1. Schritt:

  • Wird Ihnen nach der Anmeldung an HISinOne mit Benutzername und Passwort die folgende Ansicht angezeigt, so   besitzen   Sie   mindestens   eine   Rolle,  für   die   eine   2-Faktor-Authentifizierung vorgeschrieben ist.
2fa
 

2. Schritt:

  • Auf Ihren Klick hin öffnet sich in einem neuen Browser-Tab die Login-Maske für die OTP-Token-Verwaltung(kdvtfa), die die KDV für Ihr HISinOne-System bereitgestellt hat. 
  • Wenn Sie dort noch kein Token hinterlegt haben können Sie sich einfach mit Ihrem Benutzernamen und Passwort aus HISinOne anmelden. Haben Sie bereits ein Token hinterlegt, müssen Sie zusätzlich ein damit generiertes One-Time-Password (OTP) angeben.

OTP
 

3. Schritt:

  • Haben Sie in HISinOne keine Administratorrechte, so wird ihnen nun direkt die Maske zur Verwaltung ihrer OTP-Tokens angezeigt (siehe Bild).
  • Haben Sie Administratorrechte in HISinOne so wird Ihnen eine Liste der Benutzer angezeigt, die Rollen besitzen, für die eine 2-Faktor-Authentifizierung erforderlich ist oder die bereits mindestens ein Token konfiguriert haben. In diesem Fall klicken Sie oben links auf Ihren Benutzernamen (hier im Bild wiw) und Sie landen in der gleichen Ansicht wie Nutzer ohne Administratorrechte. Mit den beiden Buttons TOTP und Yubikey können Sie Tokens für Ihren Account konfigurieren.
totptoken
 

4. Schritt (TOTP mit dem Smartphone):

Sie können diesen Schritt überspringen und direkt zu Schritt Nr. 7 gehen, falls Sie sich für die Yubikey-Variante entscheiden.

  • Wenn Sie keinen YubiKey besitzen, bietet sich die Verwendung von TOTP in Verbindung mit einer geeigneten Smartphone-App an. Getestet wurde die Anwendung mit den Apps Google Authenticator (von Google) FreeOTP (von RedHat) und Yubico Authenticator.
  • Installieren Sie sich eine der oben genannten Apps auf Ihr Smartphone und klicken Sie auf den Button TOTP in der oben abgebildeteten Maske der kdvtfa. Im Anschluss sehen sie folgende Darstellung.
  • Geben Sie bei der Beschreibung einen geeigneten Text an, um zu wissen bei welchem Gerät sie das Token hinterlegt haben (z. B. iPhone wenn Sie das Token dort speichern).

qr
 

5. Schritt:

  • Öffnen Sie nun Ihre OTP-App (Google Authenticator, Yubico Authenticator oder FreeOTP) auf dem Smartphone und scannen Sie damit den angezeigten QR-Code.

  • Bei FreeOTP verwenden Sie hierzu den in dieser Abbildung rot umrandeten Button. Anschließend lassen Sie sich das erste One-Time-Passwort anzeigen und geben es in der Maske der kdvtfa in das Feld OTP ein, um zu bestätigen, dass Sie den QR-Code korrekt gescannt haben.

 

freeotp
 

6. Schritt:

  • Anschließend sollte Sie die folgende Ansicht erhalten.
  • Nun haben Sie Ihr erstes OTP-Token für HISinOne registriert und können es fortan bei der Anmeldung an HISinOne benutzen.

  • Prinzipiell ist es immer möglich, dass ein Smartphone verloren geht oder zerstört wird. Aus diesem Grund empfehlen wir insbesondere für die Administratoren der Hochschulen, mehr als ein Token zu registrieren (z. B. ein Yubikey + ein TOTP-Token auf dem Smartphone oder ein TOTP-Token auf dem Smartphone und eins auf dem Tablet).

    Administratoren können Benutzern im Notfall verlorene Tokens entfernen, so dass diese wieder nur mit dem Benutzernamen und dem Passwort ein neues Token hinterlegen können.

angelegtestoken
 

7. Schritt (Registrieren eines YubiKeys):

  • Die Einrichtung eines Yubikeys ist im Vergleich zu den TOTP Möglichkeiten viel leichter. Dazu benötigen Sie nur einen unterstützten Yubikey und eine USB-Schnittstelle, in der Sie diesen einstecken.
  • Beim erstmaligen Einstecken empfiehlt es sich kurz zu warten bis Windows ihn erkannt und eventuell fehlende Treiber automatisch nachinstalliert hat. Das sollte nach maximal einer Minute sicher erledigt sein.
  • Danach klicken Sie in der kdvtfa auf den Button Yubikey. Danach sehen Sie folgende Ansicht.
  • Eine Beschreibung wäre hier nur sinnvoll, wenn Sie mehrere Yubikeys besitzen. Klicken Sie mit der Maus in das Feld OTP und drücken Sie einmal auf den Button Ihres Yubikeys und klicken Sie, falls erforderlich, auf den Button Anlegen. Anschließend ist der Key mit Ihrem Account verbunden und kann für die Anmeldung an HISinOne verwendet werden.

tokenfertig

Welche YubiKeys werden unterstützt?

 

Getestet wurde die Anwendung mit zwei Yubico YubiKey5 NFC. Grundsätzlich unterstützt werden alle Keys der YubiKey 5 Serie1(YubiKey 5 NFC, YubiKey 5 NANO, YubiKey 5C, YubiKey 5C NANO und YubiKey 5Ci) und der YubiKey FIPS Serie(YubiKey FIPS, YubiKey NANO FIPS, YubiKey C FIPS und YubiKey C NANO FIPS).

yubiKeys supported
(Bild: Yubico.com)

Ebenfalls kompatibel, aber nicht mehr beim Hersteller erhältlich sind die YubiKeys der YubiKey 4 Serie.

YubiKeysSeries4
(Bild: Yubico.com)

Nicht geeignet sind der Yubico Security Key und der Yubico Security Key NFC. Sie unterstützen kein OTP. Beide sind gut am blauen Gehäuse erkennbar.

 

1 https://www.yubico.com/products/compare-yubikey-5-series/

2 https://www.yubico.com/products/compare-yubikey-fips/

Word-Datei