Dieser Abschnitt erklärt, wie Sie TOTP MFA-Provider in Parallels RAS integrieren.
Siehe TOTP konfigurieren.
So konfigurieren Sie die TOTP-Einstellungen:
Geben Sie Folgendes an:
Anzeigename: Der Standardname ist hier TOTP. Der Name wird im Registrierungsdialog im Parallels Client im folgenden Satz angezeigt: „Installieren Sie die TOTP-App auf Ihrem iOS- oder Android-Gerät“. Wenn Sie den Namen ändern, enthält der Satz den von Ihnen angegebenen Namen, wie z. B. „Installieren Sie \neuer Name\ auf Ihrem iOS- oder Android-Gerät“.
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
Im Abschnitt Benutzerregistrierung können Sie die Benutzerregistrierung bei Bedarf einschränken. Sie können allen Benutzern die Registrierung ohne Einschränkungen erlauben (Option Zulassen), die Registrierung bis zum angegebenen Datum und zur angegebenen Zeit erlauben (Option Zulassen bis) oder die Registrierung vollständig deaktivieren (Option Nicht zulassen). Wenn die Registrierung aufgrund eines abgelaufenen Zeitraums oder der aktivierten Option Nicht zulassen deaktiviert wurde, wird einem Benutzer, der versucht, sich anzumelden, eine Fehlermeldung angezeigt, die besagt, dass die Registrierung deaktiviert ist, und dem Benutzer rät, sich an den Systemadministrator zu wenden. Wenn Sie die Registrierung einschränken oder deaktivieren, kann Google Authenticator oder ein anderer TOTP-Anbieter weiterhin verwendet werden, jedoch mit zusätzlicher Sicherheit, durch die keine weitere Benutzerregistrierung zugelassen wird. Hierbei handelt es sich um eine Sicherheitsmaßnahme, um Benutzer mit kompromittierten Anmeldeinformationen davon abzuhalten, sich bei MFA zu registrieren.
Informationen für nicht registrierte Benutzer anzeigen: Wählen Sie aus, ob nicht registrierten Benutzern der Fehler Der Benutzername oder das Kennwort ist falsch angezeigt werden soll, wenn sie falsche Anmeldeinformationen eingeben:
Nie (sicherste Option): Nicht registrierten Benutzern wird statt des Fehlers eine TOTP-Aufforderung angezeigt.
Falls Registrierung erlaubt ist: Nicht registrierten Benutzern wird der Fehler angezeigt, wenn Benutzerregistrierung erlaubt ist. Falls nicht, wird die TOTP-Aufforderung angezeigt.
Immer: Nicht registrierten Benutzern wird der Fehler immer angezeigt.
Im Abschnitt Authentifizierung können Sie die TOTP-Toleranz konfigurieren. Bei der Verwendung eines zeitbasierten Einmalkennworts (TOTP) muss die Uhrzeit zwischen dem RAS Connection Broker und den Client-Geräten synchronisiert werden. Die Synchronisation muss mit einem globalen NTP-Server (z. B. time.goole.com) durchgeführt werden. Über die Dropdownliste TOTP-Toleranz können Sie eine Zeitdifferenz auswählen, die bei der Authentifizierung toleriert werden soll. Erweitern Sie die Dropdownliste und wählen Sie einen der vordefinierten Werte (Anzahl der Sekunden). Beachten Sie, dass das Ändern der Zeittoleranz mit Vorsicht verwendet werden sollte, weil es Auswirkungen auf die Sicherheit hat, da die zeitliche Gültigkeit eines Sicherheitstokens erhöht werden kann und somit ein größeres Zeitfenster für potenziellen Missbrauch entsteht. Hinweis: Bei der Verwendung von TOTP-Anbietern muss sowohl die Uhrzeit der Connection Broker als auch die der Client-Geräte mit einem globalen NTP-Server (z. B. time.google.com) synchronisiert sein. Durch Hinzufügen der TOTP-Toleranz wird die Gültigkeit des einmaligen Passworts erhöht, was Auswirkungen auf die Sicherheit haben kann.
Das Feld Benutzer zurücksetzen im Abschnitt Benutzerverwaltung wird verwendet, um den Token zurückzusetzen, den ein Benutzer erhalten hat, als er versucht hat, sich zum ersten Mal mit TOTP-Anbieter bei Parallels RAS anzumelden. Wenn Sie einen Benutzer zurücksetzen, muss er das Registrierungsverfahren erneut durchlaufen (Anweisungen für Google Authenticator finden Sie unter Verwendung von Google Authenticator im Parallels Client). Sie können nach bestimmten Benutzern suchen, alle Benutzer zurücksetzen oder die Liste der Benutzer aus einer CSV-Datei importieren.
Klicken Sie auf Fertigstellen.
Beachten Sie auch, dass die verfügbare TOTP-Zeit aus den standardmäßigen 30 Sekunden + x Sekundenanzahl in der Vergangenheit + x Sekundenanzahl in der Zukunft berechnet wird.
So konfigurieren Sie die Google Authenticator-Einstellungen:
Geben Sie Folgendes an:
Anzeigename: Der Standardname ist hier Google Authenticator. Der Name wird im Registrierungsdialog im Parallels Client im folgenden Satz angezeigt: „Installieren Sie die Google Authenticator-App auf Ihrem iOS- oder Android-Gerät“. Wenn Sie den Namen ändern, enthält der Satz den von Ihnen angegebenen Namen, wie z. B. „Installieren Sie \neuer Name\ auf Ihrem iOS- oder Android-Gerät“. Technisch gesehen können Sie jede beliebige Authentifizierer-Anwendung verwenden (daher die Möglichkeit, den Namen zu ändern), aber zum Zeitpunkt dieses Artikels wird ausschließlich die Google Authenticator-Anwendung offiziell unterstützt.
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
Im Abschnitt Benutzerregistrierung können Sie die Benutzerregistrierung über Google Authenticator bei Bedarf einschränken. Sie können allen Benutzern die Registrierung ohne Einschränkungen erlauben (Option Zulassen), die Registrierung bis zum angegebenen Datum und zur angegebenen Zeit erlauben (Option Zulassen bis) oder die Registrierung vollständig deaktivieren (Option Nicht zulassen). Wenn die Registrierung aufgrund eines abgelaufenen Zeitraums oder der aktivierten Option Nicht zulassen deaktiviert wurde, wird einem Benutzer, der versucht, sich anzumelden, eine Fehlermeldung angezeigt, die besagt, dass die Registrierung deaktiviert ist, und dem Benutzer rät, sich an den Systemadministrator zu wenden. Wenn Sie die Registrierung einschränken oder deaktivieren, kann Google Authenticator oder ein anderer TOTP-Anbieter weiterhin verwendet werden, jedoch mit zusätzlicher Sicherheit, durch die keine weitere Benutzerregistrierung zugelassen wird. Hierbei handelt es sich um eine Sicherheitsmaßnahme, um Benutzer mit kompromittierten Anmeldeinformationen davon abzuhalten, sich bei MFA zu registrieren.
Informationen für nicht registrierte Benutzer anzeigen: Wählen Sie aus, ob nicht registrierten Benutzern der Fehler Der Benutzername oder das Kennwort ist falsch angezeigt werden soll, wenn sie falsche Anmeldeinformationen eingeben:
Nie (sicherste Option): Nicht registrierten Benutzern wird statt des Fehlers eine TOTP-Aufforderung angezeigt.
Falls Registrierung erlaubt ist: Nicht registrierten Benutzern wird der Fehler angezeigt, wenn Benutzerregistrierung erlaubt ist. Falls nicht, wird die TOTP-Aufforderung angezeigt.
Immer: Nicht registrierten Benutzern wird der Fehler immer angezeigt.
Im Abschnitt Authentifizierung können Sie die TOTP-Toleranz konfigurieren. Bei der Verwendung eines zeitbasierten Einmalkennworts (TOTP) muss die Uhrzeit zwischen dem RAS Connection Broker und den Client-Geräten synchronisiert werden. Die Synchronisation muss mit einem globalen NTP-Server (z. B. time.goole.com) durchgeführt werden. Über die Dropdownliste TOTP-Toleranz können Sie eine Zeitdifferenz auswählen, die bei der Authentifizierung toleriert werden soll. Erweitern Sie die Dropdownliste und wählen Sie einen der vordefinierten Werte (Anzahl der Sekunden). Beachten Sie, dass das Ändern der Zeittoleranz mit Vorsicht verwendet werden sollte, weil es Auswirkungen auf die Sicherheit hat, da die zeitliche Gültigkeit eines Sicherheitstokens erhöht werden kann und somit ein größeres Zeitfenster für potenziellen Missbrauch entsteht.
Hinweis: Bei der Verwendung von TOTP-Anbietern (Time-based One-time Passwords, TOTP) muss sowohl die Uhrzeit der Connection Broker als auch die der Client-Geräte mit einem globalen NTP-Server (z. B. time.google.com) synchronisiert sein. Durch Hinzufügen der TOTP-Toleranz wird die Gültigkeit des einmaligen Passworts erhöht, was Auswirkungen auf die Sicherheit haben kann.
Das Feld Benutzer zurücksetzen im Abschnitt Benutzerverwaltung wird verwendet, um den Token zurückzusetzen, den ein Benutzer erhalten hat, als er versucht hat, sich zum ersten Mal mit Google Authenticator bei Parallels RAS anzumelden. Wenn Sie einen Benutzer zurücksetzen, muss er das Registrierungsverfahren erneut durchlaufen (siehe Verwendung von Google Authenticator im Parallels Client unten). Sie können nach bestimmten Benutzern suchen, alle Benutzer zurücksetzen oder die Liste der Benutzer aus einer CSV-Datei importieren.
Klicken Sie auf Fertigstellen.
Beachten Sie auch, dass die verfügbare TOTP-Zeit aus den standardmäßigen 30 Sekunden + x Sekundenanzahl in der Vergangenheit + x Sekundenanzahl in der Zukunft berechnet wird.
Wichtig: Um Google Authenticator oder andere TOTP-Anbieter verwenden zu können, muss die Zeit auf einem Benutzergerät mit der Zeit auf dem RAS Connection Broker-Server synchronisiert sein. Andernfalls schlägt die Google-Authentifizierung fehl.
Google Authenticator wird im Parallels Client unterstützt und läuft auf allen unterstützten Plattformen (mobil, Desktop und Web).
Um Google Authenticator zu verwenden, muss ein Nutzer die Authenticator-App auf seinem iOS- oder Android-Gerät installieren. Besuchen Sie einfach Google Play oder den App Store und installieren Sie die App. Sobald die Authenticator-App installiert ist, kann der Benutzer eine Verbindung zu Parallels RAS mit Zwei-Faktor-Authentifizierung herstellen.
So wird die Verbindung mit Parallels RAS hergestellt:
Der Benutzer öffnet den Parallels Client oder Web Client und meldet sich mit seinen Anmeldedaten an.
Das Multi-Faktor-Authentifizierungsdialogfeld wird geöffnet und zeigt einen Barcode (auch bekannt als QR-Code) und einen geheimen Schlüssel an.
Der Nutzer öffnet die Google Authenticator-App auf seinem mobilen Gerät:
Wenn er es zum ersten Mal benutzt, tippt er auf Beginnen und dann auf Barcode scannen.
Wenn ein Nutzer bereits ein anderes Konto in Google Authenticator hat, tippt er auf das Plus-Zeichen-Symbol und wählt Barcode scannen.
Der Benutzer scannt dann den Barcode, der im Anmeldedialog des Parallels Clients angezeigt wird.
Wenn das Scannen aus irgendeinem Grund nicht funktioniert, wechselt der Benutzer zurück zur App, wählt Enter a provided key (Bereitgestellten Schlüssel eingeben) und gibt dann den Kontonamen und den Schlüssel ein, der im Anmeldedialogfeld des Parallels Clients angezeigt wird.
Der Benutzer tippt dann auf Add account (Konto hinzufügen) in der App, die ein Konto erstellt und ein Einmal-Passwort anzeigt.
Der Benutzer geht zurück zum Parallels Client, klickt auf Weiter und gibt das Einmal-Passwort in das Feld OTP ein.
Bei jeder weiteren Anmeldung muss der Nutzer nur seine Anmeldedaten (oder gar nichts, wenn die Option Passwort speichern ausgewählt wurde) und ein einmaliges Passwort eingeben, das er von der Google Authenticator-App erhält (die Anwendung generiert ständig ein neues Passwort). Wenn ein RAS-Administrator einen Benutzer zurücksetzt (siehe Feldbeschreibung Benutzer zurücksetzen am Anfang dieses Abschnitts), muss der Benutzer den oben beschriebenen Registrierungsvorgang wiederholen. (Bereitgestellten Schlüssel eingeben) und gibt dann den Kontonamen und den Schlüssel ein, der im Anmeldedialogfeld des Parallels Clients angezeigt wird. 5. Der Benutzer tippt dann auf Add account (Konto hinzufügen) in der App, die ein Konto erstellt und ein Einmal-Passwort anzeigt. 6. Der Benutzer geht zurück zum Parallels Client, klickt auf Weiter und gibt das Einmal-Passwort in das Feld OTP ein.
Bei jeder weiteren Anmeldung muss der Nutzer nur seine Anmeldedaten (oder gar nichts, wenn die Option Passwort speichern ausgewählt wurde) und ein einmaliges Passwort eingeben, das er von der Google Authenticator-App erhält (die Anwendung generiert ständig ein neues Passwort). Wenn ein RAS-Administrator einen Benutzer zurücksetzt (siehe Feldbeschreibung Benutzer zurücksetzen am Anfang dieses Abschnitts), muss der Benutzer den oben beschriebenen Registrierungsvorgang wiederholen.