Skip to main content

Multifaktor Authentifizierung

KIX unterstützt die Multifaktor-Authentifizierung zur Prüfung der Zugangsberechtigungen. Sie können jedem Nutzer die Multifaktor-Authentifizierung ermöglichen, um eine höhere Absicherung des Zugangs zu gewährleisten.

Die De-/Aktivierung erfolgt entweder im SysConfig-Schlüssel MultiFactor-Authentification###000-Default oder über die Konsole. Welchem Nutzer die Multifaktor-Authentifizierung zur Verfügung steht, definieren Sie in der Konfiguration des Nutzers.

Wichtig

Aktuell unterstützt die KIX Field-Agent-App die Multifaktor-Authentifizierung noch nicht. Daher sollte für die Nutzer der App die Multifaktor-Authentifizierung nicht aktiviert werden!

MultiFactorAuthentification###000-Default

De-/Aktivierung der Multifaktor-Authentifizierung

De-/Aktiviert die Multifaktor-Authentifizierung (kurz: MFA) zur Überprüfung der Zugangsberechtigungen der KIX Nutzer.

Die Multifaktor Authentifizierung wird als zusätzliches Authentifizierungsbackend für Kunden- oder Agentenkontext eingerichtet. Anschließend müssen Sie in den Nutzereinstellungen für die betreffenden Nutzer die MFA aktivieren und die OTP-Secrets generieren.

Parameter

Beschreibung

enabled

De-/Aktiviert die Multifaktor-Authentifizierung

Der Schlüssel ist initial "gültig", jedoch deaktiviert: "enabled": 0.

Zum Aktivieren der Multifaktor-Authentifizierung setzen Sie den Parameter "enabled": 1

Die Multifaktor-Authentifizierung muss aktiviert sein, damit sie in der Nutzerkonfiguration zur Verfügung steht.

UsageContext

Legt fest, für welches Portal die Multifaktor-Authentifizierung gilt:

  • Nur für Agentenportal: "UsageContext":"Agent"

  • Nur für Self Service Portal: "UsageContext":"Customer"

  • Für beide Portale:

    2 separate Authentifizierungs-Backends erforderlich

    [
  {
    "AuthType":"LOGIN",
    "Config":{
        "Algorithm":"SHA1",
	"AllowEmptySecret": 1,
	"Digits": 6,
	"MaxPreviousToken": 0,
	"SecretLength": 8,
	"TimeStep": 30
    },
    "Enabled": 1,
    "Module":"Kernel::System::Auth::MFA::TOTP",
    "Name":"TOTP-Agent",
    "UsageContext":"Agent"
  },
  {
    "AuthType":"LOGIN",
    "Config":{
        "Algorithm":"SHA1",
	"AllowEmptySecret": 1,
	"Digits": 6,
	"MaxPreviousToken": 0,
	"SecretLength": 8,
	"TimeStep": 30
    },
    "Enabled": 1,
    "Module":"Kernel::System::Auth::MFA::TOTP",
    "Name":"TOTP-Customer",
    "UsageContext":"Customer"
  }
]

name

Frei konfigurierbarer Name des MFA-Backends

Haben Sie mehrere Authentifizierungs-Backends konfiguriert, können Sie jedem einen anderen Namen geben. So können Sie die einzelnen Authentifizierungs-Backends in der Nutzerkonfiguration unterscheiden.

MFA_name.png

Default: TOTP-Example

Nutzern die Multifaktor-Authentifizierung bereitstellen

Sie können für jeden einzelnen Nutzer die Multifaktor-Authentifizierung de-/aktivieren.

Sofern für jeden Nutzungskontext ein separates Authentifizierungs-Backend definiert ist, können Sie die Multifaktor-Authentifizierung getrennt für das Agentenportal oder Self Service Portal bereitstellen.

MFA-Nutzerkonfig.png

Abb.: Aktivierte Multifaktor-Authentifizierung in der Konfiguration eines Nutzers

  1. Stellen Sie sicher, dass die Multifaktor-Authentifizierung im SysConfig-Schlüssel MultiFactor-Authentification###000-Default aktiviert ist ("enabled": 1)

  2. Navigieren Sie im Explorer zu Nutzerverwaltung > Nutzer.

  3. Suchen und öffnen Sie die Konfiguration des betreffenden Nutzers.

  4. Navigieren Sie im Dialog zum Abschnitt Multifaktor-Authentifizierung.

  5. Klicken Sie auf den Schiebe-Regler Aktiviert, um die Multifaktor-Authentifizierung für den Nutzer zu aktivieren.

    Sofern Sie im SysConfig-Schlüssel MultiFactor-Authentification###000-Default mehrere Backends definiert haben, können Sie die für jedes dieser Backends die Multifaktor-Authentifizierung separat aktivieren. Z. B. getrennt für das Self Service Portal und das Agentenportal.

  6. Klicken Sie für jedes aktivierte Backend auf Nutzer Secret generieren

    Damit wird das OTP-Secret generiert, welches der Nutzer auch in seinen Persönlichen Einstellungen wiederfindet (OTP: One-Time-Password). Dort kann er es auch ändern.

    Der Nutzer kann einen externen OTP-Code-Generator verwenden (App oder Website), um durch Angabe des OTP-Secrets den Anmelde-Token zu generieren. Dieser Anmelde-Token muss bei der Anmeldung an KIX zusätzlich eingegeben werden.

    Multifaktor-Authentifizierung_Anmeldung_Tokengrafik.png

    Abb.: Dialog zur Eingabe des Anmeldetokens, welcher unter Angabe des OTP-Secrets in einem externen OTP-Code-Generator erzeugt wurde

De-/Aktivierung der Multifaktor-Authentifizierung via Konsole

Sie können die Multifaktor-Authentifizierung über die KIX-Konsole de-/aktivieren. Das De-/Aktivieren für ausgewählte Nutzer ist möglich.

  1. Navigieren Sie im Admin Modul zu System > Konsole.

  2. Führen Sie nach Bedarf einen der folgenden Befehle aus:

    • Deaktivieren der Multifaktor-Authentifizierung für einen bestimmten Nutzer (Angabe von --user):

      Console::Command::Admin::Auth::MFA::RemoveSecret --mfa 'MFA_TOTP_TOTP-Example' --user Beispielagent

    • Deaktivieren der Multifaktor-Authentifizierung für mehrere Nutzer gleichzeitig (mehrfache Angabe von --user)

      Console::Command::Admin::Auth::MFA::RemoveSecret --mfa 'MFA_TOTP_TOTP-Example' --user Beispielagent1 -- Beispielagent2

    • Aktivieren der Multifaktor-Authentifizierung für einen bestimmten Nutzer (Angabe von --user):

      Console::Command::Admin::Auth::MFA::GenerateSecret --mfa 'MFA_TOTP_TOTP-Example' --user Beispielagent1

    • Aktivieren der Multifaktor-Authentifizierung für mehrere Nutzer gleichzeitig (mehrfache Angabe von --user)

      Console::Command::Admin::Auth::MFA::GenerateSecret --mfa 'MFA_TOTP_TOTP-Example' --user Beispielagent1 -- Beispielagent2

In diesem Abschnitt: