Schakel de verificatiemethode Verificator-app in Workspace ONE Access in voor tweeledige verificatie zodat gebruikers een TOTP-toegangscode (Time-based One-time) moeten invoeren als tweede verificatiegegevens wanneer ze zich aanmelden bij de Workspace ONE Intelligent Hub-app of een app die tweeledige verificatie vereist.

Tweeledige verificatie is een beveiligingsverbetering waarbij u twee afzonderlijke identificatievormen moet tonen om u aan te melden. Gebruikers gebruiken een verificator-app op hun apparaat om een TOTP-toegangscode te genereren en gebruiken deze toegangscode samen met hun eerste verificatiegegevens om zich aan te melden bij een app. Gebruikers kunnen de gewenste verificator-app gebruiken op hun persoonlijke of zakelijke mobiele apparaat om de TOTP-toegangscode te genereren. Het apparaat hoeft geen beheerd of geregistreerd apparaat met Workspace ONE UEM te zijn.

Wanneer u de verificatiemethode Verificator-app inschakelt in de Workspace ONE Access-service, kunt u instellen hoe vaak gebruikers een onjuiste toegangscode kunnen invoeren binnen een periode voor nieuwe pogingen voordat een wachttijd van vijf minuten wordt opgelegd. In de standaardconfiguraties zijn maximaal vijf mislukte pogingen in een periode van vijf minuten mogelijk. Wanneer een zesde poging mislukt binnen een periode van vijf minuten, kan het gebruikersaccount gedurende vijf minuten niet opnieuw worden geverifieerd met de verificator-app. Het implementeren van een wachttijd nadat er een vooraf gedefinieerd aantal onjuiste toegangscodes is ingevoerd, zorgt voor sterkere bescherming tegen mogelijk kwaadwillende gebruikers en kan worden aangepast aan de beveiligingsvereisten van uw organisatie.

U kunt aangepaste berichten configureren die op het aanmeldingsscherm worden weergegeven om te beschrijven hoe de app kan worden geregistreerd en wat moet worden gedaan als de gebruiker zich niet kan aanmelden.

In het standaardtoegangsbeleid of in een toegangsbeleid voor applicaties configureert u regels om een verificatie met de verificator-app als tweede verificatievorm te vereisen.

Een verificator-app is ingebouwd in de Workspace ONE Intelligent Hub-app voor iOS-apparaten en Android-apparaten. Eindgebruikers kunnen op hun profielpictogram tikken om het scherm Account te openen en op Tweeledige verificatie klikken om de verificatorfunctionaliteit in te stellen.

Eindgebruikers kunnen ook een verificator-app die is gebaseerd op het TOTP RFC 6238-algoritme, downloaden van de Apple App Store of de Google Play Store. Ze kunnen ook een browsergebaseerde wachtwoordmanager gebruiken die een TOTP-toegangscode kan genereren om aan te melden.

Wanneer gebruikers zich de eerste keer aanmelden, melden ze zich aan met de eerste vereiste verificatiegegevens en worden ze gevraagd hun verificator-app te registreren. Het aangepaste registratiebericht dat u maakt, wordt weergegeven in het scherm Verificator-app registreren. Voor de registratie gebruiken ze de scanner die is ingebouwd in de verificator-app, om de QR-code te scannen en de toegangscode van zes cijfers in te voeren die wordt weergegeven in de verificator-app. Als de camera niet beschikbaar is voor het scannen van de QR-code, hebben gebruikers de optie om de geheime code handmatig in te voeren in de verificator-app om de toegangscode van zes cijfers op te halen. Gebruikers zien de geheime code die ze in hun verificator-app moeten invoeren als ze op Een code gebruiken klikken in het registratiescherm. Er worden geen persoonsgegevens opgeslagen in de gebruikersaccounts van de Workspace ONE Access-console, alleen de registratiedatum wordt opgeslagen.

Figuur 1. Het registratiescherm voor de verificator-app met een QR-code
Screenshot van bericht, QR-code en toegangscode voor registratie van de verificator-app

Wanneer gebruikers zich aanmelden nadat ze hun verificator-app hebben geregistreerd, wordt hen gevraagd om de toegangscode van zes cijfers in te voeren die de verificator-app op het apparaat weergeeft. Gebruikers hebben een beperkte tijd om de toegangscode in te voeren (doorgaans 30 seconden), voordat een nieuwe toegangscode wordt weergegeven.

Verificator-app configureren en inschakelen in de ingebouwde identiteitsprovider

Procedure

  1. Klik op Verificator-app op de pagina Integraties > Verificatiemethoden in de Workspace ONE Access-console.
  2. Klik op CONFIGUREREN.
    Optie Beschrijving
    Verificatie met verificator-appadapter inschakelen Klik op het schakelaarpictogram om Verificatie van verificatorappadapter in te schakelen.
    Aantal toegestane nieuwe pogingen Voer hoeveel keer een gebruiker een onjuiste toegangscode kan invoeren voordat de aanmeldingspoging mislukt en de toegang wordt geweigerd.

    De waarde kan worden ingesteld tussen 1 en 15.

    De standaardwaarde is vijf pogingen.
    Periode voor nieuwe pogingen Voer het aantal minuten in dat een gebruiker kan proberen een toegangscode opnieuw in te voeren voordat hij wordt geblokkeerd.

    De waarde voor nieuwe pogingen kan worden ingesteld tussen 5 en 60 minuten.

    De standaardwaarde is 5 minuten.

    Vergrendelingsperiode Geef het aantal minuten op dat een gebruiker moet wachten wanneer de waarde voor nieuwe pogingen is bereikt voordat hij zich opnieuw kan proberen aan te melden.

    De waarde voor vergrendeling kan worden ingesteld tussen 5 en 60 minuten.

    De standaardwaarde is 5 minuten.
    Voer de aangepaste tekst in voor de registratie Beschrijf de procedure voor de gebruiker om zich aan te melden, inclusief wat moet worden geïnstalleerd en wat er moet worden gedaan.

    Voorbeeldtekst. 

    Installeer een verificator-app op uw apparaat en scan deze QR-code. Voer de eenmalige toegangscode in die in de verificator-app wordt weergegeven.
    Voer de aangepaste tekst in voor herstel Beschrijf wat moet worden gedaan als de gebruiker zich niet kan aanmelden via de verificator-app.

    In het standaardscenario voor aanmelden kan een gebruiker binnen 5 minuten opnieuw proberen een toegangscode in te voeren, voordat deze 5 minuten wordt geblokkeerd, waarna hij het opnieuw kan proberen.

  3. Klik op OPSLAAN.
  4. Ga naar Integraties > Identiteitsproviders en selecteer de ingebouwde identiteitsprovider.
    1. Selecteer Verificator-app in de sectie Verificatiemethoden.
    2. Klik op Opslaan.

Wat nu te doen

Maak de toegangsbeleidsregel om Verificator-app als tweede verificatiemethode voor tweeledige verificatie te gebruiken. Zie Workspace ONE Access-standaardtoegangsbeleid voor verificatieregels toevoegen.

Registratie van verificator-app voor een gebruiker opnieuw instellen

Wanneer een gebruiker contact met u opneemt omdat deze de verificator-app niet kan gebruiken om zich aan te melden bij de Workspace ONE Intelligent Hub-app of bij een applicatie in de Hub-catalogus waarvoor tweeledige verificatie is vereist, moet u de geregistreerde verificator-app opnieuw instellen in de console. Wanneer u op Opnieuw instellen klikt, wordt de geregistreerde verificator-app verwijderd. De volgende keer dat gebruikers zich aanmelden, wordt hen gevraagd de verificator-app opnieuw te registreren.

  1. Selecteer op de pagina Accounts > Gebruikers in de Workspace ONE Access-console de gebruikersnaam die vraagt om de app opnieuw in te stellen.
  2. Klik op het tabblad Tweeledige verificatie in de sectie Verificator-app op OPNIEUW INSTELLEN.
  3. Klik in het geopende dialoogvenster op OPNIEUW INSTELLEN om de actie te bevestigen.