Zwei-Faktor-Authentifizierung (2FA oder MFA) konfigurieren

Die Zwei-Faktor-Authentifizierung (auch als 2FA oder MFA bezeichnet) fügt Ihrer Diligent One-Instanz eine zusätzliche Sicherheitsebene hinzu, indem die Benutzer aufgefordert werden, zusätzlich zu ihrem Kennwort einen temporären Zugangscode einzugeben. Sollte das Diligent One-Kennwort einer Person kompromittiert werden, könnte sich ein Angreifer ohne Zugriff auf die 2FA-Authentifizierungs-App dieser Person, für die in der Regel das Mobiltelefon erforderlich ist, nicht mehr anmelden.

Berechtigungen

Nur Systemadministratoren können 2FA erzwingen, Konten entsperren und 2FA deaktivieren.

Funktionsweise

Systemadministratoren können 2FA in Ihrer Diligent One-Instanz erzwingen. Nach der erzwungenen Durchsetzung können sämtliche Benutzer Ihrer Instanz erst dann wieder auf andere Instanzen von Diligent One zugreifen, wenn sie folgende Schritte durchgeführt haben:

  • Eine Authentifizierungs-App herunterladen, die zeitbasierte Einmal-Passcodes (TOTPs) unterstützt
  • Durch Verknüpfung mit ihrer Authentifizierungs-App 2FA auf ihrem Diligent One-Konto herunterladen
  • Ihren Code in Diligent One eingeben

Von uns unterstützte 2FA-Authentifikatoren

Die 2FA von Diligent One ist mit den meisten Authentifizierungs-Apps kompatibel, die einen zeitbasierten Passcode (TOTP) bereitstellen können. Wir haben Tests mit folgenden Apps durchgeführt und wissen, dass sie funktionieren. Andere sollten jedoch auch funktionieren.

  • Google Authenticator
  • Microsoft Authenticator
  • Cisco Duo Mobile
  • Okta Verify
  • Auth0 Guardian
  • LastPass Authenticator

Was passiert bei der Eingabe falscher Anmeldedaten?

Um Brute-Force-Angriffe zu verhindern, dürfen Benutzer von 2FA-aktivierten Instanzen höchstens fünfmal ein falsches Kennwort und dreimal einen falschen Authentifizierungscode eingeben. Danach sperrt Diligent One das Konto. Es muss dann von einem Systemadministrator entsperrt werden.

Sie können SSO und 2FA nicht zusammen verwenden

Sie können die Zwei-Faktor-Authentifizierung nicht mit Single Sign On verwenden. Wenn Sie sowohl SSO als auch 2FA verwenden müssen, sollten Sie die 2FA-Funktion Ihres SSO-Anbieters nutzen. Wenn SSO aktiviert ist, erlaubt Diligent One Ihnen nicht, 2FA zu aktivieren. Ebenso gilt, dass wenn ein Mitglied Ihrer Instanz 2FA verwendet, Ihnen Diligent One nicht erlaubt, SSO zu aktivieren.

Wenn Ihre Benutzer auf mehrere Instanzen zugreifen

Wenn Sie 2FA in Ihrer Diligent One-Instanz aktivieren, müssen alle Benutzer dieser Instanz 2FA verwenden, um auf eine beliebige Instanz von Diligent One zuzugreifen. Dazu zählen auch Instanzen, die zu anderen Unternehmen gehören.

2FA durchsetzen

Führen Sie die folgenden Schritte aus, um 2FA für alle Benutzer in Ihrer Diligent One-Instanz zu aktivieren.

Vorbereitung auf 2FA

  • Die meisten Menschen sind schon einmal mit 2FA in Berührung gekommen, Sie sollten jedoch nicht davon ausgehen, dass jeder damit vertraut ist. Da es sich um eine globale Veränderung handelt, ist es sinnvoll, die Menschen auf diese Veränderung und das, was zu erwarten ist, vorzubereiten.
  • Überlegen Sie sich, was Sie für Grenzfälle tun wollen. Sollten sich beispielsweise Personen, die keinen Zugang zu einem mobilen Gerät haben, mit einer Authentifizierungs-App auf ihrem vorhandenen Gerät authentifizieren?
  • Wenn Sie für eine große Organisation arbeiten, bereiten Sie sich auf die zusätzlichen Kosten für die Unterstützung der Mitarbeiter vor, die bei einer Sperrung ihres Kontos durch Diligent One anfallen.

Umstellung auf 2FA

  1. Öffnen Sie Launchpad.
  2. Wenn Ihr Unternehmen mehr als eine Instanz in Diligent One verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
  3. Wählen Sie Plattform-Einstellungen > Organisation aus. Wenn Organisation nicht als Option angezeigt wird, hat das Konto, an dem Sie sich angemeldet haben, keine Systemadministrator-Berechtigungen.
  4. Klicken Sie auf Organisation aktualisieren.
  5. Klicken Sie auf die Registerkarte Sicherheitseinstellungen.
  6. Aktivieren Sie unter Plattformweite Zwei-Faktor-Authentifizierung auf Aktivieren.
  7. Klicken Sie auf Änderungen speichern.

2FA wird nun für alle durchgesetzt, die auf diese Diligent One-Instanz zugreifen können. Wenn Sie sich das nächste Mal anmelden, müssen Sie 2FA für Ihr eigenes Konto einrichten, so wie alle anderen. Sie bleiben vorerst angemeldet.

2FA in Ihrer Instanz deaktivieren

Sie können die Erzwingung von 2FA in Ihrer Instanz von Diligent One abschalten.

Hinweis

Dadurch wird 2FA für Ihre Benutzer nicht automatisch deaktiviert. Sie können sich entscheiden, ob Sie die Instanz mit 2FA weiter verwenden möchten, oder Sie 2FA deaktivieren möchten.

  1. Öffnen Sie Launchpad.
  2. Wenn Ihr Unternehmen mehr als eine Instanz in Diligent One verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
  3. Wählen Sie Plattform-Einstellungen > Organisation aus. Wenn Organisation nicht als Option angezeigt wird, hat das Konto, an dem Sie sich angemeldet haben, keine Systemadministrator-Berechtigungen.
  4. Klicken Sie auf Organisation aktualisieren.
  5. Klicken Sie auf die Registerkarte Sicherheitseinstellungen.
  6. Löschen Sie unter Plattformweite Zwei-Faktor-Authentifizierung die Option Aktivieren.
  7. Klicken Sie auf Änderungen speichern.

Ein gesperrtes Konto entsperren

Wenn jemand zu oft erfolglos versucht, sich anzumelden, wird das entsprechende Konto von Diligent One gesperrt. Um den Zugang wiederherzustellen, muss er vom Systemadministrator entsperrt werden.

  1. Öffnen Sie Launchpad.
  2. Wenn Ihr Unternehmen mehr als eine Instanz in Diligent One verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
  3. Wählen Sie Plattform-Einstellungen > Benutzer aus. Wenn Benutzer nicht als Option zur Verfügung steht, besitzt das Konto, unter dem Sie sich angemeldet haben, keine Systemadministrator-Berechtigungen.
  4. Machen Sie den Benutzer ausfindig, dessen Konto entsperrt werden muss:
    • Geben Sie in das Suchfeld einen Namen oder eine E-Mail-Adresse ein.
    • Sie können mit Filtern die Liste der Benutzer auf eine Teilmenge eingrenzen.
    • Klicken Sie auf die Spalten Name, Status oder Vorheriges Anmeldedatum, um Benutzer zu sortieren.
  5. Klicken Sie auf den Namen des Benutzers. Das Fenster „Benutzerdetails“ wird geöffnet.
  6. Klicken Sie auf Entsperren.

Der gesperrte Benutzer kann sich nun wieder bei Diligent One anmelden.

Einen anderen Benutzer von 2FA abmelden

Wenn ein Benutzer sein Mobilgerät verliert oder wechselt, kann ein Systemadministrator diesen Benutzer von 2FA abmelden. Wenn 2FA erzwungen wird, wird Diligent One den Benutzer beim nächsten Anmeldeversuch auffordern, sein neues Gerät bei 2FA anzumelden. Wenn 2FA nicht erzwungen wird, muss der Benutzer 2FA nicht mehr verwenden.

  1. Öffnen Sie Launchpad.
  2. Wenn Ihr Unternehmen mehr als eine Instanz in Diligent One verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
  3. Wählen Sie Plattform-Einstellungen > Benutzer aus. Wenn Benutzer nicht als Option zur Verfügung steht, besitzt das Konto, unter dem Sie sich angemeldet haben, keine Systemadministrator-Berechtigungen.
  4. Machen Sie den Benutzer ausfindig, dessen Konto entsperrt werden muss:
    • Geben Sie in das Suchfeld einen Namen oder eine E-Mail-Adresse ein.
    • Sie können mit Filtern die Liste der Benutzer auf eine Teilmenge eingrenzen.
    • Klicken Sie auf die Spalten Name, Status oder Vorheriges Anmeldedatum, um Benutzer zu sortieren.
  5. Klicken Sie auf den Namen des Benutzers. Das Fenster „Benutzerdetails“ wird geöffnet.
  6. Klicken Sie auf 2FA deaktivieren.

Für diesen Benutzer ist 2FA nun deaktiviert.

Hinweis

Ihre Authentifizierungs-App weiß nicht, ob 2FA aktiviert oder deaktiviert ist. Wenn ein Benutzer nicht mehr möchte, dass Diligent One in der Authentifizierungs-App angezeigt wird, muss er es von dort entfernen.

Sich selbst von 2FA abmelden

Wenn Sie Ihr Mobilgerät verlieren oder wechseln, können Sie Ihr Mobilgerät von 2FA abmelden. Wenn 2FA erzwungen wird, wird Diligent One Sie beim nächsten Anmeldeversuch auffordern, Ihr neues Gerät bei 2FA anzumelden.

  1. Öffnen Sie Launchpad.
  2. Wählen Sie aus der globalen Navigationsleiste Symbol für das Menü „Profil“ > Profil.
  3. Klicken Sie auf Gerät deaktivieren. Ein Pop-up-Fenster weist Sie darauf hin, dass Sie automatisch abgemeldet werden, wenn Sie sich abmelden.
  4. Wählen Sie Deaktivieren & Abmelden, um sich sofort abzumelden.
  5. Melden Sie sich erneut bei Diligent One an und wiederholen Sie den Anmeldeprozess, damit Sie Auf das Konto zugreifen.