Zum Inhalt springen
TSplus Dokumentation ®

Zwei-Faktor-Authentifizierung

Inhaltsverzeichnis

Übersicht

Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu und verhindert den Zugriff auf die Sitzung Ihrer Benutzer, selbst wenn jemand ihr Passwort kennt .

Eine Kombination aus zwei verschiedenen Faktoren wird verwendet, um ein höheres Maß an Sicherheit zu erreichen:

  1. etwas, das sie wissen ein Passwort .
  2. etwas, das sie haben, ein Gerät - wie ein Smartphone - mit einer installierten Authentifizierungs-App. .

Sie können eine der folgenden Authentifizierungs-Apps verwenden, um fortzufahren. Diese Apps sind auf einer Vielzahl von Plattformen verfügbar:

Jedes Mal, wenn sich ein Benutzer in seine Remote-Sitzung anmeldet, benötigt er sein Passwort und einen Verifizierungscode, der auf seinem Mobiltelefon verfügbar ist. Nach der Konfiguration zeigt die Authenticator-App einen Verifizierungscode an, um ihm oder ihr zu ermöglichen, sich jederzeit anzumelden. Es funktioniert sogar, wenn das Gerät offline ist.

ODER Sie können entscheiden, die Bestätigungscodes zu erhalten durch SMS In diesem Fall müssen Sie ein kostenloses Konto bei erstellen Twilio .

Anforderungen

Die Zwei-Faktor-Authentifizierung erfordert TSplus Remote Access Mobile-Web oder Unternehmen Editionen.

Die Zwei-Faktor-Authentifizierung wird unterstützt durch:

Dieser Authentifizierungsmodus unterstützt kein Login über den standardmäßigen Microsoft Remote Desktop-Client (mstsc.exe).

Um eine noch sicherere Lösung zu bieten, werden RDP-Verbindungen für Benutzer mit aktivierter Zwei-Faktor-Authentifizierung verweigert.

Als Voraussetzung müssen der TSplus-Server und die Geräte rechtzeitig sein. Sehen Sie die Zeit-Synchronisierung und Einstellungen Abschnitte für weitere Konfigurationsinformationen.

Aktivierung der Lizenz für das Add-On zur Zwei-Faktor-Authentifizierung

Die Funktion der Zwei-Faktor-Authentifizierung ist im Add-On-Tab des AdminTools zu finden:

Activating-Two-Factor-Authentication 1 Es ist als 30-tägige Testversion für 10 Benutzer verfügbar. Um Ihre Lizenz zu aktivieren, kopieren Sie die Seriennummer, die Sie am Ende der Startseite finden können.

Activating-Two-Factor-Authentication 2 Dann verbinden Sie sich mit unserem Lizenzportal und geben Sie Ihre Bestellnummer, Ihre E-Mail-Adresse, die Seriennummer ein und wählen Sie „Two-Factor Authentication“ aus der Dropdown-Liste unten aus:

Activating-Two-Factor-Authentication 3 Sie erhalten Ihre license.lic-Datei. Gehen Sie dann zu der Lizenz Tab und klicken Sie auf die Schaltfläche „Aktivieren Sie Ihre Lizenz“.

Activating-Two-Factor-Authentication 5 Activating-Two-Factor-Authentication 5 Activating-Two-Factor-Authentication 6 ### Aktivieren Sie die Zwei-Faktor-Authentifizierung

Führen Sie die folgenden Schritte aus, um die Zwei-Faktor-Authentifizierung für Ihren TSplus-Server oder Ihre Bereitstellung zu aktivieren. Wenn Ihre TSplus-Bereitstellung so konfiguriert ist, dass mehrere Server verwendet werden, führen Sie diese Aufgabe auf dem TSplus-Server aus, der als einziger Zugangspunkt für Benutzer oder mit der Rolle des Reverse-Proxys exponiert ist.

  1. Öffnen Sie die Anwendung zur Verwaltung der Zwei-Faktor-Authentifizierung. Der Status der Zwei-Faktor-Authentifizierung und der Lizenzstatus werden angezeigt:

Two-factor Authentication Standardmäßig ist 2FA für das TSplus-Gateway und die eigenständigen Anwendungsserver aktiviert.

Sie können es nur für TSplus-Anwendungsserver aktivieren, indem Sie die URL des Authentifizierungsservers eingeben:

Two-factor Authentication Application Server Oder deaktivieren Sie es:

Two-factor Authentication is disabled ### Benutzer und Gruppen hinzufügen

Sobald die Zwei-Faktor-Authentifizierung aktiviert ist, können Sie Benutzer für die Zwei-Faktor-Authentifizierung konfigurieren.

  1. Von der Verwaltung Anwendung zur Zwei-Faktor-Authentifizierung klicken Sie auf die Benutzer verwalten Tab.

Manage Users and Groups Dann klicken Sie auf Hinzufügen Benutzern und/oder Benutzergruppen auszuwählen. Die Benutzer oder Gruppen auswählen Box öffnet sich.

Add Users and Groups Fügen Sie so viele Benutzer und Gruppen hinzu, wie erforderlich, und klicken Sie dann auf OK Die Benutzer und Gruppen werden zur Liste hinzugefügt und für die Zwei-Faktor-Authentifizierung aktiviert.

Benutzer bearbeiten

Auf demselben Kachel können Sie die Art und Weise bearbeiten, wie Benutzer Verifizierungscodes erhalten, indem Sie einen Benutzer auswählen und auf die Schaltfläche „Bearbeiten“ klicken.

Edit Users

Der Benutzer erhält standardmäßig Verifizierungscodes in der Authentifizierungs-App. Sie können wählen, dass er/sie diese per SMS erhält, indem Sie die Option auswählen und die Telefonnummer des Benutzers im Feld unten hinzufügen.

Benutzer und Gruppen entfernen

Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus und klicken Sie dann auf Entfernen Eine Bestätigungsnachricht wird angezeigt.

Remove Users and Groups Klicken Ja Der Benutzer oder die Gruppe wird aus seiner Liste entfernt und kann sich nicht mehr mit Zwei-Faktor-Authentifizierung verbinden.

Konfiguration für Benutzer zurücksetzen

Im Falle des Verlusts des authentifizierenden Geräts für einen Benutzer oder wenn der Benutzer den geheimen QR-Code erneut anzeigen muss, müssen Sie die Benutzerauthentifizierungseinstellungen zurücksetzen.

  1. Von der Verwaltung Anwendung zur Zwei-Faktor-Authentifizierung klicken Sie auf die Benutzer verwalten Tab.

  2. Wählen Sie einen oder mehrere aktivierte Benutzer aus und klicken Sie dann auf Zurücksetzen Eine Bestätigungsnachricht wird angezeigt.

Reset Users 3) Klicken Ja Die ausgewählten Benutzer erhalten beim nächsten Login einen neuen QR-Code und müssen ihn in der Authentifizierungs-App ihres Geräts scannen. Sie können auch die Telefonnummer des Benutzers ändern, damit er einen Bestätigungscode auf seinem neuen Gerät erhalten kann.

Benutzer für die Zwei-Faktor-Authentifizierung anmelden

Sobald ein Benutzer für die Verwendung der Zwei-Faktor-Authentifizierung aktiviert wurde, wird bei seiner nächsten erfolgreichen Anmeldung über das TSplus-Webportal eine Aktivierungsnachricht angezeigt.

Activate Two-factor Authentication Um die erforderlichen Schritte abzuschließen, haben Sie zwei Möglichkeiten: entweder Codes über eine Authenticator-App zu generieren oder den Benutzer Codes per SMS empfangen zu lassen.

Codes mit einer Authenticator-Anwendung empfangen

Der Benutzer muss eine Authentifizierungs-App auf einem tragbaren Gerät, wie seinem Smartphone, installieren.

Sie können eine der folgenden Authentifizierungs-Apps verwenden, um fortzufahren. Diese Apps sind auf einer Vielzahl von Plattformen verfügbar:

Bitte verwenden Sie die Dokumentation jeder App für weitere Details, wie Sie Ihr TSplus-Konto hinzufügen können.

SMS konfigurieren

Um zu gewährleisten, dass der Benutzer Bestätigungscodes per SMS erhält, müssen Sie dies zuerst aktivieren. Klicken Sie auf die SMS konfigurieren Tab:

Configure SMS TSplus nutzt Twilio, um Verifizierungscodes per SMS zu senden. Twilio ist eine Drittanbieter-Cloud-Plattform, die nicht mit TSplus verbunden ist.

  1. Erstellen Sie einfach ein kostenloses Konto auf Twilio indem Sie auf die Schaltfläche unten „Starten Sie Ihre kostenlose Testversion mit Twilio“ klicken:

Configure SMS 2) Auf Ihrem Twilio-Konto-Dashboard Sie müssen Ihre Testnummer aktivieren:

Configure SMS

  1. Der nächste Schritt ist nur für Testversionen erforderlich. Es ermöglicht Twilio, die tatsächliche Telefonnummer zu überprüfen, an die SMS gesendet werden. Geben Sie diese Nummer unter dem ein. “Telefonnummern” Menü - “Verifizierte Anrufer-IDs” Tab :

Configure SMS 4) Sie können dann Ihre Konto-SID, Authentifizierungstoken und eingeben Testnummer als die Telefonnummer auf dem SMS konfigurieren Tab von TSplus:

Configure SMS Configure SMS Dann klicken Sie auf Speichern. Die folgende Nachricht wird angezeigt:

Configure SMS

Sie können Ihr Twilio-Abonnement auf dem Twilio-Abonnement verwalten Abschnitt, am Ende der SMS konfigurieren Verwalten Sie Ihr Konto, sehen Sie den Service-Status oder erreichen Sie das Twilio Support Center, indem Sie einfach auf die entsprechenden Schaltflächen klicken.

Anmeldung mit Zwei-Faktor-Authentifizierung

Sobald ein Benutzer sein TSplus-Konto in seiner Authenticator-App konfiguriert hat, kann er sich mit seinem Passwort und dem von seiner Authenticator-App oder per SMS bereitgestellten Code verbinden.

Vom TSplus Remote Access Webportal:

Login Using Two-factor Authentication From Web Portal Vom TSplus generierten Client:

Login Using Two-factor Authentication From Generated Client ### Zeit-Synchronisierung

TSplus-Anwendungsserver und Client-Geräte müssen die gleiche Zeit teilen. Das bedeutet, dass die Uhrzeit und das Datum des Servers mit einem Zeitserver synchronisiert werden müssen. Client-Geräte müssen ebenfalls eine Zeit-Synchronisierung haben, unabhängig von der Zeitzone, in der sie konfiguriert sind.

Wenn eine Authentifizierungsanfrage von einem Gerät kommt, dessen Datum und Uhrzeit nicht synchronisiert sind, oder wenn das Datum und die Uhrzeit des Servers nicht synchronisiert sind, kann diese Anfrage abgelehnt werden.

Die Validierung der Informationen zwischen dem Gerät und dem Server bezieht sich auf die UTC-Zeit. In der Einstellungen Abschnitt, der Discrepency-Parameter wird verwendet, um den Gültigkeitszeitraum des Codes in Intervallen von 30 Sekunden zu verwalten.

Beispiel für Validierung oder gültige Authentifizierung:

  • der Server ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 2, es ist 14:30 Uhr
  • Das Gerät ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 1, es ist 13:30 Uhr.
  • der Discrepency-Parameter ist auf 60 konfiguriert, d.h. eine Gültigkeitsdauer des Codes von 30 Minuten
  • auf UTC-Zeit bezogen sind die Gerätez Zeit und die Serverzeit identisch.

Beispiel für gültige oder ungültige Authentifizierung:

  • der Server ist mit einem Zeitserver synchronisiert, die Zeitzone ist UTC + 2, es ist 14:30 Uhr
  • Das Gerät ist nicht mit einem Zeitserver synchronisiert, die Zeitzone ist UTC-1, die Uhrzeit ist manuell auf 13:30 Uhr eingestellt.
  • der Discrepency-Parameter ist auf 60 konfiguriert, d.h. eine Gültigkeitsdauer des Codes von 30 Minuten
  • Die Serverzeit, die sich auf die UTC-Zeit bezieht, ist 12:30 Uhr.
  • Die von dem Gerät mitgeteilte Zeit, die auf UTC-Zeit verweist, ist 14:30 Uhr.
  • Der Unterschied beträgt 120 Minuten, der Validierungscode wird daher abgelehnt.

Einstellungen

Two-factor Authentication-Settings Die Registerkarte Einstellungen ermöglicht es Ihnen, Benutzer auf die Whitelist setzen, damit sie sich mit einem RDP-Client verbinden können, ohne einen Zwei-Faktor-Authentifizierungscode eingeben zu müssen.

Klicken Sie auf die Schaltfläche „Hinzufügen“, um einen Benutzer hinzuzufügen, und entfernen Sie einen Benutzer, indem Sie ihn auswählen und auf die Schaltfläche „Entfernen“ klicken.

Two-factor Authentication-Settings

Der Reiter "Erweitert" ermöglicht es Ihnen, die Einstellungen für die Zwei-Faktor-Authentifizierung im Detail zu konfigurieren.

Two-factor Authentication-Advanced-Settings

Abweichung

Sie können den Abweichungswert ändern, der es Ihnen ermöglicht, die Validierungszeit eines Bestätigungscodes festzulegen. Eine Abweichung von 3 bedeutet, dass derselbe Bestätigungscode 90 Sekunden vor und nach seiner ursprünglichen Gültigkeitsdauer von 30 Sekunden gültig bleibt. Der Standardwert beträgt 480, was bedeutet, dass 480 x 30 Sekunden = 4 Stunden.

Two-factor Authentication-Advanced-Settings

Herausgeber

Ein String, der den Namen des Zwei-Faktor-Authentifizierungsdienstes angibt. Der Aussteller wird in der mobilen App des Clients angezeigt und identifiziert den Dienst, der mit dem generierten Bestätigungscode verbunden ist. Standardmäßig besteht er aus dem Namen des Servers mit TSplus.

Two-factor Authentication-Advanced-Settings

Gültigkeit nach der ersten Sitzung

Zeitraum, in dem ein Benutzer eine Sitzung öffnen kann, ohne einen vorherigen Zwei-Faktor-Authentifizierungscode erneut validieren zu müssen. Diese Einstellung ermöglicht es Benutzern, Anwendungen nacheinander über das Webanwendungsportal zu öffnen. Standardmäßig sind es 480 Minuten.

Two-factor Authentication-Advanced-Settings

Gültigkeit vor der ersten Sitzung

Zeitraum, in dem ein Benutzer eine Sitzung öffnen kann, nachdem er einen Code zur Zwei-Faktor-Authentifizierung über das Webportal oder die mobile App validiert hat, in Sekunden. Standardmäßig sind es 3600 Sekunden.

Two-factor Authentication-Advanced-Settings

Digits

Die Anzahl der anzuzeigenden Ziffern für den Benutzer. Bitte beachten Sie, dass diese Einstellung möglicherweise nicht von Authentifizierungs-Apps unterstützt wird. Diese Zahl muss größer oder gleich 4 und kleiner oder gleich 12 sein. Standard ist 6.

Two-factor Authentication-Advanced-Settings

SMS-Bestätigungscode-Nachricht

Nachricht an Benutzer, die um einen Bestätigungscode gebeten werden, wenn sie so konfiguriert sind, dass sie ihn per SMS erhalten. Diese Nachricht muss den Platzhalter %CODE% enthalten, der durch den tatsächlichen Bestätigungscode ersetzt wird. Standardmäßig lautet: Ihr %ISSUER% Bestätigungscode lautet: %CODE%

Two-factor Authentication-Advanced-Settings

Möchten Sie die Seite in einer anderen Sprache sehen?

Englisch
English Español Deutsch Italiano Português Français 简体中文 العربية
Sprache ändern