Aktivieren Sie die Authentifizierungsmethode der Authentifizierer-App in Workspace ONE Access für die Zwei-Faktor-Authentifizierung, damit Benutzer einen TOTP-Passcode (Time-Based One-Time) als zweite Anmeldedaten eingeben müssen, wenn sie sich bei der VMware Workspace ONE Intelligent Hub-App oder bei jeder Anwendung anmelden, die eine Zwei-Faktor-Authentifizierung erfordert.

Bei der Zwei-Faktor-Authentifizierung handelt es sich um eine Sicherheitsverbesserung, bei der Sie zwei verschiedene Arten der Identifizierung vorweisen müssen, um sich anzumelden. Benutzer verwenden eine Authentifizierer-App, die auf ihrem Gerät installiert ist, um einen TOTP-Passcode zu generieren und diesen Passcode zusammen mit ihren ersten Authentifizierungsanmeldedaten für die Anmeldung bei einer App zu verwenden. Benutzer können ihre bevorzugte Authentifizierer-App auf ihren persönlichen oder geschäftlichen mobilen Endgeräten nutzen, um den TOTP-Passcode zu generieren. Das Gerät muss kein mit Workspace ONE UEM verwaltetes oder registriertes Gerät sein.

Wenn Sie die Authentifizierung per Authentifizierer-App im Workspace ONE Access-Dienst aktivieren, können Sie konfigurieren, wie oft Benutzer einen falschen Passcode innerhalb eines Zeitraums für erneute Versuche eingeben können, bevor eine fünfminütige Wartezeit verhängt wird. Die Standardkonfigurationen ermöglichen maximal fünf erfolglose Versuche in einem Zeitfenster von fünf Minuten. Wenn ein sechster Versuch innerhalb von fünf Minuten fehlschlägt, kann sich das Benutzerkonto fünf Minuten lang nicht erneut mit der Authentifizierer-App authentifizieren. Die Einführung einer Wartezeit nach der Eingabe einer vordefinierten Anzahl falscher Passcodes ermöglicht einen stärkeren Schutz gegen potenziell böswillige Akteure und kann auf die Sicherheitsanforderungen Ihres Unternehmens zugeschnitten werden.

Sie können benutzerdefinierte Meldungen konfigurieren, die auf dem Anmeldebildschirm angezeigt werden, um zu erklären, wie die App registriert wird und was zu tun ist, wenn sich der Benutzer nicht anmelden kann.

In der Standardzugriffsrichtlinie oder in einer Anwendungszugriffsrichtlinie konfigurieren Sie Regeln, die eine Authentifizierer-App als zweite Form der Authentifizierung erfordern.

Eine Authentifikator-App ist in die Workspace ONE Intelligent Hub-App für iOS-Geräte und Android-Geräte integriert. Endbenutzer können auf ihr Profilsymbol tippen, um ihren Kontobildschirm zu öffnen, und auf Zwei-Faktor-Authentifizierung klicken, um die Authentifiziererfunktion einzurichten.

Endbenutzer können auch eine Authentifikator-App, die auf dem TOTP RFC 6238-Algorithmus basiert, aus dem Apple App Store oder dem Google Play Store herunterladen. Sie können auch einen browserbasierten Kennwortmanager verwenden, der einen TOTP-Passcode für die Anmeldung generieren kann.

Bei der ersten Anmeldung melden sich die Benutzer mit dem ersten erforderlichen Authentifizierungsnachweis an und werden aufgefordert, ihre Authentifizierer-App zu registrieren. Die von Ihnen erstellte benutzerdefinierte Registrierungsnachricht wird auf dem Bildschirm „Authentifizierer-App registrieren“ angezeigt. Zur Registrierung verwenden sie den in der Authentifizierer-App integrierten Scanner, um den QR-Code zu scannen und den sechsstelligen Passcode einzugeben, der in der Authentifizierer-App angezeigt wird. Wenn die Kamera zum Scannen des QR-Codes nicht zur Verfügung steht, haben die Nutzer die Möglichkeit, den Geheimcode manuell in der Authentifizierer-App einzugeben, um den sechsstelligen Passcode zu erhalten. Benutzer können den geheimen Code sehen, der in ihrer Authentifizierer-App eingegeben werden soll, indem sie auf dem Registrierungsbildschirm auf Verwenden Sie stattdessen einen Code klicken. In den Benutzerkonten der Workspace ONE Access-Konsole werden keine persönlichen Identitätsdaten gespeichert. Nur das Registrierungsdatum wird gespeichert.

Abbildung 1. Bildschirm „Authentifizierer-App registrieren“ mit QR-Code
Screenshot der Nachricht „Authentifizierer-App registrieren“, QR-Code und Geräte-Passcode

Wenn sich Benutzer nach der Registrierung ihrer Authentifizierer-App anmelden, werden sie aufgefordert, den sechsstelligen Passcode einzugeben, die die Authentifizierer-App auf dem Gerät anzeigt. Die Benutzer haben eine begrenzte Zeit, um den Passcode einzugeben, in der Regel 30 Sekunden, bevor ein neuer Passcode angezeigt wird.

Konfigurieren der Authentifizierer-App und Aktivieren der App im integrierten Identitätsanbieter

Prozedur

  1. Klicken Sie in der Workspace ONE Access-Konsole auf der Seite Integrationen > Authentifizierungsmethoden auf die Option Authentifizierer-App.
  2. Klicken Sie auf KONFIGURIEREN.
    Option Beschreibung
    Authentifizierung der Authentifikator-App aktivieren Aktivieren Sie die Umschaltoption Authentifizierung des Authentifizierer-App-Adapters.
    Anzahl der zulässigen Wiederholungsversuche Geben Sie die Anzahl der zulässigen Wiederholungsversuche ein, um festzulegen, wie oft ein Benutzer einen falschen Passcode eingeben kann, bevor der Anmeldeversuch fehlschlägt und der Zugriff verweigert wird.

    Der Wert kann zwischen 1 und 15 eingestellt werden.

    Der Standardwert ist 5 Mal.
    Wiederholungszeitraum Geben Sie die Anzahl der Minuten ein, in denen ein Benutzer die Eingabe eines Passcodes wiederholen muss, bevor er ausgesperrt wird.

    Der Wiederholungswert kann zwischen 5 und 60 Minuten eingestellt werden.

    Der Standardwert lautet 5 Minuten.

    Sperrzeitraum Geben Sie die Anzahl der Minuten ein, die ein Benutzer warten muss, wenn der Wiederholungswert erreicht ist, bevor er sich erneut anmelden kann.

    Der Sperrwert kann zwischen 5 und 60 Minuten eingestellt werden.

    Der Standardwert lautet 5 Minuten.
    Benutzerdefinierten Text für die Registrierung eingeben Beschreiben Sie dem Benutzer, wie er bei der Anmeldung vorgehen soll, einschließlich der zu installierenden Elemente und der zu erledigenden Aufgaben.

    Beispieltext: 

    Installieren Sie eine Authentifizierer-App auf Ihrem Gerät und scannen Sie diesen QR-Code. Geben Sie den einmaligen Passcode in der Authentifizierer-App ein.
    Benutzerdefinierten Text für die Wiederherstellung eingeben Beschreiben Sie, was zu tun ist, wenn sich der Benutzer nicht über seine Authentifikator-App anmelden kann.

    Das Standardszenario für die Anmeldung lässt einen Benutzer fünfmal innerhalb von fünf Minuten versuchen, einen Passcode einzugeben, bevor er für fünf Minuten ausgesperrt wird und es dann erneut versuchen kann.

  3. Klicken Sie auf SPEICHERN.
  4. Navigieren Sie zu Integrationen > Identitätsanbieter und wählen Sie den integrierten Identitätsanbieter aus.
    1. Wählen Sie im Abschnitt „Authentifizierungsmethoden“ die Option Authentifizierer-App aus.
    2. Klicken Sie auf Speichern.

Nächste Schritte

Erstellen Sie die Zugriffsrichtlinienregel, um die Authentifizierer-App als zweite Authentifizierungsmethode für die Zwei-Faktor-Authentifizierung zu verwenden. Siehe Hinzufügen der Workspace ONE Access-Standardzugriffsrichtlinie für Authentifizierungsregeln.

Zurücksetzen der Registrierung der Authentifizierer-App für einen Benutzer

Wenn ein Benutzer Sie kontaktiert, weil er seine Authentifizierer-App nicht verwenden kann, um sich bei der Workspace ONE Intelligent Hub-App oder bei einer Anwendung im Hub-Katalog anzumelden, für die eine Zwei-Faktor-Authentifizierung erforderlich war, müssen Sie die registrierte Authentifizierer-App über die Konsole zurücksetzen. Wenn Sie auf Zurücksetzen klicken, wird die registrierte Authentifizierer-App gelöscht. Benutzer werden bei der nächsten Anmeldung aufgefordert, die Authentifizierer-App erneut zu registrieren.

  1. Wählen Sie in der Workspace ONE Access-Konsole auf der Seite Konten > Benutzer den Benutzernamen aus, der die Zurücksetzung anfordert.
  2. Klicken Sie auf der Registerkarte Zwei-Faktor-Authentifizierung im Abschnitt Authentifizierer-App auf die Option ZURÜCKSETZEN.
  3. Klicken Sie im angezeigten Dialogfeld auf ZURÜCKSETZEN, um die Aktion zu bestätigen.