Yubikey
Der Yubikey ist ein Hardware-Authentifizierungsgerät, das von Yubico hergestellt wird, um den Zugriff auf Computer, Netzwerke und Online-Dienste zu schützen. Es generiert Einmalpasswörter (OTP), die mit Specops Authentication verwendet werden können.
Hinweis
Der Yubikey kann nur mit Specops Authentication verwendet werden, wenn der Yubikey Yubico OTP (One Time Password) als Sicherheitsfunktion unterstützt. Diese sind: Yubikey 5 Series und Yubikey FIPS Series.
Verwenden Sie die folgenden Links, um Ihren Yubikey zu identifizieren und seine Funktionen zu sehen.
Konfiguration des Yubikey
Um Benutzern die Authentifizierung mit ihren Yubikeys zu ermöglichen, muss er als Identitätsdienst in Authentication Web konfiguriert werden. Dieses Verfahren setzt voraus, dass der Administrator ebenfalls einen registrierten Yubikey hat, mit dem er sich authentifizieren kann.
- Gehen Sie zur Yubico API-Schlüssel-Anmeldeseite.
- Geben Sie die Administrator-E-Mail-Adresse und das Yubikey-OTP ein und klicken Sie dann auf API-Schlüssel erhalten. Eine Client-ID und ein Secret Key werden auf der Seite angezeigt.
- Gehen Sie in Authentication Web zu Identitätsdienste und klicken Sie auf das Konfigurationssymbol neben Yubikey in der Liste.
- Geben Sie die gerade generierte Client-ID und den Secret Key in die Felder Yubico-Client-ID und Yubico-Client-Secret ein.
- Generieren Sie ein weiteres Yubikey-OTP und geben Sie es in das Feld OTP-Code ein.
- Klicken Sie auf Speichern, um die Konfiguration zu speichern.
Registrierung
Manuelle Registrierung
Benutzer können ihr Yubikey-Gerät registrieren, indem sie zur Registrierungsseite gehen und Yubikey auswählen. Sie müssen dann ein OTP generieren, indem sie die physische Taste auf ihrem Yubikey drücken, um ihr Gerät bei Specops Authentication zu registrieren.
Mehrere Geräte
Benutzer können maximal 5 separate Geräte bei Specops Authentication registrieren. Um zusätzliche Geräte zu registrieren, gehen Sie zur Registrierungsseite.
Hinweis
Benutzer können für jedes Gerät einen benutzerfreundlichen Namen eingeben, um sie leichter identifizierbar zu machen.
Hinweis
Es ist auch möglich, mehrere OTP-Generatoren auf demselben Gerät mit langem und kurzem Druck zu haben. Verwenden Sie das Yubikey-Admin-Tool, um die beiden Speicherslots auf dem Gerät zu bearbeiten: https://www.yubico.com/support/download/yubikey-manager/
Registrierung durch den Administrator
Administratoren können Geräte mit der öffentlichen ID des Geräts registrieren, die von Yubico bezogen werden kann. Führen Sie den folgenden Befehl aus, wobei der Benutzername und die Geräte-ID ausgefüllt werden (ohne eckige Klammern):
Mehrere Geräte können auch mit einer CSV-Datei importiert werden. Parameternamen (Benutzername und Geräte-ID) sollten in den Kopfzeilen stehen und Werte durch Kommas getrennt sein. Lesen Sie dann die Datei in PowerShell ein und senden Sie sie an das Cmdlet (ersetzen Sie path_to_csv_file durch den tatsächlichen Pfad zur Datei, ohne die eckigen Klammern):
Geräteentfernung
Manuelle Entfernung
Wenn Benutzer mehrere Geräte registriert haben, werden die Geräte unter dem Authentifizierungsfeld aufgelistet. Durch Klicken auf eines der Geräte werden Informationen zum Gerät sowie eine Entfernen-Schaltfläche angezeigt. Durch Klicken auf die Schaltfläche wird das Gerät entfernt.
Benutzer können die gesamte Registrierung entfernen, indem sie zur Registrierungsmenüseite gehen.
Entfernung durch den Administrator
Mit dem Benutzernamen können Administratoren die Yubikey-Registrierung für einen bestimmten Benutzer entfernen. Dadurch werden alle mit diesem Benutzer verknüpften Geräte entfernt. Um den Identitätsdienst zu entfernen, führen Sie das folgende Skript aus:
Remove-SpecopsAuthenticationIdentityServiceEnrollment
-Username [user_name]
-IdentityServiceId Yubikey
-Verbose
Authentifizierung mit Yubikey
Um sich mit Yubikey zu authentifizieren, müssen Benutzer auf der Specops Authentication-Seite Yubikey auswählen und dann die Taste auf dem eingesteckten Yubikey drücken.