SecSign ID Plugin: Windows Credential Provider

15.12.2016 5 Minuten Lesedauer
Inhaltsverzeichnis

Zwei-Faktor Authentifizierung für Windows Desktop, PC oder Laptop Login

Der Login an Ihrem PC oder Laptop muss so sicher wie intuitiv sein. Kaum ein anderer Login wird so oft genutzt und bietet Zugriff auf so viele empfindliche Daten. Niemand wartet gerne auf eine SMS, um sich mal schnell einzuloggen. Die meisten Nutzer haben noch nichtmal ein Password. Aber was passiert, wenn ein Firmenlaptop geklaut wird oder jemand Zugriff auf Desktop PCs erlangt? Unbefugter Zugriff auf sensible Daten kann schneller passieren, als man denkt. Wie schützt man also den Zugang und ermöglicht eine einfache Authentifizierung und hohe Compliance? Mit der SecSign ID Zwei-Faktor Authentifizierung für Windows Logins

Dieser Artikel bietet einen ersten Überblick über die Integration und Absicherung des Windows Logins mit der Zwei-Faktor Authentifizierung. Für das technische Tutorial folgen Sie bitte diesem Link

Integration in Ihr Setup

Integration des Plugins in Ihr Setup

SecSign ID Integration

Please configure your desired integration of the SecSign ID Two Factor Authentication

Choose a system, where you want to add the secure login

Do you need your own ID Server inside your protected network or prefer if we manage and maintain it for you

The location to save the assigned SecSign IDs to a user account or the IDM alltogether

System to protect
?
The System you want to protect - Choose a system, where you want to add the secure login
SecSign ID Server location
?
Do you need your own ID Server inside your protected network or prefer if we manage and maintain it for you
User account location
?
The system to save the assigned SecSign IDs to a user account or the IDM alltogether
edit the settings to change the integration
Authentication
2FA
2FA blind
2FA no AP
2SA
2SA no AP
2SA blind
OTP
Enrollment
Custom ID
Pattern
IDP Custom Website
Enrollment initiated by SP
Enrollment with IDM
Show Network
Hide Network
Fullscreen
Request Solution
x
The authentication was successful
Authentifizierung

Ablauf der Authentifizierung

Mit der SecSign ID Zwei-Faktor Authentifizierung kann der Nutzer sich schnell und komfortable bei Windows anmelden – ganz ohne umständliche Codes.
Für den Login muss der Nutzer lediglich seine Benutzerdaten angeben – so wie er es gewohnt ist – und das entsprechende Symbol aus der App auf dem Desktop auswählen. Next-level Sicherheit mit minimalem Aufwand.

Bei Bedarf können auch mobile oder Email OTP (Einmalpasswörter) als alternative Authentifizierungsmethode genutzt werden.

Onboarding

Onboarding der Nutzer für die 2FA

Sie haben mehrere Optionen, Ihre Nutzer für die 2FA mit SecSign zu registrieren. In den meisten Fällen sollte die 2FA ID identisch zu dem bisher genutzten Windows Benutzernamen sein (zum Beispiel sAMAccountName oder userPrincipalName). Um automatisiert eine 2FA Aktivierung und eine Verknüpfung der 2FA mit dem AD Benutzer zu erhalten, bieten wir mehrere Onboarding-Möglichkeiten an. Die zwei populärsten werden im Folgenden erläutert.
Darüber hinaus sollten nur erfolgreich authentifizierte (mit Benutzernamen und Passwort) Nutzer einen 2FA Account erstellen können.
Das SecSign Onboarding ist einfach und komfortabel für die Nutzer und den Administrator.

Um Ihre Active Directory Nutzer für die 2FA zu registrieren haben Sie zwei Optionen:

Mit Schema Erweiterung um dem Nutzer im Active Directory ein 2FA Attribut hinzuzufügen, oder ohne Schemaerweiterung Schema Extension und beschränktem Lesezugriff vom SecSign ID Server auf Ihr Active Directory.

Bei beiden Optionen kann das Onboarding entweder über die Custom ID App oder eine individuelle Landing Page für den Nutzer realisiert werden.

Nutzer über die Custom App registrieren
Nutzer über eine Custom Landing Page registrieren

Ein Überblick, wie das Active Directory mit Ihrem 2FA Setup integriert werden kann, ist hier verfügbar.

Technisches Tutorial

Technisches 2FA Plugin Tutorial für den Credential Provider / Windows Login

Mit dem SecSign ID Credential Provider Plugin wird dem Nutzer nach dem interaktiven Windows Login mit Nutzername und Passwort der SecSign ID Login angezeigt. Dies betrifft sowohl direkte Logins am PC als auch Remote Desktop Verbindungen.

Wenn Sie das SecSign ID Credential Provider Plugin ohne Active Directory Verknüpfung testen wollen, muss die SecSign ID gleich dem Benutzernamen sein. Diese Einstellung kann später mit der Verbindung zum Active Directory automatisch erzwungen werden.

Windows Login: Vorraussetzungen

Wenn sichergestellt ist, dass der SecSign ID Benutzername gleich dem Windows Login-Namen ist, startet das SecSign ID Credential Provider Plugin die 2FA, nachdem der Benutzer sich erfolgreich mit dem Benutzernamen und Passwort. z.B. gegen das AD authentifiziert hat.

Ist der Nutzeraccount noch nicht mit einer SecSign ID verbunden, wird der Nutzer aufgefordert, dieses nachzuholen. Dies kann der Nutzer entweder manuell tun, oder automatisch auf die Aktivierungswebsite weitergeleitet werden.

Folgende Vorraussetzungen gelten in diesem Fall:

  • Der PC, auf dem sich der Nutzer anmeldet, muss ein Mitglied der Windows Domain sein
  • Active Directory Konfiguration

Das Active Directory muss in bestimmten Fällen an den Inhouse ID Server angebunden werden. Die folgenden Situationen erfordern eine Verbindung vom Inhouse ID Server zum Active Directory:

  • Wenn die SecSign ID automatisch gleich dem Windows Nutzernamen sein soll. Dies kann während der 2FA Registrierung der Nutzer erzwungen werden, wenn das Active Directory verbunden ist.
  • Wenn die SecSign ID automatisch nicht gleich dem Windows Nutzernamen sein soll. Dies kann sowohl mit als auch ohne Active Directory Schemaerweiterung realisiert werden. Mit Active Directory Erweiterung kann das Plugin die dem Nutzer zugehörige ID aus dem AD erhalten, ohne Active Directory Erweiterung hat das Plugin dem Nutzer zugeordnete ID gespeichert.
  • Wenn die 2FA nur für bestimmte Active Directory Gruppen oder IP Bereiche aktiviert werden soll. Die Einstellung dieser Funktion kann entweder direkt über das Plugin erfolgen, oder im ID Server aktiviert werden. Im letzteren Fall muss das Active Directory mit dem Inhouse Server verbunden werden. Dies ist auch erforderlich, wenn diese Einstellung zentral für mehrere Plugins vorgenommen werden soll.

Windows Login: Installation

Alle Windows Plugins sind auch als MSI für eine komfortable und schnelle Installation verfügbar.

Führen Sie SecSignCredProv-Setup.exe aus

Der Installationsassistent lädt automatisch Microsoft Visual Studio 2015 Komponenten sowie .Net 4 Runtime herunter, wenn diese noch nicht installiert sind.

Der SecSign ID Credential Provider nutzt die folgenden Registry Schlüssel, auf die Sie unter HKLM\SOFTWARE\SecSign\CredentialProvider zugreifen können. Bitte bearbeiten Sie die Schlüssel entsprechend Ihrer Umgebung:

  • ServiceNameForSecSignApp: Der Name des Dienstes, der durch die SecSign ID geschützt wird. Die SecSignApp zeigt diesen Namen während des Logins an.
  • ServiceAddressForSecSignApp: Die Adresse des Dienstes, dessen Login durch die SecSign ID abgesichert wird. Die SecSignApp zeigt diesen Namen während des Logins an. Normalerweise ist dies eine URL
  • SecSignIDServerHostName: Der Host-Name des SecSign ID Servers.
  • SecSignIDServerPort: Der Port am SecSign ID Server für mobile Geräte.
  • UserGroupWithSecSignIDLogin: Der Name einer Benutzergruppe im Active Directory, für deren Mitglieder das SecSign ID Login nach der Windows-Passwort-Eingabe aktiv ist. Der SecSign ID Benutzername ist dabei der sAMAccountName des Windows-Benutzers. In diesem Szenario wird empfohlen, eine kundenspezifische SecSignApp einzusetzen, die sicherstellt, dass eine SecSign ID mit einem bestimmten Namen nur angelegt werden kann, wenn der Benutzer das zugehörige Windows-Passwort kennt.
    Bei der Prüfung der Gruppenzugehörigkeit werden auch verschachtelte Untergruppen beachtet.
  • RunAsDifferentUserSecSignIDProtected: wenn der Schlüssel den Wert 1 hat, dann erfolgt auch bei „ausführen als“ („run as a different user“) eine SecSign ID Abfrage. Wenn der Wert 0 ist, dann erfolgt in dieser Situation nur die normale Windows-Passwort-Abfrage.
  • FallbackSecSignIDServerHostName: Der Host-Name des optionalen Sicherungsservers, falls einer betrieben wird.
  • FallbackSecSignIDServerPort: Der Port am optionalen Sicherungsserver für mobile Geräte.

Windows Login: Login

Wenn der SecSign ID Credential Provider installiert ist, besteht der Windows Login aus:

  1. Windows Benutzername- und Passworteingabe
  2. SecSign ID Verifikation auf dem mobilen Endgerät

Das SecSign ID Login kann durch Antippen des richtigen Symbols in der SecSignApp bestätigt werden oder durch Eingabe des Einmalpassworts, das in einer Authenticator-App oder auf dem Display eines Hardware-ID-Tokens angezeigt wird. [/col]

Login mit Access Pass




Login mit OTP (one-time password)




2.4 Safe Mode

Der SecSign ID Credential Provider ist nicht aktiv, wenn Windows im abgesicherten Modus gestartet wird. Daher muss sichergestellt werden, dass Benutzer Windows nicht im abgesicherten Modus starten können.

Windows Absichern

Sichern Sie alle Windows Zugangspunkte mit der SecSign 2FA ab

Wählen Sie das entsprechende Plugin aus, um mehr Informationen über die Absicherung mit 2FA zu erhalten



AD/LDAPTutorial


Windows Login Tutorial


Office 365 Tutorial


Remote Desktop Tutorial


RD Gateway Tutorial


VPN/Radius Proxy Tutorial

Ihr eigener ID Server

Die Inhouse Installation der SecSign ID bietet Ihnen die Flexibilität, dich mit Ihrem bevorzugten Server, Services und Geräten zu verbinden. Passen Sie die SecSignID Ihrer Unternehmensmarke an!

Mehr Erfahren
On Premise 2FA ID

Letzte Blog Einträge, Neuigkeiten & Funktionen

Zwei-Faktor Authentifizierung (2FA) vs. Zwei-Schritt Authentifizierung (2SA)

Zwei-Faktor Authentifizierung und Zwei-Schritt Authentifizierung sind zwei Möglichkeiten, den Login Ihrer Nutzer abzusichern. Beide Optionen können, abhängig von Ihren Anforderungen und Bedingungen, Ihren Nutzern eine sichere A ...

Mehr Lesen

Crowd SSO

Inhalt Vorbedingungen für die Einrichtung Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung Einrichten von Crowd für die zentrale Benutzerverwaltung Einrichten der Applikation (z.B. JI ...

Mehr Lesen

Was ermöglicht Crowd?

Das SecSign ID Crowd Plugin kann schnell und einfach integriert werden. Ausführliche Informationen über das Plugin und die Integration können den folgenden Seiten entnommen werden. Sie haben noch Fragen? Zögern Sie n ...

Mehr Lesen
Do NOT follow this link or you will be banned from the site!