Skip to main content
Administration

12.1D10

Zwei-Faktor-Authentifizierung für Datenbankzugriff einrichten

Sichern Sie den Zugriff auf Ihre Daten durch einen zweiten Faktor bei der Benutzeranmeldung ab, egal ob bei Webzugriff oder lokal.

Wie funktioniert's?
Möchte ein Benutzer sich anmelden und der Zugangsweg (WebApp, Mobil, Vollclient) ist für die IP Adresse des Rechners für Zwei-Faktor-Authentifizierung aktiviert, so erhält der Benutzer nach erfolgreicher Eingabe von Benutzer / Passwort oder SSO Anmeldung zusätzlich eine E-Mail oder / und SMS mit einem Code (der zweite Faktor), der zur vollständigen Anmeldung eingegeben werden muss.
Erst dann ist die Anmeldung abgeschlossen und der Zugang wird gewährt.

Wo stelle ich es ein?
1) In der Administration unter Anmeldung
a) Angabe für welche Zugänge die 2FA aktiviert werden soll und Benutzer welcher Gruppe dann doch nicht 2FA machen müssen.
Z.B. möchte man den echten Administrator wahrscheinlich nicht aussperren, wenn es Probleme beim Senden vom 2FA Code gibt.
b) Um Intranet und Extranet unterscheiden zu können, kann man hier angeben, für welche IP Adressen keine 2FA nötig ist, z.B. Intranet. Dabei kann man * als Wildcard verwenden. Mit ! kann man dann aber einzelne IP Adressen doch wieder dazu nehmen.
Z.B. 192.100.168,*;!192.100.168.254 bedeutet alle aus dem Subnetz (Intranet) 192.100.168.0 bis .255 sind OK, aber der Reverse Proxy, über den die externen Webanfragen reinkommen, nämlich 192.100.168.254 soll 2FA verwenden.
c) E-Mail Konfiguration: Sendekonto + Textvorlage, mit der der Code gestaltet ausgegeben werden kann.
d) SMS: Es muss SMS eingerichtet sein, dann kann man eine Formel für den Sende-Text hinterlegen.
Über die Funktion "Get 2FA Code" kann man in der Vorlage / SMS Formel den zu versendenden Code abgreifen.

Ist wenigstens ein Zugangsweg für 2FA aktiviert:
2) Im Benutzer kann angegeben werden, über welchen Weg der Benutzer informiert wird (E-Mail, SMS, Beides) und falls über welche E-Mail-Adresse / Handy Nummer. Werden diese nicht gepflegt, dann werden diese von der Adresse / Ansprechpartner vom Benutzer abgeleitete oder, falls auch diese nicht gepflegt sind, dann direkt aus dem Benutzer Datensatz.

3) Im WebApp-Zugang (Adresse/Ansprechpartner/Mitarbeiter-Zugang).
Der Sendeweg (E-Mail, SMS, Beides) wird am Service Benutzer eingestellt und gilt für alle WebApp-Zugänge von diesem.
Am WebApp-Zugang kann ebenfalls eine alternative E-Mail-Adresse / Handy Nummer hinterlegt werden.
Sind diese nicht vorhanden, werden die Infos direkt vom Trägerdatensatz (Adresse/Ansprechpartner/Mitarbeiteradresse bzw. Mitarbeiteransprechpartner) abgeleitet.

Die Technik ist vollständig autark, da sie über E-Mail / SMS direkt aus dem System erfolgt und somit keine zusätzlichen Techniken nötig sind.

https://help12.bp-event-software.com/de/administratoren