Umgang mit dem PrivacyIDEA Webinterface

Das Authentifizierungssystem privacyIDEA wird am Institut eingesetzt, um 2-Faktor-Authentifizierung für wichtige Dienste einzurichten und KPH signierte Zertifikate für den institutsinternen Gebrauch auszurollen.

Kurzanleitung für die Registrierung

  1. Sie benötigen ein Smartphone mit Android oder iOS und mit funktionierender Kamera. Es wird empfohlen, die "PrivacyIDEA Authenticator App" von "NetKnights GmbH" aus dem Google Playstore bzw. Apple App-Store zu installieren. Alternativen
  2. Sie bekommen von uns eine Registrierungs Email mit dem Betreff "KPH Authentication System Registration". Loggen Sie sich in das angegebene Konto ein und heben Sie die Email als Referenz auf - das Einmalpasswort ist nach der Registrierung allerdings wertlos.
  3. Nach dem Einloggen können Sie Ihrem ersten Token ein Beschreibung geben. Lassen Sie dieses Feld erst einmal leer. Drücken Sie "Token ausrollen".
  4. Scannen Sie den angezeigten QR Code mit Ihrer Authenticator App. Wenn das erfolgreich war, drücken Sie "Abmelden".
  5. Melden Sie sich erneut an. Diesmal verwenden Sie die 6 Ziffern, die Ihnen in der Smartphone App angezeigt werden. Der Code ändert sich alle 30 Sekunden. Solange Sie ungeübt sind, warten Sie besser auf den Wechsel des Codes und beginnen dann mit der Übertragung in das Passwort-Feld.
  6. In der Menuzeile den Reiter "Token" auswählen und im linken Menu "Alle Token". In der Liste sollte Ihnen ein Token "TOTP00..." angezeigt werden. Klicken Sie dieses Token an. Es erscheinen "Details zu Token TOTP00...".
  7. Um die Sicherheit Ihres Zugangs zum Authentifizierungssystem weiter zu erhöhen, sollten Sie das Token um eine PIN erweitern. Das künftige Zugangspasswort ist dann PIN+OTP (OneTimePasswort: Die 6 Ziffern aus der App). 2 oder 3 Buchstaben für die PIN wären vollkommen ausreichend. Wichtig wäre, sich die PIN gut zu merken und nirgends aufzuschreiben. In der vorletzten Zeile der "Details zu Token TOTP00..." geben Sie die Token-PIN ein, wiederholen und setzen die PIN.
  8. Bevor Sie sich ausloggen, können Sie PIN und/oder OTP testen. Wenn Ihre PIN aus 3 Buchstaben besteht, geben Sie in der letzten Zeile der Seite diese 3 Buchstaben und ohne Leerzeichen die 6 Ziffern aus der App ein und drücken "Token testen".
  9. Wenn dieser Test erfolgreich war, können Sie sich ausloggen. Ab diesem Zeitpunkt ist Ihr Zugangspasswort PIN+OTP.

Kurzanleitung für die Zertifikaterstellung und den Zertifikatdownload

  1. Mit PIN+OTP einloggen
  2. Wenn Sie bereits ein Zertifikat erstellt haben, können Sie gleich zu Punkt 6 springen.
  3. In der Menuzeile den Reiter "Token" auswählen und im linken Menu "Token ausrollen".
  4. Unter Neuen Token ausrollen "Certificate: Ein x509 Zertifikats-Token ausrollen" wählen. CA-Konnektor "vwCA" sollte vorgewählt sein. Unter Zertifikatsvorlage unbedingt "user" auswählen, damit Sie später mit Vor- und Nachname unterschreiben. Optional unter Beschreibung Ihren Namen eingeben und auf "Token ausrollen" klicken.
  5. Das angezeigte Zertifikat enthält lediglich den öffentlichen Teil Ihres neu erzeugten Zertifikats. Sie können diesen Teil jetzt oder später herunterladen oder diesen Schritt überspringen, da der öffentliche Teil des Zertifikats nur in wenigen Ausnahmefällen benötigt wird.
  6. Eine PKCS12-Datei hingegen enthält den privaten Teil des Zertifikats und sollte niemals ohne Transport-PIN heruntergeladen werden. PKCS12-Dateien sollten auch nie archiviert werden, vielmehr sollten die Dateien, nachdem der private Teil des Zertifikats Acrobat oder dem Email-Programm bekanntgemacht wurden, sofort wieder gelöscht werden. Nehmen Sie den Umgang mit dem privaten Teil des Zertifikats bitte sehr ernst. Das ist sozusagen Ihr Identitätsnachweis bei der digitalen Unterschrift.
  7. Um eine PKCS12-Datei mit dem privaten Teil Ihres Zertifikats herunterzuladen, wählen Sie im linken Menu "Alle Token" aus und dann das "CRT00...." Token in der Übersicht.
  8. Wichtig: Setzen Sie eine Transport PIN. Diese PIN kann bei jedem Herunterladen unterschiedlich sein und wird im Normalfall nur einmal gebraucht, um z.B. Ihr Zertifikat Ihrem Mailprogramm zur Verfügung zu stellen. Geben Sie in der vorletzten Zeile eine Token-PIN ein, wiederholen Sie die PIN und drücken auf "PIN setzen".
  9. Laden Sie jetzt die PKCS12-Datei über den Link in der Info-Zeile herunter. Laden Sie Ihr privates Zertifikat in den Adobe Reader oder Ihr Email-Programm und löschen Sie die PKCS12-Datei sofort wieder, wenn der Transportvorgang abgeschlossen ist.

FAQ

Warum ist das Verfahren so kompliziert?

Sie verwalten in dem Authentifizierungssystem nicht weniger als Ihre persönliche digitale Identität. Das Verfahren unterscheidet sich nicht wesentlich von Verfahren, die auch an der Universität verwendet werden oder zumindest geplant sind. Da Passwörter grundsätzlich unsicher sind, wird beim KPH Authentifizierungssystem konsequent auf 2-Faktor-Authentifizierung gesetzt.

Gibt es Alternativen zu der PrivacyIDEA Authenticator App?

TOTP, also zeitbasierte Einmalpasswörter, lassen sich auch mit dem Google Authenticator oder dem Microsoft Authenticator verwalten. Für die Zukunft ist jedoch eine Ausweitung der 2-Faktor-Authentifizierung geplant, und die PrivacyIDEA Authenticator App bietet weitere Möglichkeiten, z.B. sogenannte Push-Tokens.

Ich habe mein Smartphone verloren oder es wurde mir gestohlen. Was tun?

Bitte schicken Sie eine Email, von Ihrem Universitätskonto aus, an kph-it@uni-mainz.de und melden Sie den Vorfall. Wir würden dann unverzüglich alle Ihre Token deaktivieren und dann das weitere Vorgehen mit Ihnen abstimmen.

Ich habe meine PIN vergessen, das Token vom Smartphone gelöscht, ein neues Smartphone erhalten. Was tun?

Bitte schicken Sie eine Email, von Ihrem Universitätskonto aus, an kph-it@uni-mainz.de und beschreiben Sie Ihr Problem. Eine PIN kann mit Administrator-Privilegien neu gesetzt werden - in allen anderen Fällen müsste die Registrierungsprozedur erneut durchlaufen werden, aber außer dem TOTP würden alle anderen Token und Zertifikate erhalten bleiben.

Kann ich mehrere Smart-Geräte mit meinem Konto im "KPH Authentication System" verbinden?

Derzeit ist es nicht vorgesehen, nachträglich das TOTP "Geheimnis" an weitere Geräte weiterzugeben. Das würde auch ein wenig der Sicherheitsphilosophie widersprechen, wenn das ganz einfach möglich wäre. Es ist nicht allzu sinnvoll bei der Registrierung den QR Code mit der Authenticator App auf mehrere eigene Geräte zu übertragen, aber das wäre noch zu tolerieren. Hingegen den QR Code zu fotografieren oder den Link außerhalb einer Authentication App zu speichern, wäre als Missbrauch und vorsätzliche Gefährdung der KPH IT-Sicherheit zu werten. Bitte nicht machen.

Wo speichere ich mein öffentliches Zertifikat?

Den öffentlichen Teil Ihres Zertifikats erkennen Sie an der Endung ".pem". Es gibt nur wenige Anwendungen für diese Datei, da der öffentliche Teil Ihres Zertifikats normalerweise mit Ihrer digitalen Unterschrift automatisch mit übertragen wird. Da es sich um einen öffentlichen Schlüssel handelt, brauchen Sie diesen Teil nicht zu schützen und können ihn z.B. auch als Anhang einer Email an Kollegen senden.

Wo speichere ich mein privates Zertifikat?

Unter gar keinen Umständen sollten Sie Kopien von Ihrem privaten Zertifikat erstellen - nicht auf USB Sticks, nicht auf externen Platten, nirgends. Den privaten Teil Ihres Zertifikats erkennen Sie an der Endung ".p12" und er ist im PKCS12 Format gespeichert. In der Anleitung oben ist beschrieben, wie Sie Ihr privates Zertifikat erzeugen und zum Download mit einer Transport-PIN versehen. Nachdem Sie Ihr Zertifikat in eine Anwendung, z.B. Thunderbird oder Acrobat, übertragen haben, sollte die ".p12" Datei sofort wieder gelöscht werden. Sollten Sie Ihr Zertifikat auf anderen Geräten oder zu einem späteren Zeitpunkt erneut benötigen, können Sie im "KPH Authentication System" einen neuen Download anfordern. Bitte gehen Sie nicht leichtfertig mit Ihrer digitalen Identität um.