Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=MFA-settings

Einstellungen für die Multi-Faktor-Authentifizierung (MFA)

Sie können die Multi-Faktor-Authentifizierung mithilfe von Hardware- oder Software-Tokens implementieren.

Notiz

Die Firewall unterstützt ausschließlich den SHA1-Algorithmus.

Einmalpasswort (OTP)

Die Standardeinstellung ist Kein OTP und erfordert keine MFA von Benutzern. Um MFA zu implementieren, wählen Sie eine der folgenden Optionen:

  • Alle Benutzer
  • Bestimmte Benutzer und Gruppen: Klicken Benutzer und Gruppen hinzufügen: Wählen Sie die Benutzer und Gruppen aus und klicken Sie auf Ausgewählte Elemente anwenden.

Notiz

Um die Multi-Faktor-Authentifizierung für den Standardadministrator zu aktivieren, gehen Sie zu Verwaltung > Gerätezugriff: Scrollen Sie nach unten und schalten Sie es ein. MFA für Standardadministrator: und klicken Sie Anwenden.

Beim nächsten Anmelden ein OTP-Token generieren

Sie können eine der folgenden Optionen wählen:

  • An: Benutzer müssen eine Authentifizierungsanwendung zur Generierung von Passcodes verwenden.

    Sie müssen sich im VPN oder Benutzerportal anmelden und den QR-Code mit der Authentifizierungs-App scannen. Der QR-Code wird nur für die von Ihnen angegebenen Benutzer und Gruppen angezeigt. Siehe OTP-Token.

    Notiz

    Wenn Sie externe Authentifizierungsserver wie Active Directory (AD) verwenden und diese Benutzer aus einer Gruppe mit Multi-Faktor-Authentifizierung (MFA) entfernen, müssen sie sich einmalig per MFA anmelden. Für nachfolgende Anmeldungen ist kein Einmalpasswort (OTP) mehr erforderlich.

  • Aus: Die Benutzer müssen den von Ihrer Organisation implementierten Hardware-Token verwenden.

    Unter Ausgestellte Token: Konfigurieren Sie manuell ein Token für jeden Benutzer.

Dienste, die eine Multi-Faktor-Authentifizierung erfordern

Wann Beim nächsten Anmelden ein OTP-Token generieren ist eingeschaltet, Benutzerportal wird automatisch ausgewählt, sodass Benutzer den QR-Code scannen können.

Unter MFA erforderlich für: Wählen Sie aus den folgenden Diensten:

  • Benutzerportal: Benutzer und Administratoren können den QR-Code im Benutzerportal scannen.

    Notiz

    Die Aktivierung der Multi-Faktor-Authentifizierung (MFA) für das Benutzerportal gilt auch für das Captive Portal und die Client-Authentifizierungsagenten.

  • VPN-Portal: Benutzer und Administratoren können den QR-Code auf dem VPN-Portal scannen.

  • Web-Administrationskonsole: Administratoren können den QR-Code auch über die Web-Administrationskonsole scannen.
  • SSL-VPN-Fernzugriff
  • IPsec-Fernzugriff

Tipp

Um eine VPN-Fernzugriffsverbindung herzustellen, müssen die Benutzer zuerst den QR-Code auf dem VPN-Portal scannen.

Notiz

Derzeit unterstützt der Sophos Connect-Client für Remote-Access-VPN keine OTP-Abfrage. Er sendet die Passwort- und OTP-Details in passwordotp Das Format für den Authentifizierungsserver wird nicht korrekt angegeben. Wenn der Authentifizierungsserver also eine OTP-Anforderung an die Benutzer sendet, erhält er nicht nur das OTP, und die Authentifizierung findet nicht statt.

Der Sophos Connect-Client unterstützt sowohl anruf- als auch pushbasierte MFA. Das Benutzerportal und die Web-Administrationskonsole unterstützen diese sowie die Challenge-basierte MFA.

OTP-Zeitschritteinstellungen

(Optional) Klicken OTP-Zeitschritteinstellungen: Konfigurieren Sie anschließend die folgenden Einstellungen:

Einstellung Beschreibung
Standard-Token-Zeitschritt

Intervall, in dem die Authentifizierungs-App oder der Hardware-Token neue Passcodes generiert.

Sie müssen das von der App oder dem Hardware-Token verwendete Intervall eingeben.

Diese Einstellungsänderung gilt nur für neu generierte Token und hat keine Auswirkungen auf bestehende Token. Stellen Sie sicher, dass die Authentifizierungs-App des Benutzers benutzerdefinierte Token-Zeitschritte unterstützt, beispielsweise Intercept X für Mobilgeräte.

Standardwert: 30 Sekunden
Maximaler Verifizierungscode-Offset

Die Anzahl der Zeitschritte, für die ein Passcode gültig bleibt.

Beispielsweise können Benutzer bei einem Offset-Wert von 2 und einem Zeitschritt von 30 Sekunden einen beliebigen, in den letzten 60 Sekunden nicht verwendeten Passcode eingeben.

Standardwert: 2
Maximaler Offset des anfänglichen Verifizierungscodes

Die Anzahl der Zeitschritte, für die der erste Passcode nach dem Scannen des QR-Codes durch den Benutzer gültig bleibt.

Bei einem anfänglichen Offset-Wert von beispielsweise 10 und einem Zeitschritt von 30 Sekunden bleibt der erste generierte Passcode 300 Sekunden lang gültig, sofern er nicht bereits verwendet wird.

Standardwert: 10

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen