SAP Token: Difference between revisions
Ulrich.Klein (talk | contribs) (Created page with "[[{{PAGENAME}}/english|English version]] == Zwei-Faktor-Authentifizierung (2FA) am KIT == Verschiedene Dienste am KIT haben erhöhte Anforderungen an die IT-Sicherheit, die ...") |
Ulrich.Klein (talk | contribs) No edit summary |
||
| Line 32: | Line 32: | ||
=== Tokenverwaltung === |
=== Tokenverwaltung === |
||
| ⚫ | |||
Einrichtung eines KIT-Tokens mit Display |
|||
Jeder Mitarbeiter am KIT erhält ein unpersonalisiertes KIT-Token mit Display, das auf Knopfdruck einen vorübergehend gültigen Wert anzeigt, der im Rahmen der Zwei-Faktor-Authentifizierung verwendet wird. |
Jeder Mitarbeiter am KIT erhält ein unpersonalisiertes KIT-Token mit Display, das auf Knopfdruck einen vorübergehend gültigen Wert anzeigt, der im Rahmen der Zwei-Faktor-Authentifizierung verwendet wird. |
||
Dieses Token muss im ersten Schritt mit dem persönlichen KIT-Konto verknüpft werden. |
Dieses Token muss im ersten Schritt mit dem persönlichen KIT-Konto verknüpft werden. |
||
| ⚫ | |||
Die Verknüpfung erfolgt unter https://my.scc.kit.edu/token/register |
Die Verknüpfung erfolgt unter https://my.scc.kit.edu/token/register |
||
| Line 45: | Line 43: | ||
Nach der Anmeldung mit Ihrem persönlichen KIT-Konto wird der Dialog "Neues Token verknüpfen" angezeigt. Geben Sie im Feld Seriennummer bitte die letzten sechs Stellen der Seriennummer ein. Diese finden Sie auf der Rückseites des Tokens. |
Nach der Anmeldung mit Ihrem persönlichen KIT-Konto wird der Dialog "Neues Token verknüpfen" angezeigt. Geben Sie im Feld Seriennummer bitte die letzten sechs Stellen der Seriennummer ein. Diese finden Sie auf der Rückseites des Tokens. |
||
[[File:Token_Seriennummer]] |
|||
Beispiel Seriennummer |
|||
Nach einem Klick auf "weiter" wird im nächsten Dialog der aktuelle Wert des Tokens abgefragt. Drehen Sie das Token so, dass sich der Knopf links vom Display befindet |
Nach einem Klick auf "weiter" wird im nächsten Dialog der aktuelle Wert des Tokens abgefragt. Drehen Sie das Token so, dass sich der Knopf links vom Display befindet |
||
Revision as of 14:10, 23 October 2017
Zwei-Faktor-Authentifizierung (2FA) am KIT
Verschiedene Dienste am KIT haben erhöhte Anforderungen an die IT-Sicherheit, die über eine einfache Anmeldung mit Nutzername und Passwort hinausgehen. Dazu gehören insbesondere das SAP-System und verschiedene VPN-Zugänge.
Was ist eine Zwei-Faktor-Authentifizierung?
Eine Zwei-Faktor-Authentifizierung soll die IT-Sicherheit verbessern, indem die Anmeldung mit Login und Passwort um einen weiteren Faktor erweitert wird. Vor dem Hintergrund erfolgreicher Phishing-Vorfälle sollen so Anwendungen mit besonderem Schutzbedarf zusätzlich abgesichert werden.
Mögliche zweite Faktoren sind z. B. eine TAN-Liste, eine SMS-TAN oder ein TAN-Generator. Sinnvollerweise wird dieser zweite Faktor auf einem separaten Gerät erzeugt, ist vor fremdem Zugriff geschützt und nicht kopierbar. Aktueller Stand am KIT
Das Präsidium des KIT hat beschlossen, eine Zwei-Faktor-Authentifizierung für die SAP-Webportale einzuführen. Grund sind aktuelle Sicherheitsbetrachtungen der SAP-Umgebung, die die Anmeldung mit einem einfachen Passwort nicht länger als sicher bewerten. Dazu wurden Hardware-Token zum Einsatz als "Zweiter-Faktor" beschafft und können jetzt an die Mitarbeiter ausgegeben werden. Die Einführung der Zwei-Faktor-Authentifizierung für die SAP-Webportale ist für den 13. November geplant. Technische Umsetzung
Am KIT wird die Zwei-Faktor-Authentifizierung in den zentralen Single-Sign-On-Dienst (Shibboleth) integriert. Durch diesen Browser-basierten Ansatz können alle Betriebssysteme unterstützt werden, ohne dass eine Software-Installation auf den Endgeräten nötig wäre.
Die Zwei-Faktor-Authentifizierung kann später auch auf weitere Dienste ausgeweitet werden, sofern eine Sicherheitsbetrachtung das im konkreten Fall erfordert.
Die am KIT eingesetzten Token
KIT-Token mit Display für Mitarbeiter
Für Mitarbeiter wurden Token mit Display beschafft, die auf Knopfdruck einen 6-stelligen Code zur Anmeldung anzeigen, der nur eine Minute lang gültig ist. Diese Geräte bieten maximale Flexibilität und sind mit allen Betriebssystemen und Geräten einsetzbar. Die KIT-Token sind in blau gehalten und tragen das KIT-Logo.
Ausgedruckte Backup-Liste
Jeder Nutzer der Zwei-Faktor-Authentifizierung hat die Möglichkeit, sich eine Backup-Liste mit TANs auszudrucken, die im Bedarfsfall (Verlust, Defekt,... des regulären Tokens) verwendet werden können. Die Einrichtung einer solchen Liste wird empfohlen, sofern die Liste vor fremdem Zugriff geschützt aufbewahrt wird (z.B. in der Brieftasche oder eingeschlossen im Rollcontainer).
Tokenverwaltung
Jeder Mitarbeiter am KIT erhält ein unpersonalisiertes KIT-Token mit Display, das auf Knopfdruck einen vorübergehend gültigen Wert anzeigt, der im Rahmen der Zwei-Faktor-Authentifizierung verwendet wird.
Dieses Token muss im ersten Schritt mit dem persönlichen KIT-Konto verknüpft werden.
Sobald Sie ein erstes Token registriert haben, kann die Tokenverwaltung nicht mehr ohne Token aufgerufen werden.
Die Verknüpfung erfolgt unter https://my.scc.kit.edu/token/register
Nach der Anmeldung mit Ihrem persönlichen KIT-Konto wird der Dialog "Neues Token verknüpfen" angezeigt. Geben Sie im Feld Seriennummer bitte die letzten sechs Stellen der Seriennummer ein. Diese finden Sie auf der Rückseites des Tokens.
Nach einem Klick auf "weiter" wird im nächsten Dialog der aktuelle Wert des Tokens abgefragt. Drehen Sie das Token so, dass sich der Knopf links vom Display befindet
und drücken Sie den Knopf.
Token mit Anzeige
Geben Sie als nächstes den angezeigten gültigen Wert (im Beispiel 464230) in das Feld "Aktueller Tokencode" ein und klicken Sie auf "Token bestätigen". Bitte beachten Sie, dass dieser Wert nur eine Minute lang gültig ist. Anschließend werden die eingegebenen Daten überprüft und anschließend die Verknüpfung durchgeführt. Sie werden zur "Tokenübersicht" weitergeleitet.
Diese Übersicht erreichen Sie auch später jederzeit über https://my.scc.kit.edu/token
Sie haben an dieser Stelle die Möglichkeit, z.B. unter "neues Token" ein Diensthandy zusätzlich zum Display-Token zu registrieren oder aber eine Backupliste anzulegen und auszudrucken. Wir empfehlen Ihnen, eine dieser Möglichkeiten zu nutzen, um für Fälle wie Defekt oder Verlust eines Tokens vorbereitet zu sein.
