Verwenden von Google Authenticator
In diesem Abschnitt erklären wir, wie Sie den Google Authenticator konfigurieren.
So konfigurieren Sie Google Authenticator:
Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.
Doppelklicken Sie auf den Google Authenticator, den Sie konfigurieren möchten.
Klicken Sie auf die Schaltfläche Bearbeiten.
Geben Sie Folgendes an:
Name: Name des Anbieters.
Beschreibung: Beschreibung des Anbieters.
Wählen Sie in der Tabelle Design die Designs aus, die diesen MFA-Anbieter verwenden sollen.
Anzeigename: Der Standardname ist hier „Google Authenticator“. Der Name wird im Registrierungsdialog im Parallels Client im folgenden Satz angezeigt: „Installieren Sie die Google Authenticator-App auf Ihrem iOS- oder Android-Gerät“. Wenn Sie den Namen ändern, enthält der Satz den von Ihnen angegebenen Namen, wie z. B. „Installieren Sie \neuer Name\ auf Ihrem iOS- oder Android-Gerät“. Technisch gesehen können Sie jede beliebige Authentifizierer-Anwendung verwenden (daher die Möglichkeit, den Namen zu ändern), aber zum Zeitpunkt dieses Artikels wird ausschließlich die Google Authenticator-Anwendung offiziell unterstützt.
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
Ändern Sie, falls erforderlich, die standardmäßig vorgegebene TOTP-Toleranz.
Im Abschnitt Registrierung können Sie die Benutzerregistrierung über Google Authenticator bei Bedarf einschränken. Sie können allen Benutzern die Registrierung ohne Einschränkungen erlauben (Option Zulassen), die Registrierung bis zum angegebenen Datum und zur angegebenen Zeit erlauben (Option Zulassen bis) oder die Registrierung vollständig deaktivieren (Option Nicht zulassen). Wenn die Registrierung aufgrund eines abgelaufenen Zeitraums oder der aktivierten Option Nicht zulassen deaktiviert wurde, wird einem Benutzer, der versucht, sich anzumelden, eine Fehlermeldung angezeigt, die besagt, dass die Registrierung deaktiviert ist, und dem Benutzer rät, sich an den Systemadministrator zu wenden. Wenn Sie die Registrierung einschränken oder deaktivieren, kann Google Authenticator oder ein anderer TOTP-Anbieter weiterhin verwendet werden, jedoch mit zusätzlicher Sicherheit, durch die keine weitere Benutzerregistrierung zugelassen wird. Hierbei handelt es sich um eine Sicherheitsmaßnahme, um Benutzer mit kompromittierten Anmeldeinformationen davon abzuhalten, sich bei MFA zu registrieren.
Informationen für nicht registrierte Benutzer anzeigen: Wählen Sie aus, ob nicht registrierten Benutzern der Fehler Der Benutzername oder das Kennwort ist falsch angezeigt werden soll, wenn sie falsche Anmeldeinformationen eingeben:
Nie (sicherste Option): Nicht registrierten Benutzern wird statt des Fehlers eine TOTP-Aufforderung angezeigt.
Falls Registrierung erlaubt ist: Nicht registrierten Benutzern wird der Fehler angezeigt, wenn Benutzerregistrierung erlaubt ist. Falls nicht, wird die TOTP-Aufforderung angezeigt.
Immer: Nicht registrierten Benutzern wird der Fehler immer angezeigt.
Das Feld Benutzer zurücksetzen im Abschnitt Benutzerverwaltung wird verwendet, um den Token zurückzusetzen, den ein Benutzer erhalten hat, als er versucht hat, sich zum ersten Mal mit Google Authenticator bei Parallels RAS anzumelden. Wenn Sie einen Benutzer zurücksetzen, muss er das Registrierungsverfahren erneut durchlaufen (siehe Verwendung von Google Authenticator im Parallels Client unten). Sie können nach bestimmten Benutzern suchen, alle Benutzer zurücksetzen oder die Liste der Benutzer aus einer CSV-Datei importieren.
Beschränkungen: Weitere Informationen finden Sie unter Konfigurieren Sie MFA-Regeln.
Klicken Sie zum Abschluss auf Speichern.
Verwendung von Google Authenticator im Parallels Client
Wichtig: Um Google Authenticator oder andere TOTP-Anbieter verwenden zu können, muss die Zeit auf einem Benutzergerät mit der Zeit auf dem RAS Connection Broker-Server synchronisiert sein. Andernfalls schlägt die Google-Authentifizierung fehl.
Google Authenticator wird im Parallels Client unterstützt und läuft auf allen unterstützten Plattformen (mobil, Desktop und Web Client).
Um Google Authenticator zu verwenden, muss ein Nutzer die Authenticator-App auf seinem iOS- oder Android-Gerät installieren. Besuchen Sie einfach Google Play oder den App Store und installieren Sie die App. Sobald die Authenticator-App installiert ist, kann der Benutzer eine Verbindung zu Parallels RAS mit Zwei-Faktor-Authentifizierung herstellen.
So wird die Verbindung mit Parallels RAS hergestellt:
Der Benutzer öffnet den Parallels Client oder das Nutzerportal und meldet sich mit seinen Zugangsdaten an.
Das Multi-Faktor-Authentifizierungsdialogfeld wird geöffnet und zeigt einen Barcode (auch bekannt als QR-Code) und einen geheimen Schlüssel an.
Der Nutzer öffnet die Google Authenticator-App auf seinem mobilen Gerät:
Wenn er es zum ersten Mal benutzt, tippt er auf Beginnen und dann auf Barcode scannen.
Wenn ein Nutzer bereits ein anderes Konto in Google Authenticator hat, tippt er auf das Plus-Zeichen-Symbol und wählt Barcode scannen.
Der Benutzer scannt dann den Barcode, der im Anmeldedialog des Parallels Clients angezeigt wird.
Wenn das Scannen aus irgendeinem Grund nicht funktioniert, wechselt der Benutzer zurück zur App, wählt Enter a provided key (Bereitgestellten Schlüssel eingeben) und gibt dann den Kontonamen und den Schlüssel ein, der im Anmeldedialogfeld des Parallels Clients angezeigt wird.
Der Benutzer tippt dann auf Add account (Konto hinzufügen) in der App, dadurch wird ein Konto erstellt und ein Einmal-Passwort angezeigt.
Der Benutzer geht zurück zum Parallels Client, klickt auf Weiter und gibt das Einmal-Passwort in das Feld OTP ein.
Bei jeder weiteren Anmeldung muss der Nutzer nur seine Zugangsdaten (oder gar nichts, wenn die Option Passwort speichern ausgewählt wurde) und ein einmaliges Passwort eingeben, das er von der Google Authenticator-App erhält (die Anwendung generiert ständig ein neues Passwort). Wenn ein RAS-Administrator einen Benutzer zurücksetzt (siehe Feldbeschreibung Benutzer zurücksetzen am Anfang dieses Abschnitts), muss der Benutzer den oben beschriebenen Registrierungsvorgang wiederholen.