Hauptinhalt

Zwei-Faktor-Authentisierung

Der Zwei-Faktor-Authentisierungs-Dienst (2FA-Dienst) der Philipps-Universität Marburg dient der zeitgemäßen, zentralen und sicheren Authentisierung für die bereitgestellten Anwendungen der Universität und damit einer effektiven Erhöhung der Sicherheit für die bereitgestellte IT-Infrastruktur und die darin gespeicherten Daten.

• Wo den per Post erhaltenen Token aktivieren? Weiter zum 2FA-Portal
• Erstsemester und noch kein Token? Weiter zum 2FA-Portal
• Prüfungsanmeldung in Marvin und Token liegt nicht vor? Weiter zum Antrag
• An der Uni beschäftigt und noch kein Token? Weiter zum Antrag
• Verlorenes Token melden? Weiter zum Antrag
• TAN- oder App-Tokens selbst erstellen und verwalten? Weiter zum 2FA-Portal

Die Authentisierung der Benutzer an 2FA-fähigen-Anwendungen erfolgt mittels Benutzername und Benutzerpasswort (erster Faktor,  „etwas was man weiß“) sowie zusätzlich einem dem Benutzer zugeordneten und dem Benutzer ausgehändigten Token (zweiter Faktor, „etwas was man hat“, z. B. TAN-Token, App-Token, YubiKey-Token). Durch die Prüfung des zweiten Faktors lassen sich die Risiken aktueller Angriffs-Szenarien wie beispielweise Man-In-The-Middle-, Phishing- und Brute-Force-Angriffe erheblich reduzieren.

In vielen angebundenen Anwendungen (LDAP-Online-Verzeichnis, 2FA-Portal, Live-Support, Live-Chat, GitLab usw.) erfolgt die Zwei-Faktor-Authentisierung beim Login. Als Benutzername werden der Benutzername des Uni-Accounts (z. B. "muellerx" oder "Muellerx") eingegeben. Als Passwort wird das persönliche Benutzerpasswort direkt gefolgt von einem gültigen Einmalpasswort eingegeben.

In Marvin erfolgt das Login dagegen wie bisher nur mit Benutzername des Uni-Accounts (z. B. "muellerx" oder "Muellerx") und persönlichem Benutzerpasswort. Lediglich für Prüfungsangelegenheiten (z. B. Anmeldung, Abmeldung) wird der zweite Faktor durch gesonderte Eingabe eines gültigen Einmalpassworts (z. B. TAN-Token, App-Token) abgefragt.

Zielgruppe

Bedienstete, Studierende, Gäste

Voraussetzungen

• Zentrales Benutzerkonto (Uni-Account)
• Ein funktionsfähiges Token (TAN-Token, App-Token, YubiKey-Token).
  Beschäftigte erhalten Ihren Token (YubiKey) automatisch nach Meldung der Daten aus der Personalabteilung
  Studierende erstellen Ihren ersten Token analog der Accountaktivierung Ausgabe des initialen Tokens (Studierende)
  Gäste, Partner*innen und Dienstleister*innen erhalten Ihr Token über den  Antrag auf Ausgabe eines Tokens für die Zwei-Faktor-Authentisierung

Status

An den zentralen 2FA-Dienst sind derzeit folgende universitätsinterne Dienste angebunden:

• Benutzungsantrag für Mitarbeitende (staff)
• Digitale Zertifikate (students/staff)
• GitLab (students/staff)
• LDAP-Online-Verzeichnis (students/staff/hrz)
• Live-Support (students/staff)
• Live-Chat (students/staff)
• Marvin Campus-Management-System (students/staff)
• SSH Login-Server (students/staff)
• VPN (students/staff)

Die Anbindung weiterer Dienste ist in Planung.

Formulare

• Antrag auf Ausgabe eines Tokens für die Zwei-Faktor-Authentisierung
• Meldung zum aktuellen Status eines Tokens

Anleitungen

• App-Token
• TAN-Token
• YubiKey-Token

• Inhalt ausklappen Inhalt einklappen Support und Hilfe

  Bei Problemen mit der Authentisierung wenden Sie sich bitte an die FAQ zur Zwei-Faktor-Authentisierung oder an den IT-Servicedesk (Lahnberge), auch erreichbar per E-Mail unter 2fa@hrz.uni-marburg.de. Bitte geben Sie bei Anfragen Ihren Account und das Thema an.

• Inhalt ausklappen Inhalt einklappen  Verwandte Dienste

  • Zentrales Benutzerkonto (Uni-Account)
  • Shibboleth (Web-Login)

• Inhalt ausklappen Inhalt einklappen Wissenswertes

  Was ist Authentisierung? Was ist Authentifizierung?

  Authentisierung ist die Behauptung von Eigenschaften durch eine Entität, zur anschließenden Authentifizierung. Authentifizierung ist die Prüfung der von einer Entität behaupteten Eigenschaften, zur Sicherstellung der Authentizität der Entität. Im englischsprachigen Raum gibt es diese begriffliche Unterscheidung nicht. Authentication kann also je nach Kontext beides bedeuten.

  Software und Systemdesign

  Der Zwei-Faktor-Authentisierungs-Dienst der Philipps-Universität Marburg basiert auf der Open-Source-Software PrivacyIDEA. PrivacyIDEA bietet einen hohen Funktionsumfang, ist flexibel erweiterbar und ermöglicht eine nahtlose Integration in die bestehende und sich stetig weiterentwickelnde IT-Infrastrukur des Rechenzentrums. Um hohe Performance, hohe Verfügbarkeit und optimale Wartbarkeit zu garantieren, läuft PrivacyIDEA im Rechenzentrum redundant und horizontal-skalierbar im Cluster-Betrieb mit mehreren PrivacyIDEA-Workern.

  HRZ-interne Dienste mit Zwei-Faktor-Authentisierung

  • GitLab Portal für Source-Code-Management und Continuous Integration (staff)
  • Graylog Portal für Log-Management (staff)
  • Kibana Portal für Data-Visualisation (staff)
  • VPN via VPN-Gruppe vpngroup-hvpn (hrz)