Link zum Passwort-Vergessen-Dialog-des-Keycloak-Accountmanagers




  Abbildung: 3. Keycloak Passwort setzen 1 von 3




  Abbildung: 4. Keycloak Passwort setzen 2 von 3

Abbildung: 5. Keycloak Passwort setzen 3 von 3



1.5. Abschnitt III - Keycloak-Accountmanager für Zwei-Faktor-
Authentifizierung einrichten (Abschnitt III)
1.5.1. Einrichten eines Gerätes - Version: Handy
Um die Zwei-Faktorauthentifizierung einzurichten, müssen Sie sich zunächst mit Ihrem neu
eingerichteten Passwort anmelden:

Link Keycloak-Accountmanager
Keycloak-Accountmanager Login

Das weitere Vorgehen beschreiben die nächsten 4 Abbildungen.

Die Schritte 1-2 werden nur benötigt, wenn sie ein zusätzliches zweites Gerät mit
Multifaktorauthentifizierung einrichten wollen.

Da wir Mai 2022 die Multifaktorauthentifizierung verpflichtend konfiguriert haben, werden
sie sofort nach dem Anlegen des Passworts zu Schritt 3/4 weitergeleitet, wo Sie aufgefordert
werden, mit ihrem Gerät den QR-Code zu scannen. Sie befinden sich dann also im Bild quasi
auf der rechten Seite unter dem Punkt: 2. Handy.

Abbildung: 6. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 3 von 4



Beim erstmaligen Einrichten der 2FA ist der Name des Endgerätes nicht erforderlich. Beim
zweiten Gerät ist das Ausfüllen des Gerärenamens allerdings Pflicht und muss gemeinsam mit
dem Einmalcode eingegeben werden. Sie können da beispielsweise ihren Geräte-Hersteller
oder aber einfach Handy-<Ihr-Kürzel> eingeben. Diese Bezeichnung benutzt Keycloak, um bei
mehreren eingerichteten Geräten, die verschiedenen Geräte zu unterscheiden. Beim Login
müssen sie dann beim Einmalcode-Eingabefenster auch das richtige Gerät auswählen, bevor
sie den Code eingeben.




               Sicherheithinweis

               Bitte achten Sie darauf, dass Sie niemandem einen Screenshot mit
               ihrem QR-Code versehentlich zur Verfügung stellen.
              Sollte es Ihnen passiert sein, entfernen Sie bitte die OTP-
               Registrierung, die mit einem weitergegebenen QR-Code verbunden ist,
               aus dem Accountmanager und führen Sie ein neue Registrierung für
               dieses Gerät durch.

Wenn Ihre Registrierung erfolgreich war, gelangen Sie zum Bild für den Schritt 4.

Tipp
Wenn Sie zu langsam waren, tragen Sie bitte den Gerätenamen beim nächsten Versuch schon
vor dem Scannen ein. Sie haben nur 30 Sekunden nach dem Scannen zum Eintragen des
Einmalcodes und dem Klicken auf Senden.




  Abbildung: 7. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 4 von 4


1.5.2. Entfernen eines Gerätes bei Verlust oder Wechsel des Handys
In der Abbildung oben können Sie sehen, dass eine Zwei-Faktor-Authentifizierung für ein
Gerät mit Hilfe der Schaltfläche Entfernen auch wieder löschen können, falls sie ein neues
Handy benutzen wollen oder ihr Handy verloren gegangen ist. Bei einem Passwortwechsel
wird beispielsweise automatisch eine neue Aktivierung erzwungen. Es ist dann hilfreich,
die erste zu entfernen.

1.5.3. Registrieren zusätzlicher Geräte
Wollen Sie aber mit Handy oder Taplet arbeiten, können Sie durchaus beide aktivieren.
Keycloak kann diese unterscheiden.
Melden Sie sich dazu Keycloak-Account-Manager an. Das können

   entweder direkt über folgende Verknüpfung:

Link Keycloak-Accountmanager

Keycloak-Accountmanager Login
oder

   wenn Sie schon in Kivi angemeldet sind, über das Profilmenü in der rechten Ecke
   (Avatarsymbol) und da den Punkt Keycloak-Account verwalten

Dann sollten Sie folgenden Bildschirminhalt sehen und den in den Bilder angegebenen
Schritten folgen.




  Abbildung: 8. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 1 von 4

Abbildung: 9. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 2 von 4




Abbildung: 10. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 3 von 4

Abbildung: 11. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 4 von 4



Beim Login werden Sie dannin Zukunft immer aufgefordert

  zunächst Benutzernamen und Passwort anzugeben und

  danach erfolgt die Abfrage des Einmalcodes
  Bitte beachten Sie dann die Auswahl des aktuell zum Einloggen verfügbaren Geräts, falls
  sie mehrere Geräte registriert haben.




  Abbildung: 12. Einmalcode-Dialog mit mehreren registrierten Geräten



1.5.4. Multifaktorauthentifizierung Benutzung ohne Handy
1.5.4.1. Benutzung von ReinerSCT Authenticator

Für den Fall, dass Ihnen kein Diensthandy zur Verfügung steht, können Sie ein Zusatzgerät
benutzen, dass Ihnen laut LFM von Ihrer Dienststelle bestellt werden sollte. Es ist der
ReinerSCT Authenticator.

Die Abbildung zeigt Ihnen das Gerät und die wichtigsten Vorteile der Nutzung.




  Abbildung: 13. Zusatzgerät für die Multifaktorauthentifizierung ohne Handy

  Bildquelle: [5] https://cdn-
  reichelt.de/bilder/web/xxl_ws/F100/REINER_SCT_2708015_01.png



Den folgenden Link können Sie benutzen, um das Gerät zu bestellen.

Link ReinerSCT Authenticator-Bestellung
ReinerSCT Authenticator-Bestellung bei Reichelt
(https://www.reichelt.de/de/de/reiner-sct-authenticator-sct-2708015-000-p281326.html?
PROVID=2788&gclid=EAIaIQobChMIy6fvofzb9gIVU4fVCh0tKws7EAQYAyABEgLWePD_BwE&&r=1)


Für den dritten Schritt im Abschnitt III finden sie dann die entsprechende Abbildung, in der
Ihnen die Benutzung des Gerätes gezeigt wird.

Abbildung: 14. Keycloak - Mehrfachauthentifizierung (2FA) konfigurieren 3b von 4



Danach folgen Sie wieder Anleitung Schritt 4.

Sie können auf dem Gerät auch mehrere Konten einrichten, falls Sie beispielsweise auch für
Ihren Sharepointzugriff so einen Einmalcode benötigen. Auch das finden Sie in der unten
verlinkten Geräteanleitung.

Denken Sie bitte daran, ihr Gerät zusätzlich mit einer PIN zu schützen, damit keine
Fremden ihren Einmalcode-Konten durch einfaches Einschalten benutzen können. Benutzen
Sie dazu bitte die Anleitung - Abschnitt 5 Pin Schutz verwenden
(https://cdn-reichelt.de/documents/datenblatt/F100/REINER_SCT_AUTHENTICATOR_BDA-DE.pdf) des
Gerätes.

1.5.4.2. Benutzung von Zusatzprogrammen unter Windows
Es gibt für Windows auch einige Programme, mit denen man eine
Multifaktorauthentifizierung durchführen kann. Allerdings soll die Authentifizierung
eigentlich niemals mit demselben Gerät erfolgen, mit dem sie sich auch anmelden.

Einzige empfohlene Variante wäre der Passwortmanager Bitwarden. Allerdings auch nur,
wenn Sie eine lokalen inhouse-Installation benutzen. Die allgemeine Bitwarden-
Cloudversion sollten sie nicht benutzen, da deren Daten wieder in die Vereinigten Staaten
gehen.

Hier sind ein paar Programme aufgeführt, die möglicherweise bereits von dem einen oder
anderen genutzt werden, aber von Seiten Condat explizit nicht empfohlen werden:

   WinAuth
   ist eine open sourcen Anwendung, die man nur auspacken muss. Allerdings wird sie von
   Administratoren aus Sicherheitsgründen nicht empfohlen (!!!), da sie seit 2018 nicht
   weiterentwickelt wurde und dadurch keine Sicherheitsupdates mehr bekommt. Wir
   weisen daraufhin, dass Sie diesen Hinweis bitte ernst nehmen sollen.

   Authy von Twilio
   ist zwar von den technischen Sicherheit der Anwendung eine Alternative, allerdings
   genügt diese Anwendung nicht der DSGVO, da die Daten in die Vereinigten Staaten
   geschickt werden.

   WinOTP
   wird noch offiziell über den Microsoft-Shop angeboten, ist aber auch schon von 2019
   (letzes Update) und hat bei einigen Nutzern Probleme mit der Kameraintegration für die
   QR-Code-Scanns


1.6. Abschnitt IV - Keycloak Passwort ändern
Es gibt 2 Wege um zur Anmeldung für den Keycloak-Accountmanager zu gelangen:

   Aus dem Profilmenü heraus.
   Dadurch öffnet sich keycloak in einem neuen Tab.

   Über diesen nachfolgenden Link

Link zur Anmeldung an den Keycloak-Accountmanager
Keycloak-Accountmanager - Anmeldung



Klicken Sie dann unter Kontosicherheit auf Anmeldung oder direkt Anmelden (oben
rechts) und geben Sie Passwort und Einmalcode ein. Wenn Sie angemeldet sind, sehen Sie das
daran, wenn Sie oben rechts Ihren Namen sehen und Abmelden als Schaltfläche erscheint.