Duo

Die Konfiguration von Duo Security mit Specops Authentication für Key Recovery erweitert das Zwei-Faktor-Authentifizierungssystem von Duo Security auf uReset-Benutzer.

Es gibt zwei Möglichkeiten, sich mit Duo Security zu verbinden: Web SDK und Auth API. Auth API ist die neuere der beiden und wird von allen neuen Kunden verwendet. Um zu überprüfen, welche Methode Sie verwenden, führen Sie die folgenden Schritte aus:

Melden Sie sich bei der Specops Authentication-Webseite an: https://login.specopssoft.com/authentication/admin
Wählen Sie Identity Services in der linken Seitenleiste-Navigation und dann Duo Security.
Stellen Sie sicher, dass dort „Auth API“ steht.

Konfiguration von Duo Security mit Web SDK

Hinweis

Web SDK ist nur für Kunden verfügbar, die Duo Security vor der Version 8.16 von Specops Authentication verwendet haben. Kunden, die Duo Security ab Version 8.16 verwenden, müssen Auth API (siehe unten) verwenden, um Duo Security zu konfigurieren.

Voraussetzungen: Die Rollen Besitzer, Administrator oder Anwendungsmanager sind in Duo Security erforderlich.

Melden Sie sich bei der Specops Authentication-Webseite an: https://login.specopssoft.com/authentication/admin
Wählen Sie Identity Services in der linken Seitenleiste-Navigation und dann Duo Security.
Wählen Sie Aktivieren, dann im Pop-up erneut Aktivieren. Dadurch wird der Dienst für die Nutzung in Specops-Diensten verfügbar.
Melden Sie sich beim Duo Security Admin Panel an.
Wählen Sie Anwendungen in der linken Seitenleiste-Navigation und dann Eine Anwendung schützen.
Die nächste Seite zeigt eine Liste der verschiedenen Diensttypen, die mit Duo Security integriert werden können. Finden Sie in der Liste Web SDK und wählen Sie Diese Anwendung schützen.
Legen Sie eine Richtlinie für die Anwendung fest, indem Sie eine vorhandene verwenden oder eine neue erstellen.

Hinweis

Die Einstellung Neue Benutzer-Richtlinie sollte auf Anmeldung erforderlich gesetzt werden. Zugriff ohne 2FA erlauben ermöglicht Benutzern, Duo Security ohne Authentifizierung zu umgehen. Zugriff verweigern blockiert Benutzer daran, sich mit Duo Security zu authentifizieren.

Hinweis

Die Einstellung Gruppenzugriffsrichtlinie sollte auf Keine Aktion gesetzt werden. Wie bei der Neue Benutzer-Richtlinie kann sie nicht auf Zugriff ohne 2FA erlauben oder Zugriff verweigern gesetzt werden.
Konfigurieren Sie die Einstellungen und geben Sie einen Namen ein.
Wählen Sie Speichern.
Kopieren Sie aus dem Abschnitt Details den Integrationsschlüssel, den Secret key und den API-Hostname in die entsprechenden Felder im Specops Client.

Hinweis

Das Feld Attributname kann leer gelassen werden, um das Standard-Active Directory-Attribut (sAMAccountName) zu verwenden, es sei denn, Sie müssen ein anderes AD-Attribut verwenden.
Wählen Sie Verbindung testen. Wenn die Verbindung erfolgreich war, erscheint eine Nachricht mit der Aufschrift Verbindungstest erfolgreich.
Wählen Sie Speichern.

Um Duo Security zu Ihrer Richtlinie hinzuzufügen:

Wählen Sie Key Recovery in der linken Seitenleiste-Navigation und dann Konfigurieren im Abschnitt Richtlinien.
Ziehen Sie Duo Security aus dem Abschnitt Nicht ausgewählte Identitätsdienste in den Abschnitt Ausgewählte Identitätsdienste und konfigurieren Sie Gewicht, Erforderlich und Geschützt-Einstellungen.
Wählen Sie Speichern.

Konfiguration von Duo Security mit Auth API

Voraussetzungen: Die Rollen Besitzer, Administrator oder Anwendungsmanager sind in Duo Security erforderlich.

Melden Sie sich bei der Specops Authentication-Webseite an: https://login.specopssoft.com/authentication/admin
Wählen Sie Identity Services in der linken Seitenleiste-Navigation und dann Duo Security.
Wählen Sie Aktivieren, dann im Pop-up erneut Aktivieren. Dadurch wird der Dienst für die Nutzung in Specops-Diensten verfügbar.
Melden Sie sich bei der Duo Security-Verwaltungsseite an
Wählen Sie Anwendungen in der linken Seitenleiste-Navigation und dann Eine Anwendung schützen.
Die nächste Seite zeigt eine Liste der verschiedenen Diensttypen, die mit Duo Security integriert werden können. Finden Sie in der Liste Partner Auth API und wählen Sie Diese Anwendung schützen.
Legen Sie eine Richtlinie für die Anwendung fest, indem Sie auf Eine Richtlinie für alle Benutzer anwenden klicken und die Richtlinie im Dropdown-Menü auswählen, oder erstellen Sie eine neue Richtlinie, indem Sie auf den Link Oder, erstellen Sie eine neue Richtlinie in demselben Fenster klicken und dann auf Neue Benutzer-Richtlinie klicken.

Hinweis

Die Einstellung Neue Benutzer-Richtlinie sollte auf Anmeldung erforderlich gesetzt werden. Zugriff ohne 2FA erlauben ermöglicht Benutzern, Duo Security ohne Authentifizierung zu umgehen. Zugriff verweigern blockiert Benutzer daran, sich mit Duo Security zu authentifizieren.
Konfigurieren Sie die Einstellungen und geben Sie einen Namen ein.
Klicken Sie auf Speichern.
Kopieren Sie aus dem Abschnitt Details den Integrationsschlüssel (Client-ID), den Secret key und den API-Hostname in die entsprechenden Felder im Specops Client.

Hinweis

Das Feld Attributname kann leer gelassen werden, um das Standard-Active Directory-Attribut (sAMAccountName) zu verwenden, es sei denn, Sie müssen ein anderes AD-Attribut verwenden.
Wählen Sie Ihre gewünschte Einstellung für Automatische Anmeldung von Benutzern in Specops Authentication. Wenn Sie es auf Ja setzen, werden alle Benutzer automatisch angemeldet.

Hinweis

Um Duo Security mit Quick Verification zu verwenden, muss diese Einstellung auf Ja gesetzt sein
Wählen Sie Verbindung testen. Wenn die Verbindung erfolgreich war, erscheint eine Nachricht mit der Aufschrift Verbindungstest erfolgreich.
Klicken Sie auf Speichern.

Konfiguration von Duo Security mit OpenID Connect (OIDC)

Sie können Duo Security so konfigurieren, dass das OpenID Connect-Protokoll verwendet wird, um den Benutzern eine Zwei-Faktor-Authentifizierung zu bieten. Das bedeutet, dass Benutzer anstelle der Anmeldeseite von Specops zu einer Duo Security-URL weitergeleitet werden, wo sie sich über den Universal Prompt von Duo Security authentifizieren können. Der Universal Prompt zeigt dem Benutzer einen Zahlencode an, den der Benutzer in die Push-Benachrichtigung auf dem Gerät eingeben muss, auf dem die Duo Security-App installiert ist. Diese Authentifizierungsmethode kann verwendet werden, um sogenannte Ermüdungsangriffe zu kontern, bei denen Benutzer mit mehreren einfachen Push-Benachrichtigungen konfrontiert werden, indem der zusätzliche Schritt der Bestätigung des auf dem Bildschirm angezeigten Codes eingeführt wird.

Hinweis

Auth API muss konfiguriert sein, bevor OIDC konfiguriert wird.

Um OIDC zu konfigurieren:

Melden Sie sich bei der Specops Authentication-Webseite an: https://login.specopssoft.com/authentication/admin
Wählen Sie Identity Services in der linken Seitenleiste-Navigation und dann Duo Security.
Der Dienst sollte bereits aktiviert sein, als Auth API konfiguriert wurde.
Aktivieren Sie das Kontrollkästchen Duo-Eingabeaufforderung für Endbenutzer verwenden.
Melden Sie sich beim Duo Security Admin Panel an.
Wählen Sie Anwendungen in der linken Seitenleiste-Navigation und dann Eine Anwendung schützen.
Die nächste Seite zeigt eine Liste der verschiedenen Diensttypen, die mit Duo Security integriert werden können. Finden Sie in der Liste Web SDK und wählen Sie Diese Anwendung schützen.
Legen Sie dieselbe Richtlinie fest, die für Auth API für die Anwendung festgelegt wurde, indem Sie auf Eine Richtlinie für alle Benutzer anwenden klicken und die Richtlinie im Dropdown-Menü auswählen.

Hinweis

Sie müssen dieselbe Richtlinie auswählen, die für Auth API festgelegt wurde, um Konfigurationen zu vermeiden, bei denen Benutzer daran gehindert werden, Duo Security zur Authentifizierung zu verwenden.
Konfigurieren Sie die Einstellungen und geben Sie einen Namen ein.
Wählen Sie Speichern.
Kopieren Sie aus dem Abschnitt Details die Client-ID und den Client-Secret in die entsprechenden Felder im Specops Client.
Wählen Sie Verbindung testen. Wenn die Verbindung erfolgreich war, erscheint eine Nachricht mit der Aufschrift Verbindungstest erfolgreich.

Hinweis

Der Test überprüft sowohl die Auth API- als auch die OIDC-Verbindung, daher müssen beide korrekt konfiguriert sein. Jede Fehlermeldung gibt an, welcher Teil der Konfiguration falsch war.
Klicken Sie auf Speichern.

Um Duo Security zu Ihrer Richtlinie hinzuzufügen:

Wählen Sie Key Recovery in der linken Seitenleiste-Navigation und dann Konfigurieren im Abschnitt Richtlinien.
Ziehen Sie Duo Security aus dem Abschnitt Nicht ausgewählte Identitätsdienste in den Abschnitt Ausgewählte Identitätsdienste und konfigurieren Sie Gewicht, Erforderlich und Geschützt-Einstellungen.
Wählen Sie Speichern.

Verwendung von Duo Security mit Quick Verification

Quick Verification kann nur mit Auth API verwendet werden. Beachten Sie, dass, wenn die Einstellung Automatische Anmeldung von Benutzern in Specops Authentication auf Nein gesetzt ist, Sie Quick Verification (oder Advanced Verification) für Benutzer, die sich nicht bei Duo Security angemeldet haben, nicht verwenden können.

Hinweis

Kunden, die Web SDK zur Konfiguration von Duo Security verwenden, können Duo Security nicht für Quick Verification verwenden. Es wird nur als Advanced Verification verfügbar sein.

Duo Security-Authentifizierung für Windows-Anmeldung

Der Specops Client bietet Verbesserungen für das Windows-Anmeldeerlebnis, indem er den integrierten Windows-Anmeldeinformationsanbieter (GINA) umschließt. Dazu gehört, dass Benutzer ihre Passwörter vom Anmeldebildschirm aus zurücksetzen können, sowie die Verbesserung des Feedbacks, das Benutzer beim Ändern ihres Passworts über STRG+ALT+ENTF erhalten. Der Specops Client unterstützt auch das Umhüllen von Drittanbieter-Anmeldeinformationsanbietern, solange dieser Anmeldeinformationsanbieter das Umhüllen unterstützt. Einige bestimmte Anmeldeinformationsanbieter, wie die Duo Security-Authentifizierung für Windows-Anmeldung, erfordern zusätzliche Konfigurationen, um es dem Specops Client zu ermöglichen, sie zu umhüllen.

Setzen Sie einen Registrierungsschlüssel im Duo Security-Client, um das Umhüllen durch den Specops Client zu ermöglichen. Erstellen oder aktualisieren Sie auf einem Computer mit installiertem Duo Security-Client den folgenden Registrierungsschlüssel:
- Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
- Wertname: ProvidersWhitelist
- Werttyp: REG_MULTI_SZ
- Wertdaten: Geben Sie (oder fügen Sie) die folgenden zwei GUIDs in separaten Zeilen ein — dies sind die GUIDs, die den Specops Client identifizieren:
  - {00002ba3-bcc4-4c7d-aec7-363f164fd178}
  - {4834dbc7-4a06-424d-a67f-20ddebcf08e1}
Verwenden Sie als Nächstes die Specops Authentication ADMX-Vorlage, um anzugeben, dass wir den Duo Security-Anmeldeinformationsanbieter umhüllen sollen. Unter Specops Client Wrap Duo Security Specops Client/Enhance Windows logon and password change, setzen Sie GUID des zu umhüllenden Anmeldeinformationsanbieters auf die GUID des Duo Security-Clients, einschließlich der geschweiften Klammern: {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Beachten Sie, dass der Specops Client, ADMX-Vorlagen und Anweisungen zur Installation beider hier zu finden sind.

Sobald die Gruppenrichtlinie auf die betroffenen Computer angewendet wurde, sollten sowohl die Duo Security-Anmeldefunktionalität als auch die Specops Authentication-Funktionalität für Passwortänderung und Passwortzurücksetzung nahtlos zusammenarbeiten. Für uReset-Kunden bedeutet dies, dass Sie den Link Passwort zurücksetzen auf dem Anmeldebildschirm weiterhin verwenden können, genau wie auf Arbeitsstationen ohne den Duo Security-Client. Für Dynamisches Feedback bei Passwortänderung (verfügbar für sowohl uReset- als auch Password Policy-Kunden mit Specops Client Version 7.15 oder höher) wird das dynamische Feedback angezeigt. Duo Security wird nach der Passwortänderung wie gewohnt zur MFA auffordern.

Hinweis

Bei Verwendung von Duo Security als Anmeldeinformationsanbieter ist Specops Client 7.17 oder höher erforderlich.

Duo Security und RdpOnly

Standardmäßig wird Duo Security MFA sowohl für Konsolenanmeldungen als auch für Remote-Sitzungen (RDP) aufgerufen.

Es ist möglich, die Duo Security-Zweitfaktor-Eingabeaufforderung so zu konfigurieren, dass sie nur für RDP-Sitzungen angezeigt wird, indem "RdpOnly" gemäß der Dokumentation von Duo Security auf 1 gesetzt wird. Wenn RdpOnly auf 1 gesetzt ist, muss die Specops ADMX-Einstellung Umhüllung in Konsolenanmeldesitzungen konfiguriert und auf Deaktiviert gesetzt werden.

Erzwingen der Netzwerkebenen-Authentifizierung

Die Netzwerkebenen-Authentifizierung (NLA) wird bereits in den meisten Organisationen erzwungen. Die Erlaubnis von RDP ohne NLA wird als unsicher angesehen und sollte nicht verwendet werden.

Die Verwendung des Specops Authentication-Anmeldeinformationsanbieters ohne Erzwingung von NLA wird nicht unterstützt.

Hinweis

In Fällen, in denen Benutzer sich mit dem Parameter Benutzer muss Passwort bei nächster Anmeldung ändern anmelden oder entsperren, füllt der Duo Security-Anmeldeinformationsanbieter das beim Anmelden/Entsperren eingegebene Passwort nicht auf dem nächsten Bildschirm vor, wenn die Passwortänderung durchgeführt wird. Das bedeutet, dass beim Anzeigen der Specops RulesUI das aktuelle Passwort erneut eingegeben werden muss.