Zwei-Faktor-Authentisierung (Benutzer)
Hier können Sie eine Zwei-Faktor-Authentisierung (2FA) für diesen Benutzer einrichten. Sie benötigen eine Lizenz für diese Funktionalität.
Damit fügen Sie eine zweite Sicherheitsstufe, zusätzlich zu Ihrer Anmeldung mit Ihren eigenen Zugangsdaten ein. Dabei verwenden Sie eine externe Applikation (z. B. auf Ihrem Smartphone), die Ihnen einen Code liefert, den Sie dann bei der Anmeldung nach der Eingabe Ihrer Zugangsdaten eingeben.
Damit dieses Zusammenspiel zwischen Lobster Integration und der externen Applikation funktioniert, müssen Sie einmalig eine Verknüpfung zwischen Lobster Integration und dieser externen Applikation herstellen. Das funktioniert über den Austausch eines Shared Keys (mehr dazu weiter unten). Es ist dabei keine Verbindung zwischen Lobster Integration und der externen Applikation notwendig. Die spätere Generierung des Codes in der externen Applikation und die Überprüfung des Codes in Lobster Integration basiert auf mathematischen Algorithmen.
Generelle Aktivierung
Zur generellen Aktivierung muss folgender Abschnitt in der Konfigurationsdatei ./etc/startup.xml eingetragen/aktiv sein im entsprechenden Abschnitt für Lobster Integration (DataWizard) oder/und DataCockpit (WebMonitor). Mögliche Werte: optional, mandatory, disabled.
<Set name="TFAHandling">optional</Set>Handler aktivieren
Als nächstes muss in der Konfigurationsdatei ./etc/auth.xml ein Handler und ein Gerät (Device) eingetragen/aktiviert werden. Hinweis: Sie können mehrere DeviceTemplates eintragen.
<!DOCTYPE Configure PUBLIC "-//Lobster//DTD Configure 1.0//EN" "http://www.lobster.de/dtd/configure_1_1.dtd"><Configure class="com.ebd.hub.services.auth.AuthenticationService">... <!-- add allowed two factor authentication handlers --> <Call name="addTFAHandler"> <Arg>com.ebd.hub.services.auth.tfa.otpauth.TOTPHandler</Arg> <Call name="addDeviceTemplate"> <Arg>GoogleAuthenticator</Arg> <Arg>3</Arg> <Arg>30</Arg> <Arg>6</Arg> <Arg>HmacSHA512</Arg> </Call> <Call name="addDeviceTemplate"> <Arg>MicrosoftAuthenticator</Arg> <Arg>3</Arg> <Arg>30</Arg> <Arg>6</Arg> <Arg>HmacSHA512</Arg> </Call> </Call></Configure>|
Parameter |
Beispiel-Wert |
Erlaubte Werte |
Hinweise |
|
Art des Handlers |
com.ebd.hub.services.auth.tfa.otpauth.TOTPHandler |
com.ebd.hub.services.auth.tfa.otpauth.TOTPHandler (com.ebd.hub.services.auth.tfa.otpauth.HOTPHandler) |
Siehe TOTP. Wichtiger Hinweis: Die Zeitzone muss auf dem Integration Server und in der externen Applikation identisch sein, sonst funktioniert es nicht! Stellen Sie also die Zeitzone z. B. auf Ihrem Handy auf die Zeitzone des Integration Servers. Hinweis: Es wäre möglich einen HOTP-Handler zu verwenden. Dann bitte mit der unten beschriebenen vereinfachten Konfiguration. Allerdings nur in Kombination mit dem Google Authenticator. Zudem ist dort in der App die Bedienung suboptimal. Wir empfehlen generell die Verwendung des TOTP-Handlers. |
|
Alias |
GoogleAuthenticator MicrosoftAuthenticator |
|
Frei wählbar. Sinnvollerweise wird hier der Name der externen Applikation (Gerät) verwendet, für die Sie sich entschieden haben, also hier z. B. der Google Authenticator, z. B. auf Ihrem Smartphone. Hinweis: Die momentan erlaubten Apps für den TOTP-Handler sind Google Authenticator, Authy und Microsoft Authenticator. |
|
Erlaubte Login-Versuche |
3 |
|
Wird diese Anzahl überschritten, erfolgt eine Sperrung. |
|
Frequenz Code-Erzeugung |
30 |
|
In Sekunden. |
|
Länge des Codes |
6 |
|
|
|
Algorithmus |
HmacSHA1 |
HmacSHA1, HmacSHA256, HmacSHA512 |
|
Das Beispiel oben zeigt eine Konfiguration mit expliziten Parametern, Sie können aber auch eine vereinfachte Konfiguration verwenden, dann werden die Default-Werte wie oben im Beispiel gezeigt verwendet.
<Call name="addTFAHandler"> <Arg>com.ebd.hub.services.auth.tfa.otpauth.TOTPHandler</Arg> <Call name="addDeviceTemplate"> <Arg>GoogleAuthenticator</Arg> </Call></Call>Externe Applikation in GUI registrieren und aktivieren
(1) Wählen Sie über das Kontextmenü ein registriertes Gerät (externe Applikation) aus (Geräte stammen aus den Handler-Einträgen).
(2) Den Master Key benötigen Sie (falls Sie kein Administrator sind), um die 2FA wieder zu deaktivieren. Wichtiger Hinweis: Wenn es Probleme mit der 2FA-Anmeldung gibt und ein Benutzer ausgesperrt ist, dann verwenden Sie bitte einen anderen Benutzer mit Admin-Rechten, um 2FA für den ausgesperrten Benutzer wieder zu deaktivieren.
(3) Klicken Sie anschließend hier.
(4) Scannen Sie entweder diesen QR-Code in Ihrer externen Applikation ein. Hinweis: Wenn Sie also z. B. mit der Google Authenticator App auf Ihrem Smartphone diesen Code einscannen, haben Sie die einmalige Verknüpfung zwischen Lobster Integration und Ihrer Google Authenticator App (über den Shared Key) hergestellt.
(5) Alternativ zu (4), können Sie diese Werte manuell in Ihrer Applikation eingeben.
(6) Klicken Sie anschließend hier. Das in Lobster Integration für diesen Benutzer registrierte Gerät und die externe Applikation haben nun den selben Shared Key.
(7) Wenn alle vorherigen Schritte ausgeführt wurden, können Sie nun ein registriertes Gerät zum aktiven Gerät machen. Nachdem Sie gespeichert haben, ist die Zwei-Faktor-Authentifizierung aktiv für diesen Benutzer. Wenn Sie sich nun mit diesem Benutzer am Lobster Integration anmelden, dann geben Sie zuerst Ihre normalen Zugangsdaten ein. Danach werden Sie aufgefordert einen Code einzugeben. Dann starten Sie z. B. Ihre Google Authenticator App auf Ihrem Smartphone, lesen den Code (der erzeugt wird mit dem Shared Key und dem TOTP-Verfahren) ab und tippen ihn im Lobster-Integration-Anmelde-Dialog ein (wo er überprüft wird mit dem Shared Key und dem TOTP-Verfahren).