Benutzerhandbuch Buchversion KIVI
Version 1692, 03.11.2022, 14:54:32 Uhr
Dieses Dokument ist Teil der Anfrage „Benutzerhandbuch KI-Tool "KIVI"“
Link zum Passwort-Vergessen-Dialog-des-Keycloak-Accountmanagers Abbildung: 3. Keycloak Passwort setzen 1 von 3 Abbildung: 4. Keycloak Passwort setzen 2 von 3
Abbildung: 5. Keycloak Passwort setzen 3 von 3 1.5. Abschnitt III - Keycloak-Accountmanager für Zwei-Faktor- Authentifizierung einrichten (Abschnitt III) 1.5.1. Einrichten eines Gerätes - Version: Handy Um die Zwei-Faktorauthentifizierung einzurichten, müssen Sie sich zunächst mit Ihrem neu eingerichteten Passwort anmelden: Link Keycloak-Accountmanager Keycloak-Accountmanager Login Das weitere Vorgehen beschreiben die nächsten 4 Abbildungen. Die Schritte 1-2 werden nur benötigt, wenn sie ein zusätzliches zweites Gerät mit Multifaktorauthentifizierung einrichten wollen. Da wir Mai 2022 die Multifaktorauthentifizierung verpflichtend konfiguriert haben, werden sie sofort nach dem Anlegen des Passworts zu Schritt 3/4 weitergeleitet, wo Sie aufgefordert werden, mit ihrem Gerät den QR-Code zu scannen. Sie befinden sich dann also im Bild quasi auf der rechten Seite unter dem Punkt: 2. Handy.
Abbildung: 6. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 3 von 4 Beim erstmaligen Einrichten der 2FA ist der Name des Endgerätes nicht erforderlich. Beim zweiten Gerät ist das Ausfüllen des Gerärenamens allerdings Pflicht und muss gemeinsam mit dem Einmalcode eingegeben werden. Sie können da beispielsweise ihren Geräte-Hersteller oder aber einfach Handy-<Ihr-Kürzel> eingeben. Diese Bezeichnung benutzt Keycloak, um bei mehreren eingerichteten Geräten, die verschiedenen Geräte zu unterscheiden. Beim Login müssen sie dann beim Einmalcode-Eingabefenster auch das richtige Gerät auswählen, bevor sie den Code eingeben. Sicherheithinweis Bitte achten Sie darauf, dass Sie niemandem einen Screenshot mit ihrem QR-Code versehentlich zur Verfügung stellen. Sollte es Ihnen passiert sein, entfernen Sie bitte die OTP- Registrierung, die mit einem weitergegebenen QR-Code verbunden ist, aus dem Accountmanager und führen Sie ein neue Registrierung für dieses Gerät durch.
Wenn Ihre Registrierung erfolgreich war, gelangen Sie zum Bild für den Schritt 4. Tipp Wenn Sie zu langsam waren, tragen Sie bitte den Gerätenamen beim nächsten Versuch schon vor dem Scannen ein. Sie haben nur 30 Sekunden nach dem Scannen zum Eintragen des Einmalcodes und dem Klicken auf Senden. Abbildung: 7. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 4 von 4 1.5.2. Entfernen eines Gerätes bei Verlust oder Wechsel des Handys In der Abbildung oben können Sie sehen, dass eine Zwei-Faktor-Authentifizierung für ein Gerät mit Hilfe der Schaltfläche Entfernen auch wieder löschen können, falls sie ein neues Handy benutzen wollen oder ihr Handy verloren gegangen ist. Bei einem Passwortwechsel wird beispielsweise automatisch eine neue Aktivierung erzwungen. Es ist dann hilfreich, die erste zu entfernen. 1.5.3. Registrieren zusätzlicher Geräte Wollen Sie aber mit Handy oder Taplet arbeiten, können Sie durchaus beide aktivieren. Keycloak kann diese unterscheiden. Melden Sie sich dazu Keycloak-Account-Manager an. Das können entweder direkt über folgende Verknüpfung: Link Keycloak-Accountmanager
Keycloak-Accountmanager Login oder wenn Sie schon in Kivi angemeldet sind, über das Profilmenü in der rechten Ecke (Avatarsymbol) und da den Punkt Keycloak-Account verwalten Dann sollten Sie folgenden Bildschirminhalt sehen und den in den Bilder angegebenen Schritten folgen. Abbildung: 8. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 1 von 4
Abbildung: 9. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 2 von 4 Abbildung: 10. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 3 von 4
Abbildung: 11. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 4 von 4 Beim Login werden Sie dannin Zukunft immer aufgefordert zunächst Benutzernamen und Passwort anzugeben und danach erfolgt die Abfrage des Einmalcodes Bitte beachten Sie dann die Auswahl des aktuell zum Einloggen verfügbaren Geräts, falls sie mehrere Geräte registriert haben. Abbildung: 12. Einmalcode-Dialog mit mehreren registrierten Geräten 1.5.4. Multifaktorauthentifizierung Benutzung ohne Handy 1.5.4.1. Benutzung von ReinerSCT Authenticator
Für den Fall, dass Ihnen kein Diensthandy zur Verfügung steht, können Sie ein Zusatzgerät benutzen, dass Ihnen laut LFM von Ihrer Dienststelle bestellt werden sollte. Es ist der ReinerSCT Authenticator. Die Abbildung zeigt Ihnen das Gerät und die wichtigsten Vorteile der Nutzung. Abbildung: 13. Zusatzgerät für die Multifaktorauthentifizierung ohne Handy Bildquelle: [5] https://cdn- reichelt.de/bilder/web/xxl_ws/F100/REINER_SCT_2708015_01.png Den folgenden Link können Sie benutzen, um das Gerät zu bestellen. Link ReinerSCT Authenticator-Bestellung ReinerSCT Authenticator-Bestellung bei Reichelt (https://www.reichelt.de/de/de/reiner-sct-authenticator-sct-2708015-000-p281326.html? PROVID=2788&gclid=EAIaIQobChMIy6fvofzb9gIVU4fVCh0tKws7EAQYAyABEgLWePD_BwE&&r=1) Für den dritten Schritt im Abschnitt III finden sie dann die entsprechende Abbildung, in der Ihnen die Benutzung des Gerätes gezeigt wird.
Abbildung: 14. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 3b von 4 Danach folgen Sie wieder Anleitung Schritt 4. Sie können auf dem Gerät auch mehrere Konten einrichten, falls Sie beispielsweise auch für Ihren Sharepointzugriff so einen Einmalcode benötigen. Auch das finden Sie in der unten verlinkten Geräteanleitung. Denken Sie bitte daran, ihr Gerät zusätzlich mit einer PIN zu schützen, damit keine Fremden ihren Einmalcode-Konten durch einfaches Einschalten benutzen können. Benutzen Sie dazu bitte die Anleitung - Abschnitt 5 Pin Schutz verwenden (https://cdn-reichelt.de/documents/datenblatt/F100/REINER_SCT_AUTHENTICATOR_BDA-DE.pdf) des Gerätes. 1.5.4.2. Benutzung von Zusatzprogrammen unter Windows Es gibt für Windows auch einige Programme, mit denen man eine Multifaktorauthentifizierung durchführen kann. Allerdings soll die Authentifizierung eigentlich niemals mit demselben Gerät erfolgen, mit dem sie sich auch anmelden.
Einzige empfohlene Variante wäre der Passwortmanager Bitwarden. Allerdings auch nur, wenn Sie eine lokalen inhouse-Installation benutzen. Die allgemeine Bitwarden- Cloudversion sollten sie nicht benutzen, da deren Daten wieder in die Vereinigten Staaten gehen. Hier sind ein paar Programme aufgeführt, die möglicherweise bereits von dem einen oder anderen genutzt werden, aber von Seiten Condat explizit nicht empfohlen werden: WinAuth ist eine open sourcen Anwendung, die man nur auspacken muss. Allerdings wird sie von Administratoren aus Sicherheitsgründen nicht empfohlen (!!!), da sie seit 2018 nicht weiterentwickelt wurde und dadurch keine Sicherheitsupdates mehr bekommt. Wir weisen daraufhin, dass Sie diesen Hinweis bitte ernst nehmen sollen. Authy von Twilio ist zwar von den technischen Sicherheit der Anwendung eine Alternative, allerdings genügt diese Anwendung nicht der DSGVO, da die Daten in die Vereinigten Staaten geschickt werden. WinOTP wird noch offiziell über den Microsoft-Shop angeboten, ist aber auch schon von 2019 (letzes Update) und hat bei einigen Nutzern Probleme mit der Kameraintegration für die QR-Code-Scanns 1.6. Abschnitt IV - Keycloak Passwort ändern Es gibt 2 Wege um zur Anmeldung für den Keycloak-Accountmanager zu gelangen: Aus dem Profilmenü heraus. Dadurch öffnet sich keycloak in einem neuen Tab. Über diesen nachfolgenden Link Link zur Anmeldung an den Keycloak-Accountmanager Keycloak-Accountmanager - Anmeldung Klicken Sie dann unter Kontosicherheit auf Anmeldung oder direkt Anmelden (oben rechts) und geben Sie Passwort und Einmalcode ein. Wenn Sie angemeldet sind, sehen Sie das daran, wenn Sie oben rechts Ihren Namen sehen und Abmelden als Schaltfläche erscheint.