SAP Token: Difference between revisions
Ulrich.Klein (talk | contribs) No edit summary |
Ulrich.Klein (talk | contribs) |
||
| (2 intermediate revisions by the same user not shown) | |||
| Line 10: | Line 10: | ||
Mögliche zweite Faktoren sind z. B. eine TAN-Liste, eine SMS-TAN oder ein TAN-Generator. Sinnvollerweise wird dieser zweite Faktor auf einem separaten Gerät erzeugt, ist vor fremdem Zugriff geschützt und nicht kopierbar. |
Mögliche zweite Faktoren sind z. B. eine TAN-Liste, eine SMS-TAN oder ein TAN-Generator. Sinnvollerweise wird dieser zweite Faktor auf einem separaten Gerät erzeugt, ist vor fremdem Zugriff geschützt und nicht kopierbar. |
||
Aktueller Stand am KIT |
==== Aktueller Stand am KIT ==== |
||
Das Präsidium des KIT hat beschlossen, eine Zwei-Faktor-Authentifizierung für die SAP-Webportale einzuführen. Grund sind aktuelle Sicherheitsbetrachtungen der SAP-Umgebung, die die Anmeldung mit einem einfachen Passwort nicht länger als sicher bewerten. Dazu wurden Hardware-Token zum Einsatz als "Zweiter-Faktor" beschafft und können jetzt an die Mitarbeiter ausgegeben werden. Die Einführung der Zwei-Faktor-Authentifizierung für die SAP-Webportale ist für den 13. November geplant. |
Das Präsidium des KIT hat beschlossen, eine Zwei-Faktor-Authentifizierung für die SAP-Webportale einzuführen. Grund sind aktuelle Sicherheitsbetrachtungen der SAP-Umgebung, die die Anmeldung mit einem einfachen Passwort nicht länger als sicher bewerten. Dazu wurden Hardware-Token zum Einsatz als "Zweiter-Faktor" beschafft und können jetzt an die Mitarbeiter ausgegeben werden. Die Einführung der Zwei-Faktor-Authentifizierung für die SAP-Webportale ist für den 13. November geplant. |
||
Technische Umsetzung |
==== Technische Umsetzung ==== |
||
Am KIT wird die Zwei-Faktor-Authentifizierung in den zentralen Single-Sign-On-Dienst (Shibboleth) integriert. Durch diesen Browser-basierten Ansatz können alle Betriebssysteme unterstützt werden, ohne dass eine Software-Installation auf den Endgeräten nötig wäre. |
Am KIT wird die Zwei-Faktor-Authentifizierung in den zentralen Single-Sign-On-Dienst (Shibboleth) integriert. Durch diesen Browser-basierten Ansatz können alle Betriebssysteme unterstützt werden, ohne dass eine Software-Installation auf den Endgeräten nötig wäre. |
||
| Line 59: | Line 61: | ||
Diese Übersicht erreichen Sie auch später jederzeit über https://my.scc.kit.edu/token |
Diese Übersicht erreichen Sie auch später jederzeit über https://my.scc.kit.edu/token |
||
Sie haben an dieser Stelle |
Sie haben an dieser Stelle unter "Neues Token" ein Diensthandy zusätzlich zum Display-Token zu registrieren oder aber eine Backupliste anzulegen und auszudrucken. Wir empfehlen Ihnen, eine dieser Möglichkeiten zu nutzen, um für Fälle wie Defekt oder Verlust eines Tokens vorbereitet zu sein. |
||
=== Ausgabe und Rückgabe der Token === |
=== Ausgabe und Rückgabe der Token === |
||
| Line 67: | Line 69: | ||
Nach Einführung der Zwei-Faktor-Authentifizierung erhalten neue Mitarbeiter ihr Hardware-Token an folgenden Standorten: |
Nach Einführung der Zwei-Faktor-Authentifizierung erhalten neue Mitarbeiter ihr Hardware-Token an folgenden Standorten: |
||
Servicedesk des SCC am Campus Nord |
|||
Servicedesk des SCC am Campus SÜd |
|||
Dort können die Tokens auch bei Austritt aus dem KIT zurückgegeben werden. Die Tokens werden dann, je nach Zustand, weiter verwendet oder entsorgt. |
Dort können die Tokens auch bei Austritt aus dem KIT zurückgegeben werden. Die Tokens werden dann, je nach Zustand, weiter verwendet oder entsorgt. |
||
| Line 74: | Line 76: | ||
Bitte beachten Sie: die Ausgabe eines Hardware-Tokens kann problemlos mit einer Zertifizierung durch die KIT-CA kombiniert werden, damit sparen Sie unnötige Wege. |
Bitte beachten Sie: die Ausgabe eines Hardware-Tokens kann problemlos mit einer Zertifizierung durch die KIT-CA kombiniert werden, damit sparen Sie unnötige Wege. |
||
[[Category: |
[[Category:SAP&SRM-System]] |
||
Latest revision as of 12:25, 24 October 2017
Zwei-Faktor-Authentifizierung (2FA) am KIT
Verschiedene Dienste am KIT haben erhöhte Anforderungen an die IT-Sicherheit, die über eine einfache Anmeldung mit Nutzername und Passwort hinausgehen. Dazu gehören insbesondere das SAP-System und verschiedene VPN-Zugänge.
Was ist eine Zwei-Faktor-Authentifizierung?
Eine Zwei-Faktor-Authentifizierung soll die IT-Sicherheit verbessern, indem die Anmeldung mit Login und Passwort um einen weiteren Faktor erweitert wird. Vor dem Hintergrund erfolgreicher Phishing-Vorfälle sollen so Anwendungen mit besonderem Schutzbedarf zusätzlich abgesichert werden.
Mögliche zweite Faktoren sind z. B. eine TAN-Liste, eine SMS-TAN oder ein TAN-Generator. Sinnvollerweise wird dieser zweite Faktor auf einem separaten Gerät erzeugt, ist vor fremdem Zugriff geschützt und nicht kopierbar.
Aktueller Stand am KIT
Das Präsidium des KIT hat beschlossen, eine Zwei-Faktor-Authentifizierung für die SAP-Webportale einzuführen. Grund sind aktuelle Sicherheitsbetrachtungen der SAP-Umgebung, die die Anmeldung mit einem einfachen Passwort nicht länger als sicher bewerten. Dazu wurden Hardware-Token zum Einsatz als "Zweiter-Faktor" beschafft und können jetzt an die Mitarbeiter ausgegeben werden. Die Einführung der Zwei-Faktor-Authentifizierung für die SAP-Webportale ist für den 13. November geplant.
Technische Umsetzung
Am KIT wird die Zwei-Faktor-Authentifizierung in den zentralen Single-Sign-On-Dienst (Shibboleth) integriert. Durch diesen Browser-basierten Ansatz können alle Betriebssysteme unterstützt werden, ohne dass eine Software-Installation auf den Endgeräten nötig wäre.
Die Zwei-Faktor-Authentifizierung kann später auch auf weitere Dienste ausgeweitet werden, sofern eine Sicherheitsbetrachtung das im konkreten Fall erfordert.
Die am KIT eingesetzten Token
KIT-Token mit Display für Mitarbeiter
Für Mitarbeiter wurden Token mit Display beschafft, die auf Knopfdruck einen 6-stelligen Code zur Anmeldung anzeigen, der nur eine Minute lang gültig ist. Diese Geräte bieten maximale Flexibilität und sind mit allen Betriebssystemen und Geräten einsetzbar. Die KIT-Token sind in blau gehalten und tragen das KIT-Logo.
Ausgedruckte Backup-Liste
Jeder Nutzer der Zwei-Faktor-Authentifizierung hat die Möglichkeit, sich eine Backup-Liste mit TANs auszudrucken, die im Bedarfsfall (Verlust, Defekt,... des regulären Tokens) verwendet werden können. Die Einrichtung einer solchen Liste wird empfohlen, sofern die Liste vor fremdem Zugriff geschützt aufbewahrt wird (z.B. in der Brieftasche oder eingeschlossen im Rollcontainer).
Tokenverwaltung
Jeder Mitarbeiter am KIT erhält ein unpersonalisiertes KIT-Token mit Display, das auf Knopfdruck einen vorübergehend gültigen Wert anzeigt, der im Rahmen der Zwei-Faktor-Authentifizierung verwendet wird.
Dieses Token muss im ersten Schritt mit dem persönlichen KIT-Konto verknüpft werden.
Sobald Sie ein erstes Token registriert haben, kann die Tokenverwaltung nicht mehr ohne Token aufgerufen werden.
Die Verknüpfung erfolgt unter https://my.scc.kit.edu/token/register
Nach der Anmeldung mit Ihrem persönlichen KIT-Konto wird der Dialog "Neues Token verknüpfen" angezeigt. Geben Sie im Feld Seriennummer bitte die letzten sechs Stellen der Seriennummer ein. Diese finden Sie auf der Rückseites des Tokens.
Nach einem Klick auf "weiter" wird im nächsten Dialog der aktuelle Wert des Tokens abgefragt. Drehen Sie das Token so, dass sich der Knopf links vom Display befindet
und drücken Sie den Knopf.
Geben Sie als nächstes den angezeigten gültigen Wert (im Beispiel 464230) in das Feld "Aktueller Tokencode" ein und klicken Sie auf "Token bestätigen". Bitte beachten Sie, dass dieser Wert nur eine Minute lang gültig ist. Anschließend werden die eingegebenen Daten überprüft und anschließend die Verknüpfung durchgeführt. Sie werden zur "Tokenübersicht" weitergeleitet.
Diese Übersicht erreichen Sie auch später jederzeit über https://my.scc.kit.edu/token
Sie haben an dieser Stelle unter "Neues Token" ein Diensthandy zusätzlich zum Display-Token zu registrieren oder aber eine Backupliste anzulegen und auszudrucken. Wir empfehlen Ihnen, eine dieser Möglichkeiten zu nutzen, um für Fälle wie Defekt oder Verlust eines Tokens vorbereitet zu sein.
Ausgabe und Rückgabe der Token
In der Einführungsphase organisiert das SCC die Verteilung der Hardware-Tokens und verteilt diese mit Unterstützung durch die Organisationseinheiten an die Mitarbeiter.
Nach Einführung der Zwei-Faktor-Authentifizierung erhalten neue Mitarbeiter ihr Hardware-Token an folgenden Standorten:
Servicedesk des SCC am Campus Nord Servicedesk des SCC am Campus SÜd
Dort können die Tokens auch bei Austritt aus dem KIT zurückgegeben werden. Die Tokens werden dann, je nach Zustand, weiter verwendet oder entsorgt.
Bitte beachten Sie: die Ausgabe eines Hardware-Tokens kann problemlos mit einer Zertifizierung durch die KIT-CA kombiniert werden, damit sparen Sie unnötige Wege.
