Servicedesk Anwendung: Administration der 2-Faktor-Anmeldung von Nutzer*innen

In dieser Seite kann bei Personen die 2-Faktor-Authentifizierung administriert werden. Achtung: Bevor hier Veränderungen vorgenommen werden muss sichergestellt sein, dass die Aufforderung dazu wirklich von der betreffenden Person kam! Einige Optionen werden nur angeboten, wenn die 2-Faktor-Authentifizierung aktiviert ist.

2FA deaktivieren (TOTP + Sicherheitsschlüssel)

Es ist hier möglich die 2-Faktor-Authentifizierung komplett zu deaktivieren. Dies kann in Ausnahmefällen notwendig sein, wenn die Person keine Ersatzcodes mehr besitzt und auch keinen Zugriff auf ein FIDO Token / Sicherheitsschlüssel oder einen TOTP Codegenerator - z. B. auf eine entsprechende App nach einem Handywechsel - hat. Eventuell noch vorhandene Ersatzcodes, Notfallcodes und 2-Faktor-Bypass-Cookies werden bei einer Deaktivierung gelöscht.

Meist ist aber der im folgenden Abschnitt beschriebene Notfallcode der sicherere Weg. Eine Deaktivierung ist dann zwingend notwendig, wenn ein (neues) TOTP Security-Token (nicht ein FIDO Token / Sicherheitsschlüssel) ausgegeben werden muss.

Nach der Deaktivierung ist ein Login wieder nur mit dem Passwort möglich, die Person kann die 2-Faktor-Authentifizierung dann in der Kontenverwaltung erneut wieder einrichten.

Notfallcode ausgeben

Die Ausgabe eines Notfallcodes kann hier ausgelöst werden und erfolgt dann in einer eigenen Seite. Durch den Notfallcode bleibt das Konto ohne Unterbrechnung mit der 2-Faktor-Authentifizierung geschützt.

Security-Token ausgeben (TOTP Token)

Hier können Sie ein Sicherheitstoken ausgeben, welches nach dem TOTP Verfahren arbeitet und in der Tokenverwaltung hinterlegt ist. Das geht nur, wenn die Zwei-Faktor-Authentifizierung nicht aktiviert ist. Ggf. müssen Sie sie erst deaktivieren, damit Sie ein neues Token zuordnen können. Die Zuordnung findet in einer eigenen Seite statt.

Hinweis: Die TOTP Tokens werden abgelöst und sollten heute höchstens noch an Bestandsnutzer*innen als Ersatzgeräte ausgegeben werden. Wenn möglich sollte die Umstellung auf ein FIDO Token / einen Sicherheitsschlüssel erfolgen.

TOTP Security-Token administrieren oder entfernen

Wenn bei einem Konto ein TOTP Token konfiguriert ist, so kann über den 'Token'-Link die Tokendetailseite geöffnet werden. Dort kann sowohl eine Neuvermessung des Tokens durchgeführt werden, wie auch das Token von dem Konto gelöst werden.

Das selektive Entfernen des Tokens von dem Konto ist notwendig, wenn Nutzer*innen bereits zusätzlich einen Sicherheitsschlüssel konfiguriert haben und durch die Rückgabe des TOTP Tokens nicht die gesamte 2-Faktor-Authentifizierung deaktiviert werden soll.

Defektes Security-Token (TOTP Token) austauschen

Ist ein TOTP Token defekt und muss ausgetauscht werden, so sind zwei Vorgehensweise möglich:

Tausch gegen ein FIDO Token

Dieser Weg sollte heute präferiert werden. Er läuft so ab:

1. Nutzer*in erhält FIDO Token und registriert es selbst im eigenen Account in der Kontenverwaltung
   • Ggf. muss das Login über Notfallscodes ermöglicht werden
2. Nachdem das FIDO Tokens nutzbar ist, kann das TOTP Token über den im vorherigen Abschnitt beschriebenen Weg entfernt werden
   • Es darf nicht vorher entfernt werden, da damit die 2-Faktor-Authentifizierung komplett deaktiviert würde

Wechsel auf eine TOTP Generator App

Wenn Nutzer*innen das TOTP Verfahren grundsätzlich beibehalten, aber keinen Sicherheitsschlüssel verwenden wollen, so ist der Ablauf dieser:

1. Das TOTP Token wird über den im vorherigen Abschnitt beschriebenen Weg entfernt
2. Nutzer*innen konfigurieren sich die 2-Faktor-Authentifizierung mit der TOTP App danach selbstständig

Austausch des TOTP Tokens

Dieser Weg sollte heute nur noch genutzt werden, wenn auf die Schnelle keine Umstellung der Nutzer*in möglich ist. Er läuft so ab:

1. Das TOTP Token über den im vorherigen Abschnitt beschriebenen Weg entfernen. Dadurch wird die 2-Faktor-Authentifizierung komplett deaktiviert
2. Ein neues TOTP Token wird bei dem Konto konfiguriert, siehe 'Security-Token ausgeben (TOTP Token)'
3. Das Token wird an Nutzer*in übergeben

Wie erreiche ich diese Seite

Aus der Personendetailseite.