Anleitung zur Tokenverwaltung

Tokenverwaltung mittels IdM-Selfservice

Im Bereich Multi-Faktor-Athentifizierung des IdM-Selfservice Portals können MFA-Tokens generiert und gelöscht werden. Eine weitere Funktion ist das Zurücksetzen des Fehlerzählers eines Tokens. Um die Multi-Faktor-Athentifizierung für das IdM-Portal zu aktivieren muss im Rechten Bereich die entsprechende Auswahlbox angeklickt sein.

Generierung:

      1. Bei der Erstellung eines neuen Tokens wird zunächst eine Beschreibung für diesen Token abgefragt. Diese ist später zur Identifikation der Tokens sinnvoll. Im nächsten Schritt wird im Browserfenster ein QR-Code angezeigt. Dieser Code kann in der bevorzugten Authentifizierungs Anwendung (siehe Anwendungs-Empfehlungen) eingescannt werden. Falls eine Desktop Anwendung genutzt wird, in der kein Scannen möglich ist kann der Secret/Key (durch klicken auf Show Secret/Key) angezeigt werden und per Copy&Paste in der Anwendung eingefügt werden. Zur Validierung des Tokens muss ein OTP der von der Authentifizierungs Anwendung generiert wird eingegeben werden.

 

Löschen:

      1. Tokens können in diesem Bereich des IdM-Selfservice gelöscht werden. Das Löschen wird mit einem One-Time-Password bestätigt. Der letzte Token kann nur gelöscht werden, wenn die Multifaktor-Authentifizierung für den IdM-Zugang deaktiviert ist.

 

Fehlerzähler zurücksetzen:

    1. Eine weitere Funktion im Bereicht Multifaktor-Authentifizierung ist das zurücksetzen des Fehlerzählers eines Tokens. Bei einer Fehlgeschlagenen OTP-Validierung wird der Fehlerzähler hochgesetzt. Es erfolgt eine E-Mail-Benachrichtigung über einen fehlgeschlagenen Versuch. Wenn der Fehlerzähler den Wert 50 erreicht wird der Token gesperrt. In diesem Fall erfolgt das entsperren über unseren Service-Theken.

Tokens sollten mit Vorsicht gehandhabt werden. Das QR-Code bzw. der Secret/Key sollten nur einmalig in die Authentifizierungs Anwendung eingepflegt werden, und nicht in Bild- bzw. Textform gespeichert werden. Falls ein Token verloren geht, wird immer empfohlen einen neuen zu generieren.