Yubikey

Ein Yubikey ist ein von Yubico hergestelltes Hardware-Authentifizierungsgerät zum Schutz des Zugangs zu Computern, Netzwerken und Online-Diensten. Es generiert Einmal-Kennwörter (OTP), die mit Specops Authentication verwendet werden können.

HINWEIS

Yubikey kann nur mit Specops Authentication verwendet werden, wenn der Yubikey die Sicherheitsfunktion Yubico OTP (One Time Password) unterstützt. Diese sind: Yubikey Serie 5 und Yubikey Serie FIPS.

Verwenden Sie folgende Links, um Ihren Yubikey zu identifizieren und mehr über seine Funktionen zu erfahren.

Konfiguration Yubikey


Damit sich Benutzer mit ihrem Yubikey authentifizieren können, muss er als Identitätsdienst im Authentication Web konfiguriert werden. Dies setzt voraus, dass auch der Administrator über einen registrierten Yubikey verfügt, mit dem er sich authentifizieren kann.

  1. Gehen Sie zur Anmeldeseite für den Yubico-API-Schlüssel.
  2. Geben Sie die E-Mail-Adresse des Administrators und das Yubikey-Einmal-Kennwort ein und klicken Sie dann auf API-Schlüssel abrufen. Auf der Seite werden eine Client-ID und ein geheimer Schlüssel angezeigt.
  3. Gehen Sie in der Authentication Web zu Identitätsdienste und klicken Sie auf das Konfigurationssymbol neben Yubikey in der Liste.
  4. Geben Sie die Client-ID und den soeben generierten Geheimschlüssel in die Felder Yubico Client-ID bzw. Yubico Client-Geheimschlüssel ein.
  5. Generieren Sie ein weiteres Yubikey-OTP und geben Sie es in das Feld OTP-Code ein.
  6. Klicken Sie auf Speichern, um die Konfiguration zu sichern.

Registrierung


Manuelle Registrierung

Die Benutzer können ihr Yubikey-Gerät registrieren, indem sie auf die Registrierungsseite gehen und Yubikey auswählen. Sie müssen dann ein OTP generieren, indem sie auf die physische Taste auf ihrem Yubikey klicken, um ihr Gerät bei Specops Authentication zu registrieren.

Mehrere Geräte

Ein Benutzer kann maximal 5 separate Geräte mit Specops Authentication registrieren. Um weitere Geräte zu registrieren, gehen Sie auf die Registrierseite.

HINWEIS
Die Benutzer können für jedes Gerät einen leicht verständlichen Namen eingeben, um es leichter identifizieren zu können.
HINWEIS
Durch langes bzw. kurzes Drücken der Taste können zudem mehrere OTP-Generatoren auf demselben Gerät zu verwendet werden. Mit folgendem Yubikey-Verwaltungstool können Sie die beiden Speicherplätze des Geräts handhaben: https://www.yubico.com/support/download/yubikey-manager/

Registrierung durch einen Administrator

Administratoren können Geräte mit der öffentlichen, von Yubico erhaltenen ID des Geräts registrieren. Führen Sie dazu folgenden Befehl unter Eingabe des Benutzernamens und der deviceid (ohne die eckigen Klammern) eingeben:

Kopieren
Add-SAYubiKeyEnrollment -Username [Benutzername] -DeviceId [Geräte-ID] -Verbose

Mehrere Geräte können auch über eine CSV-Datei importiert werden. Die Parameternamen (Benutzername und Device-Id) sollten in den Kopfzeilen stehen und die Werte durch Kommas getrennt sein. Lesen Sie dann die Datei in Powershell ein und senden Sie sie an das Cmdlet (ersetzen Sie "path_to_csv_file" durch den tatsächlichen Pfad zur Datei und lassen Sie die eckigen Klammern weg):

Kopieren
Get-Content [path_to_csv_file] | ConvertFrom-Csv | Add-SAYubiKeyEnrollment -Verbose

Entfernen eines Geräts


Manuelle Entfernung

Wenn ein Benutzer mehrere Geräte registriert hat, werden diese unterhalb des Authentifizierungsfeldes aufgelistet. Wenn Sie auf eines der Geräte klicken, werden Informationen über das Gerät sowie eine Schaltfläche zum Entfernen angezeigt. Wenn Sie auf diese Schaltfläche klicken, wird das Gerät entfernt.

Benutzer können die gesamte Registrierung entfernen, indem sie auf die Menüseite Registrierung gehen.

Entfernung durch einen Administrator

Mit seinem Benutzernamen können Administratoren die Yubikey-Registrierung eines Benutzers entfernen. Dadurch werden alle mit diesem Benutzer verbundenen Geräte entfernt. Führen Sie zum Entfernen dieses Identitätsdienstes folgendes Skript aus:

Kopieren
Remove-SpecopsAuthenticationIdentityServiceEnrollment -Username [Benutzername] -IdentityServiceId Yubikey -Verbose

Authentifizierung mit Yubikey


Zur Authentifizierung mit Yubikey müssen die Benutzer Yubikey auf der Specops-Authentifizierungsseite auswählen und dann auf dem eingesetzten Yubikey auf die Taste drücken.