMFA an der OTH Regensburg

Im Zuge der Einführung von EduVPN wird EduMFA als zusätzliche Absicherung des Shibboleth-Dienstes der OTH-Regensburg eingeführt. Dies bedeutet, dass für die Verwendung von an Shibboleth angebunde Dienste, wie z.B. ELO, EduVPN, zukünftig ein zweiter Faktor bei der Anmeldung notwendig ist.

Aktuell befindet sich EduMFA in der Testphase und kann freiwillig genutzt werden.

Das Anlegen, Verwalten und Löschen von zusätzlichen Faktor erfolgt über die nachfolgende Seite:

MFA-Verwaltung des Shibboleth-Dienstes

Es stehen mehrere Varianten zur Realisierung der MFA zur Verfügung. Zum Beispiel kann die Authentisierung über Windows-Hello erfolgen, über ein TOTP-Token mit Hilfe einer Authenticator-App erfolgen oder durch ein Hardwaretoken wie zum Beispiel einem Yubikey erfolgen. Grundsätzlich wird nur eine der Varianten für eine erfolgreiche Authentisierung benötigt, jedoch können auch mehrere Varianten gleichzeitig in der MFA-Verwaltung hinterlegt werden. Welche der hinterlegten Varianten genutzt wird kann der Nutzer während dem Anmeldeprozess schlussendlich selbst auswählen.

Um einen neuen Passkey hinzuzufügen muss zunächst auf der linken Seite auf Token ausrollen geklickt werden (siehe Schritt 1 im Bild oberhalb). Anschließend muss WebAuthn: Enroll a Web Authentication token ausgewählt werden (siehe Schritt 2). Unter Beschreibung sollte dann ein sinnvoller Text eingegeben werden, z.B. „Windows-Hello“ (Schritt 3). Nach einem Klick auf Token ausrollen (Schritt 4), öffnet sich ein Fenster, welches einen auffordert den Hauptschlüssel auszuwählen.

Weiter klicken

Danach die Windows-Hello Anmeldeinformationen replizieren, also z.B. den Anweisungen folgen und in die die Kamera blicken. Danach auf Ok klicken und der Passkey ist zur Nutzung mit EduMFA für Shibboleth bereit.

Um ein sogenanntes Time-based one-time password (TOTP)-Token zu nutzen, kann jede gänige Authenticator-App wie z.B. Microsoft Authenticator oder Google Authenticator, genutzt werden. Diese stehen kostenlos im jeweiligen App-Portal für iOS und Android zur Verfügung.

Zur Erstellung eines neuen Tokens muss zunächst auf der linken Seite auf Token ausrollen geklickt werden (siehe Schritt 1 im Bild unterhalb). Anschließend muss TOTP: Zeitbasiertes Einmalpasswort ausgewählt werden (siehe Schritt 2). Unter Beschreibung sollte dann ein sinnvoller Text eingegeben werden, z.B. „TOTP Microsoft Authenticator“ (Schritt 3). Nach einem Klick auf Token ausrollen (Schritt 4), wird ein QR-Code angezeigt, der mit der Authenticator-App eingelesen werden muss um die Einrichtung abzuschließen.

Grundsätzlich müssten alle Hardwaretoken mit EduMFA nutzbar sein, aktuell ist jedoch von Seiten des ITZ nur der Yubikey vorgesehen und auch getestet.

Um einen neuen Yubikey hinzuzufügen muss zunächst auf der linken Seite auf Token ausrollen geklickt werden (siehe Schritt 1 im Bild unterhalb). Anschließend muss WebAuthn: Enroll a Web Authentication token ausgewählt werden (siehe Schritt 2). Unter Beschreibung sollte dann ein sinnvoller Text eingegeben werden, z.B. „Yubikey Eins“ (Schritt 3). Nach einem Klick auf Token ausrollen (Schritt 4), öffnet sich ein Fenster, welches einen auffordern wird den selbstvergebenen Pin für den Yubikey einzugeben und per „Klick“ auf den Yubikey zu bestätigen. Danach ist der Yubikey zur Nutzung mit EduMFA für Shibboleth bereit.

Authentisierung Authentisierung

Um ein MFA-Token zu Verwalten bzw. zu Löschen muss zunächst in der allgemeinen MFA-Verwaltung Alle Token ausgewählt werden (siehe Schritt 1 im Bild unterhalb). Anschließend kann im Reiter Seriennummer mit einem Klick auf die Seriennummer des Tokens das entsprechende Token ausgewählt werden (siehe Schritt 2).

Nachdem ein Token ausgewählt wurde, werden die Details des Tokens dargestellt sowie verschiedene Möglichkeiten zur Bearbeitung angeboten (siehe Bild unterhalb). Hierzu zählen:

• Löschen: Mit Löschen kann das MFA-Token komplett entfernt werden und steht im Anschluss nicht mehr zur Verfügung
• Deaktivieren: Wird ein Token deaktiviert steht es nicht mehr zur MFA zur Verfügung bis es wieder aktiviert wird.
• Widerrufen: Durch Widerrufen wird die aktuelle durch dieses Token authentisierte Session beendet und bei einer erneuten Anmeldung an Shibboleth muss wieder eine MFA durchgeführt werden.
• Bearbeiten: Mit Bearbeiten kann die Beschreibung des Tokens geändert werden.

Sobald ein MFA-Token hinzugefügt wurde, wird dies bei der nächsten Anmeldung an einem Shibboleth-Dienst abgefragt. Die Abfrage des MFA-Token findet dabei im Anschluss an die Eingabe von Benutzerkennung und Passwort in der bekannten Shibboleth-Anmeldemaske statt und sieht, je nach hinzugefügtem Token, ähnlich dem unstehenden Bild aus. In diesem Beispiel wurde sowohl ein Yubikey als Hardware-Token sowie ein TOTP-Token gekoppelt an einen Microsoft Authenticator hinterlegt. Zur erfolgreichen Authentisierung ist jedoch nur eines der hinterlegten Token notwendig.

Möchte man beispielhaft den Yubikey zur Authentisierung nutzen muss hierzu auf Validierung WebAuthn-Token geklickt werden. Anschließen öffnet sich im Browser ein kleines Eingabefenster zur Abfrage der Pin für den Yubikey (siehe unten). Um die Anmeldung abzuschließen muss die Eingabe noch durch eine Berührung des Yubikey bestätigt werden.

Soll zur Authentisierung ein TOTP-Token genutzt werden muss das in der Authenticator App angezeigte One-time Passwort im Eingabefeld oberhalb des Buttons Überprüfen eingegeben werden. Anschließend kann die Eingabe mit einem Klick auf Überprüfen bestätigt und so die Anmeldung abgeschlossen werden..

Wurde die Authentisierung erfolgreich durchgeführt ist die Anmeldung an Shibboleth abgeschlossen und der dahinterliegende Dienst kann genutzt werden.