Einstellungen für die Multi-Faktor-Authentifizierung (MFA)
Sie können die Multi-Faktor-Authentifizierung mithilfe von Hardware- oder Software-Token implementieren.
Notiz
Die Firewall unterstützt nur den SHA1-Algorithmus.
Einmalkennwort (OTP)
Die Standardeinstellung ist Kein OTP und erfordert keine MFA von Benutzern. Um MFA zu implementieren, wählen Sie eine der folgenden Optionen:
- Alle Benutzer
- Bestimmte Benutzer und GruppenKlicken Sie auf Hinzufügen von Benutzern und Gruppen, wählen Sie die Benutzer und Gruppen aus und klicken Sie auf Ausgewählte Elemente anwenden.
Notiz
Um MFA für den Standardadministrator zu aktivieren, gehen Sie zu Verwaltung > Gerätezugriff. Scrollen Sie nach unten, schalten Sie MFA für Standardadministratorund klicken Sie auf Anwenden.
OTP-Token bei der nächsten Anmeldung generieren
Sie können einen der folgenden Schritte ausführen:
-
An: Benutzer müssen zum Generieren von Passwörtern eine Authentifizierungsanwendung verwenden.
Sie müssen sich beim VPN oder Benutzerportal anmelden und den QR-Code mit der Authentifizierungs-App scannen. Der QR-Code wird nur für die von Ihnen angegebenen Benutzer und Gruppen angezeigt. Siehe OTP-Token.
Notiz
Wenn Sie externe Authentifizierungsserver wie Active Directory (AD) verwenden und diese Benutzer aus einer Gruppe mit MFA entfernen, müssen sie sich einmalig mit MFA anmelden. Für nachfolgende Anmeldungen ist kein OTP erforderlich.
-
Aus: Benutzer müssen das von Ihrer Organisation implementierte Hardware-Token verwenden.
Unter Ausgestellte Token, konfigurieren Sie manuell ein Token für jeden Benutzer.
Dienste, die eine MFA erfordern
Wann OTP-Token bei der nächsten Anmeldung generieren ist eingeschaltet, Benutzerportal wird automatisch ausgewählt, sodass Benutzer den QR-Code scannen können.
Unter MFA erforderlich fürWählen Sie aus den folgenden Diensten:
-
Benutzerportal: Benutzer und Administratoren können den QR-Code im Benutzerportal scannen.
Notiz
Wenn Sie MFA für das Benutzerportal aktivieren, wird es auch auf das Captive Portal und die Client-Authentifizierungsagenten angewendet.
-
VPN-Portal: Benutzer und Administratoren können den QR-Code auf dem VPN-Portal scannen.
- Web-Admin-Konsole: Administratoren können den QR-Code auch auf der Webadministrationskonsole scannen.
- SSL VPN-Fernzugriff
- IPsec-Fernzugriff
Tipp
Um Remote-Access-VPN-Verbindungen herzustellen, müssen Benutzer zuerst den QR-Code auf dem VPN-Portal scannen.
Notiz
Derzeit unterstützt der Sophos Connect Client für Remote Access VPN keine OTP-Challenge. Er sendet das Passwort und die OTP-Details in passwordotp Format an den Authentifizierungsserver. Wenn der Authentifizierungsserver also eine OTP-Herausforderung an Benutzer sendet, empfängt er nicht nur das OTP, und es findet keine Authentifizierung statt.
Der Sophos Connect Client unterstützt Call- und Push-basierte MFA. Das Benutzerportal und die Web-Admin-Konsole unterstützen diese und Challenge-basierte MFA.
OTP-Zeitschritteinstellungen
(Optional) Klicken Sie auf OTP-Zeitschritteinstellungenund konfigurieren Sie dann die folgenden Einstellungen:
| Einstellung | Beschreibung |
|---|---|
| Standard-Token-Zeitschritt | Intervall, in dem die Authentifizierungs-App oder das Hardware-Token neue Passcodes generiert. Sie müssen das von der App oder dem Hardware-Token verwendete Intervall eingeben. Standard: 30 Sekunden |
| Maximaler Verifizierungscode-Offset | Die Anzahl der Zeitschritte, für die ein Passcode gültig bleibt. Beispielsweise können Benutzer bei einem Offsetwert von 2 und einem Zeitschritt von 30 Sekunden einen beliebigen, nicht verwendeten Passcode der letzten 60 Sekunden eingeben. Standardwert: 2 |
| Maximaler Offset des anfänglichen Prüfcodes | Die Anzahl der Zeitschritte, für die der erste Passcode gültig bleibt, nachdem Benutzer den QR-Code gescannt haben. Beispielsweise bleibt bei einem anfänglichen Offsetwert von 10 und einem Zeitschritt von 30 Sekunden der erste generierte Passcode 300 Sekunden lang gültig, sofern er nicht bereits verwendet wurde. Standardwert: 10 |