Anleitung Einrichten eines iOS-Smartphones als Software-Token
Diese Anleitung beschreibt, wie Sie ein iOS-Smartphone als Software-Token für die Mehrfaktor-Authentifizierung einrichten können.
Die Mehrfaktor-Authentifizierung (MFA) wird in 3 Schritten durchgeführt, die gemeinsam Ihre Logins bei allen unterstützten Diensten von nun an absichern.
- Beim ersten Schritt installieren Sie man auf einem Smartphone eine Authenticator-App als sogenanntes Token. Die Authenticator-App generiert nach der Einrichtung Einmalkennwörter für jeden Login. Damit ist sichergestellt, dass sich nur Personen, die neben den üblichen Anmeldedaten auch Zugriff auf das Smartphone besitzen, an den MFA-fähigen Diensten anmelden können.
- Im zweiten Schritt registrieren Sie Ihr Smartphone am MFA Token Self Service Portal LinOTP, dem Web-Dienst zur Verwaltung der eigenen Tokens für die Nutzung an Universitätsdiensten. LinOTP ist unter dem Link rechts rund um die Uhr aus dem Uni-Netz oder -VPN erreichbar.
- Während die ersten beiden Schritte pro Smartphone nur ein Mal ausgeführt werden, beschreibt der dritte Schritt die Anmeldung an einem MFA-fähigen Dienst und wird damit viele Male durchgeführt. Zuerst wird hier nur das VPN der Universität unterstützt. Weitere Dienste werden folgen.
Video-Tutorial
Ergänzend zu dieser Anleitung können Sie sich das Video-Tutorial ansehen, das in Kürze die Token-Einrichtung zeigt. Wir empfehlen, zusätzlich die Anleitung in Textform zu lesen, da diese ausführlichere Informationen enthält.
Installation der Authenticator-App auf Ihrem Smartphone
Vor der Einrichtung Ihres ersten Tokens müssen Sie eine entsprechende App auf Ihrem Handy installieren. Bitte führen Sie je nach Smartphone die folgenden Schritte aus, um die Sicherheit Ihrer MFA-Anmeldedaten zu schaffen.
1. Authenticator installieren.
Öffnen Sie den Apple App Store auf Ihrem iOS-Gerät und suchen Sie nach der „FreeOTP Authenticator“ (Anbieter Red Hat - ID 872559395) oder einer Alternative nach Wahl. Installieren Sie sie auf Ihrem Gerät.
Token erstellen
1. Loggen Sie sich auf der MFA Token Self Service-Plattform ein.
Loggen Sie sich auf einem anderen vertrauenswürdigen Gerät als Ihrem iOS-Smartphone unter https://mfa.uni-heidelberg.de mit Ihren regulären universitären Zugangsdaten ein. Dabei sollten Sie vor der Eingabe Ihrer Daten die Domain sowie das Schild-Symbol daneben prüfen, um sicherzustellen, dass alle übermittelten Daten auch wirklich mit unserer MFA-Lösung ausgetauscht werden.
2. Token erstellen.
Im Abschnitt „Neue Authentisierungsmethode einrichten“ wählen Sie die Option „Soft-Token (zeitbasiert)“ und klicken Sie auf "Einrichten".
Im sich öffnenden Fenster können Sie unten bei „Token-Beschreibung“ einen Name vergeben (z.B. „Arbeitshandy“ oder "Privates Handy"). Bitte klicken Sie anschließend auf „Weiter“.
Nun wird Ihnen Ihr QR-Code angezeigt, den Sie mit Ihrem Smartphone abscannen können.
Bitte klicken Sie nicht auf „Weiter“, bis Ihr Smartphone erfolgreich eingerichtet ist!
Falls die Einrichtung am Smartphone nicht abgeschlossen werden kann:
Drücken Sie bitte auf „Abbrechen“ und bestätigen den Abbruch im direkt folgenden Dialog. Sie gelangen nun wieder zur Übersicht Ihrer Tokens. Diese sollte leer sein. Wenn hier dennoch ein Token aufgelistet ist, Sie jedoch kein Token erfolgreich eingerichtet haben, löschen Sie bitte das angezeigte Token.
Smartphone als Token einrichten
Zum Hinzufügen dieses Token werden jetzt je nach Smartphone die folgenden Schritte benötigt:
1. Fügen Sie ein Token hinzu.
Öffnen Sie die Authenticator-App. Es wird in der Mitte des Hauptbildschirms der App eine Schaltfläche „Add a token“ angezeigt. Tippen Sie darauf, um ein neues Token hinzuzufügen.
2. QR-Code scannen.
Richten Sie die Kamera Ihres iOS-Geräts auf den QR-Code, der Ihnen in LinOTP angezeigt wird. Die App erkennt den Code automatisch und fügt das Token hinzu.
Wichtig: Sollten Sie die Einrichtung des Tokens aus irgend einem Grund auf Ihrem Gerät nicht abschließen, müssen Sie auch in der Self Service Plattform den Prozess mit „Abbrechen“ beenden, oder, falls dieser bereits abgeschlossen ist, das Token VOR dem Logout wieder löschen.
3. Wählen Sie ein Icon.
Wählen Sie ein Icon aus, das dem Token zugeordnet werden soll. Sie können aus den verfügbaren Symbolen auswählen oder ein eigenes Bild hochladen.
4. Aktivieren Sie die zusätzliche Sicherheit.
Aktivieren Sie die Option, dass das Token nur nach Entsperren des Telefons angezeigt wird. Dadurch wird das Token vor unbefugtem Zugriff geschützt.
Token testen
Nachdem Sie das Token erfolgreich eingerichtet haben, können Sie bei allen Authenticator-Apps nach der erneuten Entsperrung Ihres Telefons auf den entsprechenden Eintrag tippen.
Das zeitbasierte Einmalkennwort (time-based one-time password TOTP) wird angezeigt.
Zurück auf der Self-Service Plattform können Sie nun auf „Weiter“ klicken und es erscheint die Bestätigung der Einrichtung des Tokens. Mit Klick auf „Testen“ fahren Sie zum Test fort.
Im sich öffnenden Dialog geben Sie bitte das gerade aktuelle Einmalkennwort (One time password - OTP) aus Ihrem Token ein und drücken Sie auf „Absenden“.
Nun wird Ihnen angezeigt, ob Ihr Test erfolgreich war.
Test erfolgreich
Richten Sie nun nach Möglichkeit einen zweiten Token (z.B. KeePassXC) ein oder loggen Sie sich von der Plattform ab.
Sie können MFA nun in allen kompatiblen Anwendungen nutzen. Konkrete Hilfestellungen hierzu finden Sie in den Anleitungen der entsprechenden Dienste.
Test nicht erfolgreich
Sollte der Test nicht erfolgreich gewesen sein, versuchen Sie es bitte direkt noch einmal. Falls dieser Test auch nicht erfolgreich sein sollte, löschen Sie bitte das Token umgehend durch Klick auf die drei Punkte in der Übersicht und anschließend auf „Löschen“.
Melden Sie sich bitte in diesem Fall bei Ihrem IT-Beauftragten oder dem IT-Service.