Einrichten der Multifaktor-Authentifizierung für Attestierungen

Einrichten der Multifaktor-Authentifizierung für Attestierungen

Für bestimmte sicherheitskritische Attestierungen kann eine zusätzliche Authentifizierung eingerichtet werden. Dabei muss jeder Attestierer bei der Attestierung einen Sicherheitscode eingeben. Welche Attestierungsrichtlinien diese Authentifizierung benötigen, legen Sie an der Attestierungsrichtlinien fest. Für die Multifaktor-Authentifizierung nutzt der One Identity Manager One Identity Starling Two-Factor Authentication.

Um die Multifaktor-Authentifizierung nutzen zu können

1. Registrieren Sie Ihr Unternehmen bei Starling Two-Factor Authentication.

   Ausführliche Informationen entnehmen Sie der Starling Two-Factor Authentication Dokumentation.

2. Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\Defender".
   • Aktivieren Sie den Konfigurationsparameter "QER\Person\Defender\ApiKey" und erfassen Sie als Wert den Abonnementschlüssel Ihres Unternehmens zum Zugriff auf die Starling Two-Factor Authentication Schnittstelle.
3. Aktivieren Sie für die Tabelle PersonHasQERResource die Zuweisung per Ereignis. Weitere Informationen finden Sie unter Tabelleneigenschaften bearbeiten.
4. Aktivieren Sie im Manager die Leistungsposition "Neues Starling 2FA Token". Weitere Informationen finden Sie unter Bestellung des Starling 2FA Tokens vorbereiten.
5. Aktivieren Sie im Manager an den Attestierungsrichtlinien, für welche die Multifaktor-Authentifizierung genutzt werden soll, die Option Entscheidung durch Multifaktor Authentifizierung. Weitere Informationen finden Sie unter Allgemeine Stammdaten einer Attestierungsrichtlinie.

   Für Standard-Attestierungsrichtlinien kann die Multifaktor-Authentifizierung nicht genutzt werden.

Wenn sich die Telefonnummer des Benutzers geändert hat, bestellen Sie den aktuellen Starling 2FA Token ab und bestellen Sie ihn erneut. Wenn der Starling 2FA Token nicht mehr benötigt wird, bestellen Sie ihn ebenfalls ab.

Sobald an einer Attestierungsrichtlinie die Option "Entscheidung durch Multifaktor Authentifizierung" aktiviert ist, wird in jedem Entscheidungsschritt des Genehmigungsverfahrens ein Sicherheitscode angefordert. Das heißt, jede Person, die als Attestierer für diese Attestierungsrichtlinie ermittelt wird, muss ein Starling 2FA Token besitzen.

Verwandte Themen

• Attestierung per E-Mail

Ausführliche Informationen

• zur Bestellung des Starling 2FA Tokens,
• zur Multifaktor-Authentifizierung bei Attestierungen,
• zum Abbestellen von Produkten

finden Sie im One Identity Manager Anwenderhandbuch für das Web Portal.

Tabelleneigenschaften bearbeiten

Um die Zuweisung per Ereignis für eine Tabelle zu aktivieren

1. Wählen Sie im Designer die Kategorie One Identity Manager Schema.
2. Wählen Sie die Tabelle PersonHasQERResource und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.
3. Wählen Sie die Ansicht Tabelleneigenschaften | Tabelle und aktivieren Sie die Option Zuweisung per Ereignis.
4. Speichern Sie die Änderungen.

Ausführliche Informationen zur Bearbeitung von Tabellendefinitionen finden Sie im One Identity Manager Konfigurationshandbuch.

Bestellung des Starling 2FA Tokens vorbereiten

Bestellung des Starling 2FA Tokens vorbereiten

Damit ein One Identity Manager Benutzer die Multifaktor-Authentifizierung nutzen kann, muss er bei Starling Two-Factor Authentication registriert sein. Um sich zu registrieren, bestellt der Benutzer im Web Portal das Starling 2FA Token. Sobald die Bestellung genehmigt ist, erhält er einen Link zur Starling Two-Factor Authentication App und eine Starling 2FA Benutzerkennung. Mit der App können die Sicherheitscodes generiert werden, die für die Authentifizierung benötigt werden. Die Starling 2FA Benutzerkennung wird in den Personenstammdaten des Benutzers gespeichert.

Um die Bestellung des Starling 2FA Tokens zu ermöglichen

1. Wählen Sie die Kategorie IT Shop | Servicekatalog | Vordefiniert.
2. Wählen Sie in der Ergebnisliste Neues Starling 2FA Token.
3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
4. Deaktivieren Sie Nicht bestellbar.
5. Speichern Sie die Änderungen.

Die Bestellung des Starling 2FA Tokens muss durch den Manager des Empfängers der Bestellung genehmigt werden.

Sicherheitscode anfordern

Sicherheitscode anfordern

Wenn für eine Attestierung der Sicherheitscode angefordert wird, entscheidet der Benutzer, auf welchem Weg der Sicherheitscode zugestellt wird. Folgende Möglichkeiten können genutzt werden:

• Über die Starling 2FA App
• Per SMS
• Per Telefonanruf

Standardmäßig wird Starling 2FA gezwungen den Sicherheitscode per SMS oder Telefonanruf zu senden, wenn der Benutzer eine dieser Optionen ausgewählt hat. Aus Sicherheitsgründen sollte der Benutzer jedoch die Starling 2FA App nutzen, um den Sicherheitscode zu generieren. Wenn die App auf dem Mobiltelefon des Benutzers installiert ist, kann Starling 2FA die Anforderung von SMS oder Telefonanruf zurückweisen. Der Benutzer muss dann den Sicherheitscode über die App generieren.

Um dieses Verhalten zu nutzen

• Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\Defender\DisableForceParameter".

  Starling 2FA kann die Übermittlung des Sicherheitscodes per SMS oder Telefonanruf zurückweisen, wenn auf dem Mobiltelefon die Starling 2FA App installiert ist. Der Sicherheitscode muss dann über die App generiert werden.

Wenn der Konfigurationsparameter deaktiviert ist (Standard), wird Starling 2FA gezwungen, den Sicherheitscode per SMS oder Telefonanruf zu senden.