Active-Directory-Tipp: So konfigurieren Sie Google Authenticator für das Zurücksetzen von Passwörtern sowie AD-Anmeldungen in ADSelfService Plus
Google Authenticator ist eine von Google entwickelte Authentifizierungsmethode, die zeitbasierte Einmalpasswörter (TOTP) verwendet, um die Identität der Nutzer zu überprüfen. Wird diese Authentifizierung als zusätzlicher Faktor verwendet, gibt der Anwender zunächst seine Zugangsdaten für den Service bzw. die Anwendung ein. Anschließend öffnet er die Google-Authenticator-App und überträgt den dort angezeigten 6-stelligen Code in das entsprechende Eingabefeld der Anwendung bzw. des Services.
Da Self-Service-Funktionen für Anwender wie das Zurücksetzen des eigenen AD-Passwortes immer auch ein Sicherheitsrisiko bergen, sollten Unternehmen diese durch eine Multi-Faktor-Authentifizierung absichern. Nur so lässt sich die Identität der Anwender zuverlässig verifizieren.
In diesem Tipp zeigen wir Ihnen, wie Sie Google Authenticator in ADSelfService Plus als Authentifizierungsmethode konfigurieren und anschließend für Password Resets oder AD-Domain-Anmeldungen verwenden können:
Multi-Faktor-Authentifizierung (MFA) in ADSelfService Plus
Die Self-Service-Passwort-Management-Lösung ADSelfService Plus bietet neben der Authentifizierung per Google Authenticator viele weitere Methoden für die Multi-Faktor-Authentifizierung, darunter unter anderem Microsoft Authenticator, YubiKey Authenticator, RSA SecurID oder QR-Code. ADSelfService Plus verwendet MFA zur Absicherung von:
- Windows-, macOS- und Linux-Anmeldungen
- Self-Service-Funktionen wie das Zurücksetzen von Passwörtern oder das Entsperren von Konten über das ADSelfService-Plus-Portal, über iOS- und Android-Mobilgeräte und den Anmeldebildschirm von Windows-/macOS-/Linux-Rechnern.
- Anmeldungen bei Cloud- und Unternehmensanwendungen über Single-Sign-On (SSO).
- AD-Self-Service-Funktionen wie die Aktualisierung der eigenen AD-Profilinformationen, Abonnementverwaltung von E-Mail-Gruppen und der Suche im Mitarbeiterverzeichnis über ADSelfService Plus.
Konfiguration von Google Authenticator in ADSelfService Plus
Sie können Google Authenticator mit wenigen Klicks in ADSelfService Plus als zusätzliche Authentifizierungsmethode aktivieren:
- Melden Sie sich in ADSelfService Plus an und klicken Sie auf den Reiter Konfiguration.
- Gehen Sie zu Self-Service > Multifaktor-Authentisierung > Authenticators Setup.
- Wählen Sie in der Dropdown-Liste Richtlinie auswählen eine Richtlinie aus.
- Klicken Sie in der Liste auf Google Authenticator und bestätigen Sie durch Klick auf Google Authenticator aktivieren.
Hinweis:
Mit ADSelfService Plus können Sie OU- und gruppenbasierte Richtlinien erstellen. Um eine Richtlinie zu erstellen, gehen Sie zu Konfiguration > Self-Service > Richtlinienkonfiguration > Neue Richtlinie hinzufügen. Klicken Sie auf Organisationseinheiten / Gruppen auswählen, und treffen Sie Ihre Wahl. Sie müssen mindestens eine Self-Service-Funktion auswählen. Klicken Sie abschließend auf Richtlinie speichern. Nur Benutzer, die zu den in der Richtlinie enthaltenen OUs / Gruppen gehören, können die ausgewählte(n) Self-Service-Funktion(en) ausführen.
Aktivieren von Google Authenticator für das Zurücksetzen von AD-Passwörtern
- Gehen Sie zu Konfiguration > Self-Service > Multifaktor-Authentisierung. Wählen Sie die Richtlinie aus, deren Einstellungen Sie ändern wollen und klicken Sie auf den Reiter MFA für Reset/Unlock.
- Geben Sie die Anzahl der Authentifizierungsfaktoren ein, die erfüllt werden müssen, und wählen Sie Google Authenticator (und ggf. weitere Authentifizierungsmethoden) aus.
- Klicken Sie auf Einstellungen speichern.
Aktivieren von Google Authenticator für Active-Directory-Domänenanmeldungen
Mit den folgenden Schritten können Sie Google Authenticator als Authentifizierungsmethode für AD-Domain-Anmeldungen aktivieren:
- Gehen Sie zu Konfiguration > Self-Service > Multifaktor-Authentisierung und wählen Sie den Reiter MFA für Endpoints aus.
- Wählen Sie eine Richtlinie aus dem Dropdown-Menü Richtlinie auswählen, auf die sich die Einstellung beziehen soll. Dadurch wird festgelegt, welche Authentifizierungsmethoden für welche Benutzergruppen aktiviert werden.
- Aktivieren Sie im Abschnitt Endpunkt-MFA das Kontrollkästchen vor Aktivieren und wählen Sie Google Authenticator aus der Dropdown-Liste aus.
- Klicken Sie auf Einstellungen speichern.
Anmerkung:
Voraussetzungen für das Aktivieren einer MFA für Active-Directory-Domänenanmeldungen:
- Der ADSelfService Plus-Login-Agent muss auf den Client-Rechnern installiert sein. Auf der englischen Website des Herstellers finden Sie hier eine Anleitung zur Installation des Login-Agenten.
- SSL muss aktiviert sein: Melden Sie sich mit Administratorzugangsdaten bei ADSelfService Plus an. Gehen Sie zum Reiter Admin > Produkteinstellungen > Verbindung. Aktivieren Sie die Option ADSelfService Plus Port [https]. Klicken Sie auf Speichern.
